Oblikovanje ugnezdenega sistema za internet stvari (IoT) zahteva drugačen pristop kot načrtovanje klasičnih ugnezdenih sistemov zaradi njihove povezljivosti z internetom. Obenem bomo pričakovali, da bo ta majhna ugnezdena naprava sledila hitrim spremembam v svetu IT in InfoSec, hkrati pa bo enostavna za posodobitev kot na primer osebni računalnik in seveda varna kot stalno nadzorovan podatkovni center. Težko – vsekakor, vendar je tudi to dosegljivo s pravilnim pristopom k zasnovi tega sistema.
Pri ugnezdenemu sistemu za IoT je ključnega pomena, da se prepričamo, kako se naprava prilega celotnemu sistemu, z modeliranjem groženj in analizo tveganja, da bi ugotovili njegovo zmogljivost in česa mora biti sposoben. Ne glede na to, ali je povezana z žičnim ali brezžičnim omrežjem, bi lahko imela naprava življenjsko dobo od enega do 20 let, v katerem je lahko napadena. Varnost je ključna prednost pri načrtovanju sistema, ki vključuje tudi varno izvajanje vseh vzdrževanj in posodobitev programske opreme.
To pomeni, da je treba na začetku načrtovanja nujno razmisliti, kako želite povezati svojo napravo z internetom, kako bo videti vaša sistemska arhitektura, kako boste upravljali z dogodki, ki se pojavljajo med delovanjem in vsa vprašanja in težave, povezane s širšim sistemom. Ker od IoT naprave zahtevamo, da do nje dostopa več strank – IT, trženje, inženiring, prodaja, izvršilni uslužbenci, finance in pravna služba, se morajo jasno opredeliti in razumeti potrebe, pričakovanja, stroški in zmožnosti naprave. Med vprašanja, ki jih je treba upoštevati, spadajo skladnost izdelka s predpisi in standardi, odgovornost, vse o zbiranju, shranjevanju in uporabi zbranih podatkov, pa tudi način ravnanja v primeru kršitev v zvezi s podatki ali njihovo integriteto. Kakšen je poslovni model za kritje dolgoročnih stroškov delovanja naprave v sistemu, ki je povezan z oblakom in kakšne koristi ponuja uporabnikom? Te prvotne odločitve močno vplivajo na to, kako bo izdelek zasnovan in dolgoročno vzdrževan.
Položaj je postal še bolj zapleten z novo zakonodajo, kot je Splošna uredba o varstvu podatkov (GDPR). V pomoč so nam lahko smernice, ki jih lahko najdete pri službi “Varno z zasnovo” vlade Združenega kraljestva, Agenciji Evropske unije za varnost omrežij in informacij (ENISA) in IoT Varnostni fundaciji. Enostavnost uporabe in potreba po izboljšanju varnosti se pogosto zastavljata, prav tako pa tudi zapletena gesla in postopki registracije naprav. To pomeni, da je preprosta naprava bistvenega pomena za varnost izdelka že od samega začetka. Če torej obravnavamo povezan ugnezden izdelek, je ta sestavljen iz štirih osnovnih elementov strojne opreme:
- procesiranje
- pomnilnik
- komunikacije
- element za zagotavljanje varnosti na nivoju strojne opreme
Obstaja pa tudi nadvse pomemben peti element – programska oprema.
Ti osnovni elementi so običajno v vseh sistemih. Način načrtovanja je treba izbrati na podlagi natančne analize glede uporabe izdelka, ocene in odnosa do tveganja, stroškov, razvojnih zmogljivosti, varnosti in vzdrževanja.
Cilj mora biti sistemska zasnova, ki je robustna, zanesljiva, prilagodljiva, obnovljiva, varna, zaupanja vredna, razširljiva, vzdržna, primerna za serijsko proizvodnjo in uporabna. Ohranjati mora celovitost blagovne znamke in doseči ustrezen cilj v zvezi s stroški, ki ustreza zahtevam sistema. Domnevati je treba, da bodo stroški za načrtovanje, razvoj in izdelavo povezane naprave večji kot za samostojno, klasično ugnezdeno napravo, ki ne zahteva ali ne omogoča posodobitev. Kljub temu pa bo, če se izdelek pravilno načrtuje, vrednost izdelka dolgoročno presegla stroške sestavnih delov. Torej je smiselno tudi z vidika stroškov razviti IoT pravilno, ne pa poskušati stvari popraviti kasneje, če bi morda šlo kaj narobe.
V mnogih situacijah bo na IoT napravi uporabljen več kot en procesor. Brezžična naprava pogosto vključuje določeno raven obdelave, zlasti za Wi-Fi® in Bluetooth® pri upravljanju z zapletenimi osnovnimi protokoli. Natančna arhitektura sistema je odvisna od njegove načrtovane uporabe, potreb, odnosa do tveganja in številnih drugih dejavnikov.
Koren zaupanja
Varni sistem zahteva zaupanja vredna sredstva za shranjevanje skrivnosti in preverjanje veljavnosti, hkrati pa zagotavlja, da sama skrivnost nikoli ne bo razkrita. To bo zagotavljalo „sidrišče zaupanja“, običajno v obliki varnega elementa. Te naprave omogočajo več fizičnih metod za preprečevanje znanih napadov strojne opreme, hkrati pa dodajajo funkcije, kot so NIST SP 800 generator Random Number Generator (RNG) in kriptografske algoritme, kot je algoritem digitalnega podpisa Elliptic Curve Digital Signature (ECDSA-P256).
Varen element pomaga zagotavljati:
- Preverjanje pristnosti naprave pri storitvah v oblaku z dobro preizkušenimi in razumljivimi metodologijami infrastrukture javnih ključev (PKI). To omogoča predhodno registracijo naprav v sistem že v fazi izdelave, s posameznimi certifikati za to napravo in generiranjem ustrezne QR kode, da se končni izdelek poveže s pripadajočim certifikatom. Uporabnik bi nato ob zagonu privezal isto QR kodo na svoj račun in sicer z varnim sistemom Back-end, ki potrdila povezuje s kupčevim naročniškim računom, s čimer bi zagotovil enostaven in varen postopek naročanja ob istočasnem izpolnjevanju zahtevanih predpisov.
- Pravzaprav je podjetje Microchip Technology nedavno predstavilo prvo vnaprej določeno rešitev varnega ključa v industriji, ki je na voljo v zelo nizki minimalni naročeni količini (MOQ) 10 enot, kar pomaga razvijalcem pri avtomatizaciji varne avtentikacije v oblaku za projekte poljubne velikosti. Ta tri-stopenjska rešitev, znana kot zaupanja vredna platforma, ponuja že vnaprej pripravljene, vnaprej konfigurirane ali popolnoma prilagodljive varne elemente in ima možnost avtentikacije na katero koli javno ali zasebno infrastrukturo v oblaku ali omrežje LoRaWAN ™ .
- Preverjanje pristnosti podatkov. S pomočjo sidra zaupanja je mogoče ugotoviti, ali so neke meritve samo od določene naprave in da vmes niso bile zlonamerno spremenjene. To pomaga tudi pri odkrivanju nepravilnosti v podatkih z analitiko v oblaku, saj je težko izvesti obsežne fizične posege.
- Varen zagon, kar pomeni, da se skrivnost, shranjena v varnem elementu, uporabi za prepoznavanje sprememb v kriptografskem podpisu gostiteljskega MCU-ja in shranjenih posodobitev slik programske opreme. Prav tako se lahko uporabijo nadaljnji pregledi integritete med izvajanjem z uporabo metod iz metodologij Varnostnih knjižnic ClassB.
- Varna nadgradnja vgrajene programske opreme “po zraku” (FUOTA), kar pomeni, da se skrivnost, shranjena v varnem elementu, uporablja za preverjanje celovitosti vira posodobitve in tudi podpisa slike, poslane napravi pred zagonom, da se slika potrdi kot veljavna.
- Zaščita pred kloniranjem, če je proizvodni proces potekal pravilno, zaščitni element preprečuje kloniranje in ponarejanje strojne opreme.
Vendar, če se odločimo za shranjevanje skrivnosti vsakega posameznega izdelka v varnem zaščitenem elementu, je potrebno zagotoviti tudi to, da se naprave programirajo v varnem proizvodnem okolju. To zastavlja nekatera vprašanja v zvezi z razširljivostjo in zaupanjem, ki sta v mnogih primerih povezana s proizvajalčevimi podizvajalci. Prilagodljivost izdelave in enostavnost zagona zagotavljamo z nakupom naprav, ki vsebujejo zasebne podatke in ki jih je v varnem okolju vnaprej sprogramiral prodajalec naprave z možnostjo, da s preprostim in avtomatiziranim postopkom naložite javne informacije do svoje storitve v oblaku.
Obsežni pomnilnik
Posodobitve vdelane programske opreme se običajno izvajajo prek kabla, povezanim neposredno na napravo s serijskimi vrati. To deluje že vrsto let, kako pa lahko ta pristop deluje z brezžično povezanimi napravami, po možnosti na nedostopnih lokacijah, nameščenimi v velikem obsegu?
Če pride do težave, ki potrebuje hitro posodobitev zunaj rutinskega vzdrževalnega cikla, je treba preprečiti pristop, ki zahteva fizično posredovanje. Druga možnost je uporaba posodobitev FUOTA in, v idealnem primeru, varna FUOTA. Ker gre za pristop brez prisotnosti človeka, mora sistem izkoristiti celovitost, ki jo omogoča varni element, da prepreči zlonamerne posodobitve iz neznanega in nezaupljivega vira.
Toda kako izvesti samo posodobitev? V idealnih razmerah je treba izvesti varne posodobitve FUOTA, ki se izvedejo brez posredovanja gostujočega mikrokontrolerja. Izvedba posodobitve neposredno na Flash programskem pomnilniku naprave brez lokalne varnostne kopije je tveganje za grozljiv scenarij blokade (bricking) naprave, če med posodobitvijo pride do nepopravljive napake.
Izbrana FUOTA metoda bi morala biti srednje agnostična. To pomeni, da bi se moral isti postopek spoprijeti s pasovno širino, zakasnitvijo, osipom in izgubami na katerem koli fizičnem nosilcu. Tako je mogoče uporabljati in vzdrževati procesni in vzdrževalni del strežnika ter uporabljati mehanizem iste varnostne naprave za prenos, shranjevanje in celovitost prek različnih medijev. Neizogibno bo potrebno tudi nekaj prilagodljivosti pri nekaterih metodah, ki temeljijo na uvedbi popolnega varnostnega sistema, vendar bodo dolgoročno ohranjale tesen stik s standardnim pristopom z uporabo modularnih metod.
Napajanje
Če vaše naprave uporabljajo stranke po vsem svetu in sprožite celo nadzorovano posodobitev v skupine naprav izrišete, je za vsako napravo težko poznati natančne pogoje glede napajanja in okolja, v katerem je nameščena. Kljub temu pričakujemo, da bo naprava delovalo popolnoma enako kot med testom v laboratoriju in zagotavljamo, da bo naša naprava delovala kot v idealnih delovnih pogojih. Kaj pa, če ne gre? Kaj bi se zgodilo, če se dogodek ESD zgodi v eni skupini naprav, na drugi pa ne? Naše načrtovanje naprave bi moralo vključevati tudi nekatere “kaj” scenarije in morajo vsebovati tudi neko splošno strategijo za odpornost in obnovitev.
Če se to ne bo nikoli zgodilo in v vaš sistem nikoli ne bodo vdrli …
- Bodite hvaležni! Morda imate le srečo ali pa so vaše skrbno načrtovanje in preventivni zaščitni ukrepi predstavljali prevelik izziv in je priložnostni napadalec odšel drugam.
- Ne obstaja popolna varnost in sčasoma bo tudi vaša zaščita na preizkušnji. Lahko pa uporabimo najboljše tehnike in zmogljivosti, ki so danes na voljo, in načrtujemo sprejemljivo količino preverjanja v prihodnosti. Če je naš sistem zasnovan tako, da izkorišča korenske naprave zaupnih naprav in jih je mogoče varno posodabljati, potem lahko večino bremena opravi bolj prilagodljiva stran našega sistema v oblaku, če smo pri načrtovanju mislili na to.
- Pristopite k načrtovanju naprav z uporabo tehnik, ki so na voljo v organizacijah, kot so IoT Security Foundation, Gov.UK Secure by Design, UL2900, ISA 62443 in ISA Secure in drugih, ko se bodo pojavile.
- Vgradite dovolj programskega pomnilnika, ki bo omogočal skoraj neizogibno potrebo po povečanju velikosti programske kode.
- Načrtujte za primer najslabšega scenarija, potem naredite kognitivne kompromise in ne načrtujte za ciljne stroške, ne da bi upoštevali “kaj če” scenarije. IoT naprave so ogromna potencialna površina za hekerje, zlobneže in celo samo za bistroumneže, ki si želijo malo zabave.
- Razlogi za napad vaše določene naprave se morda zdijo nesmiselni, vendar je potencialna škoda za ljudi, izdelke, rastline, blagovne znamke in podjetja lahko velika.
Ne pozabite, da prepričanje “meni se to ne more zgoditi” ne predstavlja nikakršne obrambe, če se to enkrat res zgodi.
Avtor tega članka, Ian Pearson, ima 20 let izkušenj z razvojem ugnezdenih sistemov. V obdobju pred zadnjimi desetimi leti je podpiral povezane ugnezdene sisteme, ki so se prvotno osredotočali na Ethernet in TCP / IP, potem pa je začel aktivno vključevati Microchipove brezžične rešitve, kot so Wi-Fi, Bluetooth in LoRa ter v svet ugnezdenih sistemov. Ian je bil v IoT aktiven že od malih nog in je glasni zagovornik načrtovanja varnih IoT sistemov.
Opomba: Ime in logotip Microchip sta registrirani blagovni znamki podjetja Microchip Technology Incorporated v ZDA in drugih državah. Vse druge blagovne znamke, ki so morda tu omenjene, so last njihovih podjetij.
www.microchip.com
