0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

如何确保联网设备中漏洞不会导致整个组织出现瘫痪

Micron美光科技 来源:互联网 作者:佚名 2017-08-29 11:29 次阅读

文 |Jeff Shiner美光科技物联网解决方案总监

今年6月27日,一款名为Petya的勒索病毒变种又开始肆虐。这场病毒迅速蔓延,全球最大的传播集团WPP不幸中招,旗下众多公司被迫切断工作,以防电子设备感染病毒。

如何确保联网设备中的一个漏洞不会导致整个组织出现瘫痪?如果从存储着手,是否能为物联网提供更加全面的防护?来看一看美光科技有限公司物联网解决方案总监Jeff Shiner 的解答。

科技行业还在经受大规模WannaCry网络攻击的困扰,个人和 IT团队不得不竭尽全力修补那些运行了极其普及的 Microsoft 操作系统且系统中存在已知漏洞的设备。

此次攻击对西班牙电信公司和英国国家卫生系统(NHS) 等造成了重创,不仅感染了电脑,还可能影响到了 NHS 中的其他联网设备,例如MRI 扫描仪、血液储存冰箱和手术室设备。

不幸的是,这并不是个别事件。不妨想一想:

  • 去年秋季,一种名为Mirai的恶意软件侵入到世界各地的DVR、IP 摄像头及其他设备中,发起了重大的恶意软件攻击活动,其中包括分布式拒绝服务(DDoS) 攻击。DDoS 攻击先是侵袭了域名系统(DNS) 提供商 Dyn,之后又将矛头对准 Twitter、Reddit及其他重要网站,导致这些网站运行中断。

  • 今年早些时候,黑客攻击了达拉斯市的紧急警报系统,在整个城市拉响了警报,直攻市政基础设施网络防御体系中的漏洞。

随着物联网的问世,大量更重要的目标成为了网络犯罪分子的众矢之的,因此,我们需要积极主动地应对这种情况并相应地进行规划。

根据Sage Business Researcher的调查结果,联网设备的数量预计在2020 年将达到 500 亿。这一数字一直在以惊人的速度增长:2016年时尚且不到 250 亿,2012 年时尚且不到100 亿。制造商们一直在争先恐后地向市场投放物联网设备,有些时候,并未将安全性作为优先要务。

雪上加霜的是,物联网并未实现标准化,尤其是与个人电脑(PC) 智能手机市场的统一性相比,更是如此。物联网设计受到了分散式安全实施方法的束缚,而后者又是由各种系统、半导体和软件级选项决定的,这些选项组合到一起后,问题的复杂性大幅增加。最重要的一点是,提升一组物联网设备的安全性并不能为数十亿的其他设备带来安全性的改进。

现在有人在努力建立安全框架来指导OEM 在设计中融入适当级别的安全性。推进这些计划的团体提倡在软硬件中集成重要的安全组件、设置深层防御安全性,以及实施其他策略来利用许多最新的已知解决方案。美国工业互联网联盟(IIC) 撰写的一篇名为“工业互联网安全框架”(IISF) 的文档中就介绍了一个这个领域中的很好示例。此外,美国联邦贸易委员会(FTC) 也一直在努力应对各种威胁,例如 2015 年,它敦促物联网公司采用最佳安全保护做法。

尽管做了如此多的工作,漏洞问题仍然十分严峻,尤其是那些《财富》100强之外的公司,他们无力配备强大的网络安全人员或划拨相应预算,而且因为现成的物联网安全解决方案缺乏统一性而受到阻碍。

解决方案:涵盖存储的“安全性设计”

出乎意料的是,在当前物联网系统所存在的最大漏洞之一“代码存储内存”中,可能可以找到易于实施、可能也更安全的方法来应对这种挑战。通过以全新的创新方式来利用存储技术并将其与基于云的功能结合起来,有望创造更强大的安全性。

在比较高级的安全性攻击中,恶意代码被写到非易失性存储中。这种情况通常发生在位于网络边缘或网络边缘附近的设备上,也就是发生在端点或物联网中的“物”上。一旦这些设备受到感染,攻击者便可以利用它们,与其他设备组成更大的僵尸网络或单独在目标系统上行动。在这些攻击中,许多都是在利用现如今已经发布的已知安全漏洞,并且一直在寻找可供利用的新“零日”漏洞。

2016 年底出现了其他一些常见的攻击策略,其中就有基于 Mirai 的僵尸网络攻击。这种攻击利用的是 DVRIP 摄像头和家用路由器等出厂时保留的不安全默认设置的物联网设备。在高峰期,这些设备对各种网站发起 DDoS 攻击,其中包括 TwitterAmazon Reddit,比较讽刺的是,KrebsOnSecurity 也在被攻击之列。

在上述两种攻击策略中,设备 OEM 可以采用以下长期解决方案:重新设计主要硬件和软件,部署设备和云解决方案以监控设备的完整性并在设备受到入侵时进行修复。

但是,哪里有弱点,哪里就有机会。如果可以通过加密方式对存放在存储中的关键代码执行身份验证,并且该代码可以成为相应物联网设备的一部分,那么,将该代码与云中的出色功能结合起来,便可以通过端到端身份验证和加密固件管理极大地限制黑客在设备上植入恶意软件的能力。

多年以来,人们一直使用一组名为“信任根(RoT) 的功能来提高网络安全性。RoT 提供通常驻留在可信计算模块中的安全服务,并且可以由操作系统安全地用来验证设备的身份和运行状况,从而基本上确认该设备是网络的组成部分并且未被感染。

到目前为止,提供这种安全性的重任还是由 CPUSoC 和硬件安全模块 (HSM) 来担负。不幸的是,即便是使用这些组件及其所提供的安全保护,黑客也仍然可以在物联网设备中逻辑组件之下的各个级别发动攻击,并破坏或停止系统。随着攻击的复杂性越来越高,高级持久性威胁 (APT) 正在成为更严重的问题,这是因为,黑客将注意力放在了越过物联网设备的逻辑部分,将代码植入到设备的存储之中。

通过提升解决方案的更多部分的安全性(即“纵深防御”)并确保将存储考虑在内,可以提升安全性。此外,这种方法注定相对简单、成本较低、影响不大,可以更广泛地应用到当今那些正遭受各种攻击的物联网设备。

一种基于存储的安全保护方法

美光科技正在寻求一种方法来将设备 ID 和小型加密处理功能这两个元素直接置于存储中。这些元素组合起来将生成一些信息,从而使云计算资源能够确认存储的身份和运行状况以及所含数据。这样一来,可以通过 CPUSoC HSM 加强最低启动级别及负载分流工作的安全性。

这一方法在近期微软和美光宣布建立的安全合作伙伴关系中得到了印证。这两家公司专注于两个关键方面,从而可以简化客户为确保物联网设备正常运行并启用设备身份标识而实施安全保护的方式。第一步是创建内置在标准硬件中的端到端安全连接,使客户能够只通过软件开发包 (SDK) 便可以提升系统功能。通过利用可信计算组织 (TCG) 的一种名为“设备身份合成引擎”(DICE) 的新标准,微软 Azure 物联网云和美光 Authenta™技术可帮助确保只有受信任的硬件才能访问物联网云。

该解决方案可验证通常用来存储关键代码的硬件的身份和运行状况,预期能为物联网设备提供新的安全优势。有了这一身份标识功能,Azure 物联网枢纽可以验证设备的状态是“好”还是“坏”,并采取相应的后续措施,例如,启用设备运行状况证明和配置等较高级的功能,以及使管理员可以在现场安全地修复受到入侵的设备。

在存储中执行物联网设备身份验证这种方法不仅在最低启动级别提供了独一无二的保护级别,还利用了数十亿个物联网设备中已有的标准闪存插槽。各家公司在当前设计和旧设计中均可利用支持 Authenta 的美光闪存,通过修改软件来实现新的安全功能。微软和美光均提供了带有软件开发包 (SDK) 的核心中间件,以便在 Azure 中的主机上、网关处甚至端点上启用这些解决方案,这进一步简化了软件资源要求。这种解决方案旨在更轻松地为新平台和设备提供安全的物联网云管理和连接,以及能够更轻松地改进旧系统。

任何一种安全机制都不是完美的,但是可以通过增添重要的纵深防御功能来提升安全性。尤其是在物联网兴起并且网络边缘易受攻击设备的数量不断增加的今天,更是如此。利用微软和美光打造的这类全新解决方案,端到端设备管理将会更加安全,成本也会更低。监控和管理物联网设备的运行状况是企业要做出的最复杂决策之一。与此同时,要快速消除已知安全漏洞并使黑客的成本超出其所获利益是非常困难的。通过利用最佳的网络安全保护做法和新形成的生态系统,许多公司的安全实施都应该会开始变得更加有效且开销更低。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 存储器
    +关注

    关注

    38

    文章

    7443

    浏览量

    163541
  • 物联网
    +关注

    关注

    2902

    文章

    44142

    浏览量

    370509
  • 美光科技
    +关注

    关注

    0

    文章

    184

    浏览量

    22616

原文标题:美光专栏 | 利用存储内安全功能以更强大、更简单的方法确保物联网设备正常运行

文章出处:【微信号:gh_195c6bf0b140,微信公众号:Micron美光科技】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    固件漏洞安全问题的解决办法

    的安全性。  据Gartner数据,截止2022年,约有70%未执行固件升级计划的组织将由于固件漏洞而遭到入侵。而今年疫情的出现导致了全球供应链不断增加的中短期风险。    固件
    发表于 09-07 17:16

    开发人员和嵌入式系统设计人员如何使用JWT关闭物联网设备的安全漏洞

    本文将介绍物联网设备安全威胁,并介绍目前用于应对该威胁的设备。它将确定安全漏洞以及开发人员和嵌入式系统设计人员如何使用JWT关闭它们。
    发表于 06-16 06:17

    VoIP安全漏洞以及防护办法

    安全漏洞:“市场上很多采用H.323协议的VoIP系统在H.245建立过程中都存在漏洞,容易在1720端口上受到DoS的攻击,导致从而系统的不稳定甚至瘫痪”。
    发表于 02-20 10:58 1095次阅读

    iOS10.2.1系统新漏洞,一不留神就卡死你

    当然,这个漏洞是被动型性的,你只要不自己找事就没啥事,这个漏洞在iOS10.2.1系统,即最新版系统,在特定的操作下可以导致应用瘫痪,手机
    发表于 12-31 12:03 1.3w次阅读

    确保负载供电系统不会出现涌入电流

    在大多数系统,为了确保电源轨电压不会出现压降,电容器遍布于整个设计。当电源刚刚被施加到系统
    发表于 04-18 19:52 1099次阅读
    <b class='flag-5'>确保</b>负载供电系统<b class='flag-5'>不会出现</b>涌入电流

    黑客Volodya在公开论坛上出售Windows 零日漏洞

    一位身份不明的黑客以出售Windows 零日漏洞为业,三年来不断向APT组织出漏洞
    的头像 发表于 05-05 11:08 3182次阅读

    安卓系统的相机App出现漏洞,数百万台安卓设备受到影响

    安卓系统的相机App中出现了一个新的漏洞,至少有数百万台安卓设备受到影响,这个漏洞导致其它App在没有获得必要权限的情况下可以拍摄视频、照片
    的头像 发表于 11-20 16:07 2117次阅读

    BGP路由错误已导致CenturyLink联网服务的大规模故障

    CenturyLink的一个BGP路由错误已引起整个联网出现连锁反应,导致无数与互联网连接的服务瘫痪
    的头像 发表于 09-01 13:47 2911次阅读

    组织如何确保他们的物联网扩展策略是最好的?

    随着物联网设备的不断增加,组织需要探索如何为物联网开发有效的扩展策略。充分进行扩展对于很多组织来说是必须采用的措施。
    的头像 发表于 09-02 12:10 2249次阅读

    为什么物联网漏洞平台对组织很重要?

    年10月宣布,推出了针对消费者物联网漏洞披露平台VulnerableThings。该平台为物联网供应商制定相关安全法规做好了准备,并为安全研究人员提供了一种报告漏洞的简便方法。 很多
    的头像 发表于 12-05 09:24 1909次阅读

    win10系统出现重大漏洞导致电脑蓝屏

    近日,Win10系统出现重大漏洞,会导致电脑系统崩溃并显示蓝屏,波及全球数亿用户。
    的头像 发表于 01-20 09:29 3200次阅读

    win10出现严重蓝屏安全漏洞

    近日,win10系统出现严重蓝屏漏洞,该漏洞导致电脑系统崩溃并显示蓝屏波及全球数亿用户。
    的头像 发表于 01-21 11:48 3140次阅读

    虚拟机文件丢失导致Hyper-V服务瘫痪的数据恢复案例

    虚拟机文件丢失导致Hyper-V服务瘫痪的数据恢复案例
    的头像 发表于 02-14 15:11 610次阅读
    虚拟机文件丢失<b class='flag-5'>导致</b>Hyper-V服务<b class='flag-5'>瘫痪</b>的数据恢复案例

    产线设备联网过程的IP冲突(NAT转换)问题如何解决

    都是唯一而独立的,以便在网络上进行通信。然而,当两台或更多的设备被分配了相同的IP地址时,就会出现IP地址冲突的问题。这种情况可能会导致网络连接问题,甚至可能导致
    的头像 发表于 04-09 17:28 504次阅读
    产线<b class='flag-5'>设备</b><b class='flag-5'>联网</b>过程<b class='flag-5'>中</b>的IP冲突(NAT转换)问题如何解决

    联网系统的安全漏洞分析

    设备制造商的安全意识不足 许多物联网设备制造商在设计和生产过程,往往忽视了安全问题,导致设备
    的头像 发表于 10-29 13:37 256次阅读