摘要：過去一年，全球各地的惡意攻擊事件大幅增加，相關設備制造商爭相為自己當前和未來的技術規(guī)劃尋找合適的機制，希望利用這些機制來幫助他們防御不斷演變的黑客。具體來說，汽車和物聯(lián)網設備尤其容易遭到一些最新的網絡攻擊，因此制造商們需要不斷增強他們在加密和公鑰基礎設施 (PKI) 方面的知識，確保其未來的解決方案能夠安全地在相關領域發(fā)揮作用并擁有更長的使用壽命。他們在軟件安全方面投入了大量精力，卻很容易忽略硬件選項，但是，如果不同時考慮硬件和軟件，則無法實現(xiàn)“自動防御故障”安全保護。最好的深度防御是兩種組件的強強聯(lián)合。本文介紹了物聯(lián)網、工業(yè)物聯(lián)網和汽車領域的制造商們在設計新一代解決方案時需要調查的一些重要注意事項。

眾所周知，網絡攻擊會破壞我們的網絡，但遺憾的是，只有在這些攻擊發(fā)生之后，我們才能知道其規(guī)模和破壞程度。最高級的攻擊是無法預測的，甚至當它們已經產生影響時，我們可能還毫不知情。未被發(fā)現(xiàn)和記錄的攻擊會繼續(xù)存留在物聯(lián)網系統(tǒng)中，導致破壞持續(xù)存在更長的時間。面對這些，我們不禁要問：為了應對不可預測的和未知的網絡威脅，物聯(lián)網系統(tǒng)和設備制造商該如何進行規(guī)劃？ 

了解網絡攻擊的復雜性

組織嚴密的攻擊正在以驚人的速度增加，無論是攻擊的復雜程度，還是協(xié)調配合能力，都經過了攻擊者的精心策劃。攻擊通常與設備和行業(yè)無關，無論是私有實體還是公共實體，都會成為攻擊對象。近來，許多漏洞主要被國家贊助的組織或組織嚴密的犯罪集團所利用。他們的最終目標可能大相徑庭，其中包括想要獲取地緣政治利益、進行錢財敲詐勒索，甚至只是想通過故意破壞系統(tǒng)來證明自己的能力。此類最新攻擊中有許多都依賴于一種人們熟知的不斷發(fā)展的攻擊策略：分布式拒絕服務 (DDoS)。

一些最新的 DDoS 攻擊主要集中在令網絡和網站的功能無法正常使用。2016 年發(fā)生了兩次比較有名的 DDoS 攻擊：一次發(fā)生在通過 Akamai 托管的“Krebs on Security”博客網站上，另一次發(fā)生在為眾多社交網站的關鍵互聯(lián)網基礎設施提供支持的 Dyn DNS 服務器上。在這兩個案例中，攻擊者利用物聯(lián)網設備（如 IP 監(jiān)控攝像頭、DVR 以及其他與目標無關的消費類設備）創(chuàng)建了能夠破壞目標（不相關）服務的僵尸網絡。在 DNS 事件中，許多常用的互聯(lián)網服務遭到了破壞，包括 Netflix、Spotify、Twitter、Tumblr 等等。  

貫穿在當今眾多攻擊事件中的共同主題是：攻擊者將惡意代碼寫入通常位于網絡附近或邊緣位置的設備的非易失性存儲中，意圖是令該設備成為惡意僵尸網絡的一部分。比較常見的情況是，在企業(yè)認識到加密安全保護是新設計中穩(wěn)健周全的基礎支柱要素之前，大多數(shù)物聯(lián)網設備便都已部署完畢，這讓它們輕易就成為了黑客攻擊入侵的最新場地。 

深度防御，對抗未知威脅

請務必了解最新的一些軟件和硬件安全產品，以便從頭開始設計物聯(lián)網設備，使其具有適當?shù)谋Ｗo和恢復能力?？绻I(yè)物聯(lián)網 (IIoT) 和汽車等不同行業(yè)的各種聯(lián)盟正在推動形成新的網絡安全框架，重點強調實施安全解決方案的最佳做法。工業(yè)互聯(lián)網聯(lián)盟 (IIC) 發(fā)布了工業(yè)互聯(lián)網安全框架 (IISF)，強調同時使用軟件和硬件，并從整體的角度考慮生態(tài)系統(tǒng)和設備級別的安全性。各公司開始競相在其生態(tài)系統(tǒng)的方方面面提供充分的安全保護，但遺憾的是，由于更新這些設計是一項復雜的工作，并且需要一些資源，在許多情況下，物聯(lián)網端點仍然得不到重視。此外，人們還忽略了這樣一個策略：設計具有相應的惡意軟件抵御能力的設備，并使之具有適當級別的保護冗余，以防未來暴露出一些意想不到的安全漏洞。  

被稱為“深度防御”的全面端點安全保護策略可以采用分層設計，如此一來，即使惡意軟件能夠繞過一個系統(tǒng)安全保護層，也會很快在同一個系統(tǒng)中遇到下一層可能更難以攻破的保護屏障。盡管這種冗余級別聽起來可能成本高昂、較為復雜甚至沒有必要，但對于零日（未知）漏洞風險不斷增加的環(huán)境而言，它絕對是實現(xiàn)全面端點安全保護的關鍵要素。換言之，通過添加保護層，您可以抵御您可能并不知道自己已經遭遇的問題。如果遵循 NIST 的建議使用硬件信任根，這種策略在許多情況下的實施效果都非常理想。一般而言，與在設備或系統(tǒng)級別僅實施軟件相比，硬件信任根要可靠許多。

了解硬件信任根和內存

如今的硬件信任根有多種存在形式，許多硬件基元或安全加速器都可以在不同的硅基解決方案中找到。這些信任根可用于強化物聯(lián)網端點設計，但可能會大幅增加復雜性，此外，要合理地了解并開發(fā)這些設計，需要用到大量設計資源。例如，可信平臺模塊 (TPM)、可信執(zhí)行環(huán)境以及其他充當獨立解決方案的安全元素都屬于這類情況。系統(tǒng)中已經存在的組件也可能具備其他一些固有安全功能，例如，片上系統(tǒng)的處理器復合體以及系統(tǒng)非易失性存儲。重放保護內存塊 (e.MMC)、符合 Opal 規(guī)范的固態(tài)硬盤 (SSD)，甚至 NOR & NAND 閃存塊鎖定等內存保護功能可為整個系統(tǒng)級安全解決方案提供一個額外的保護層。

針對移動中數(shù)據的保護（各網絡中或整條總線中數(shù)據的保密性）通常使用加密來控制，而加密則由加密密鑰基礎設施進行管理，相應地對數(shù)據流進行加密和解密。如果數(shù)據的隱私性至關重要，則尤其需要維護加密密鑰基礎設施。另一項更加容易被忽視的需求是對靜態(tài)數(shù)據的保護。處于靜態(tài)的關鍵代碼或數(shù)據存儲在非易失性存儲中，直到系統(tǒng)為了啟動、執(zhí)行某個應用程序或運行其他系統(tǒng)功能（如參數(shù)管理或更新）而訪問它們?yōu)橹?。在許多情況下，各種攻擊會通過覆蓋這些關鍵代碼來植入持久性威脅，這些威脅則利用所入侵的設備作為工具，最終對生態(tài)系統(tǒng)發(fā)起僵尸網絡攻擊。如果對關鍵代碼施加某種級別的加密保護，攻擊者植入惡意代碼的能力就會被大幅削弱。

網絡安全防御體系的發(fā)展正在設法跟上網絡攻擊的發(fā)展步伐，因此，充分利用軟件和硬件的現(xiàn)有功能是至關重要的。許多安全解決方案供應商正不斷涌現(xiàn)，他們推出了更新的集成解決方案，希望加快實施速度，并減輕因將安全保護作為基礎設計組件加以實施而產生的設計負擔。不要輕視物聯(lián)網網絡邊緣處的關鍵代碼保護工作。物聯(lián)網網絡邊緣可能會成為安全性最薄弱的位置，如果受到攻擊，最終會帶來重大的經濟負擔。  

作者：美光科技嵌入式產品事業(yè)部細分市場總監(jiān)Jeff Shiner