כיצד לאבטח את מכשירי הקצה ב-IoT (האינטרנט של הדברים)?
מאת:
דיניאר דאסטור, 12.6.16, 18:00
איך יכולים מפתחים לדעת כמה אבטחה "מספיקה" כדי להגן על מכשיר מבלי לפגוע בביצועיו? המאמר סוקר קריטריונים לקביעת דרישות אבטחה של מכשירי קצה המקושרים לתשתיות IoT.
פרצות אבטחה במערכת ההפעלה, שמהווה חלק ממערכות האינטרנט של הדברים -
IoT, דוגמת חיישנים ובקרים הנשלטים ע"י מחשב, עלולות להביא לתוצאות חמורות הכוללות אובדן הכנסות משמעותי, פגיעה באמינות ובמוניטין, ואף סיכון חיי אדם.
מחקירת מקרים רבים של פריצה לנתונים בהיקף גדול עולה, שהפריצות לרוב אינן נובעות מפרצה אחת ויחידה, אלא ממספר נקודות כשל. סגירת כל אחת מן הפרצות מסייעת למנוע חדירה או לפחות למזער את הנזק הנגרם.
תכנון אבטחת מערכות ההפעלה בעולם ה-IoT מציב אתגרים שונים מאלה המוכרים מאבטחת תוכנה ארגונית או רשתות תקשורת. כיצד יכולים מפתחים לדעת כמה אבטחה "מספיקה" כדי להגן על מכשיר מבלי לפגוע בביצועיו?
מאמר זה סוקר את הקריטריונים לקביעת דרישות אבטחה של מכשירי קצה המקושרים לתשתיות
IoT. הוא גם מציג גישה גמישה וסקלאבילית להטמעת אמצעי אבטחה יעילים וחסכוניים.
אבטחת נקודת האינטראקציה
לאבטחת מכשירים ב-
IoT יש חשיבות עליונה. אחרי הכל, מכשירים הם ה"דברים -
Things" ב-
IoT, שלמעשה מבצעים את פונקציות המערכת ומייצגים את הנתונים, שהמערכת בכללותה מסתמכת עליהם. לעיתים קרובות המכשירים מהווים נקודות ממשק בהן אנשים נמצאים באינטראקציה עם המערכת. אבטחת מכשירים היא בעייתית במיוחד, מכיוון שאלה פגיעים גם בהיבט הפיזי וגם חשופים לאיומים המגיעים מהרשת.
התוצאות של פריצה עלולות להיות חמורות. גניבת זהויות צרכנים בהיקף גדול, עלולה להרוס את המוניטין והאמינות של חברה. פריצה לבקר תהליכים ברצפת ייצור תעשייתית, עלולה לגרום להשבתה יקרה ולסיכוני בטיחות, ובמקרה של מכשור רפואי ברשת, פריצה עלולה אף לסכן חיים.
חשוב להבין, שכאשר מתרחשת פריצה בהיקף נרחב למכשירים, היא אינה נגרמת כתוצאה מנקודת כשל יחידה אלא כסדרה של כשלים במספר נקודות תורפה. סגירת הפער בכל אחת מנקודות אלו עשויה להיות צעד גדול בדרך למניעת פריצה, או לפחות לזיהוי תקיפה בתהליך והגבלת הנזק.
מפתחים צריכים לטפל במרכיבי האבטחה בזמן תכנון המכשיר, מה שדורש זיהוי נקודות תורפה פוטנציאליות על בסיס האופן והמיקום בהם ישתמשו במכשיר. יש מספר אמצעי אבטחה בהם יכולים לנקוט יצרני מכשירים. האתגר הוא לקבוע מהי רמת האבטחה הנדרשת ואילו אמצעים יהיו היעילים ביותר.
תכנון של אבטחה "בדיוק במידה מספקת"
כאמור, תכנון אבטחת מכשירים עבור יישומי
IoT, מציב אתגרים שונים מאלה של אבטחת תוכנה ארגונית או רשתות תקשורת. מכשירים משובצי-מחשב הם בד"כ קטנים יותר ובעלי משאבי מחשוב מוגבלים. פונקציות אבטחה רבות מדי עלולות לפגוע בביצועי המכשיר או המערכת בכללותה ולהגדיל את עלות הפיתוח הכוללת. עם זאת, מעט מדי אבטחה עלולה להשאיר נקודות חיוניות חשופות. החוכמה היא לבנות אבטחה "בדיוק במידה מספקת" כדי למזער את נקודת התורפה והאתגר עבור מפתחים הוא להבין כמה זה "בדיוק במידה מספקת" (ראו איור 1).
איור 1. שלושה קריטריונים עבור תכנון אבטחה "בדיוק ברמה המספקת".
התשובה מהי רמת אבטחה מספקת, תלויה ב-3 קריטריונים מרכזיים:
- הסביבה בה המכשיר יופעל: האם המכשיר נמצא במרכז קניות, חשוף לאלפי אנשים ובסיכון להתערבות חיצונית? או שהוא נמצא מאחורי דלת סגורה במתקן מאובטח? תרחישים מנוגדים אלה יוצרים סוגים שונים של שיקולי אבטחה.
- כיצד המכשיר יתחבר ויתקשר: כיצד המכשיר מחובר לרשת? האם הוא מתקשר בצורה אלחוטית עם פרוטוקולים כגון ZigBee או WiFi, שעשויים לדרוש סוג מסוים של הצפנה? האם הוא מאחורי פיירוול? האם הוא מחובר לאינטרנט הציבורי או לרשת אינטרה-נט, שם יש פחות חשיפה להתערבות חיצונית?
- סוג הנתונים, שהמכשיר מאחסן: האם המכשיר אוסף נתונים רגישים, כגון מידע פיננסי או רפואי? או האם הוא לוכד מידע רגיש פחות, כגון נתוני מזג אוויר? במקרה כזה תידרש ככל הנראה רמה נמוכה יותר של אבטחה מאשר בקודם לו.
התשובות לשאלות אלו תסייענה לקבוע את מאפייני האבטחה הנדרשים לשילוב במערכת ההפעלה של המכשיר, כדי להבטיח את רמת האבטחה המתאימה. כדי להעניק גמישות מרבית, כדאי להשתמש במערכת הפעלה זמן אמת, שאינה נועלת למערך קבוע מראש של פונקציות אבטחה, אלא מספקת תפריט של תפקודיות אבטחה, מתוכו ניתן לבחור את התכונות הדרושות.
4 היסודות לאבטחה של מכשירים:
בנוסף לטיפול ב-3 קריטריונים מרכזיים אלה לקביעת רמת האבטחה המתאימה, מפתחים צריכים לקחת בחשבון אבטחה בכל שלב של מחזור חיי המכשיר (ראו איור 2):
איור 2. ארבעת היסודות של אבטחת מכשירים.
תכנון: חשוב למנוע כבר מההתחלה החדרה של קוד זדוני במהלך תהליך הפיתוח. אמצעי מנע יכולים לכלול אספקת קוד בינארי חתום, הבטחת האותנטיות ומניעת שינוי בקוד ופיתוח על פלטפורמת תוכנה, שקיבלה הסמכה של תקני אבטחה של התעשייה, כגון
IEC 62443 ו-
IEC 27034.
ביצוע: בשלב הביצוע, היעד הוא לייצר "בסיס של אמון", כדי למנוע מקוד בינארי, שאינו אמין, לרוץ על המערכת. בכך מבטיחים, שרק התוכנה הנכונה נמצאת על החומרה המתאימה ויש אמון בין השתיים. יצירת בסיס אמון עשויה להביא לשימוש בטכנולוגיית אתחול מאובטח וחתימות מפתח הצפנה כדי למנוע מקוד בלתי חתום מלרוץ.
תפעול: יש מגוון אמצעים בהם ניתן לנקוט כדי למנוע תקיפות זדוניות במצב תפעול, כולל בקרות למניעת גישה בלתי מורשית ואבטחה של רשתות באמצעות הצפנה.
כיבוי: כאשר מכשיר נמצא בשלב כיבוי, אמצעים כגון אחסון מוצפן וקונטיינרים מאובטחים של נתונים, צריכים להיות נוכחים כדי למנוע גישה לנתונים על הלוח.
גישה סקלאבילית לאבטחה של מכשירים
לא תמיד אבטחה יעילה דורשת הצבה של אמצעי מנע בכל נקודת תורפה. לעתים, הגיוני להתחיל עם מספר אמצעים לאבטחת המכשיר בעת התקנתו ואז להוסיף פונקציות אבטחה נוספות ככל שמתקדמים לאורך מחזור חיי המכשיר. ניתן להשיג זאת באמצעות מערכת הפעלה מודולרית, שמאפשרת הרחבה והוספת יכולות לאורך זמן עם הופעתם של איומים חדשים.
Security Profile for VxWorks מהווה את אחת הדוגמאות לטכנולוגיה המאפשרת סוג זה של גישה סקלאבילית, שמספקת מערך של יכולות אבטחה, שתוכננו לאינטגרציה קלה לליבת מערכת הפעלה זמן אמת.
איור 3. Security Profile for VxWorks מטפל ב-4 היסודות של אבטחת מכשירים.
כפי שמוצג באיור 3, יש שיפור עם יכולות העונות לכל אחד מ-4 יסודות האבטחה לאורך מחזור חיי המכשיר הטיפוסי עבור כל סוג של מכשיר מרושת. מפתחים יכולים לבחור את תכונות האבטחה, שהם זקוקים להן, על בסיס קריטריוני התכנון שלהם: סביבת פריסה, תקשורת וקישוריות ורגישות של הנתונים המאוחסנים. זה מאפשר להם להטמיע תכונות חסימה ברמות שונות כדי להקשות על פריצה דרך האבטחה ותקיפת המכשיר ולספק את הגמישות להוסיף תפקודיות אבטחה במשך הזמן.
סיכום
אבטחת מכשירים בסביבת
IoT חייבת להוות דאגה מרכזית של מפתחי מכשירים ויצרנים ודורשת התייחסות וטיפול כבר בשלב התכנון. בניית אבטחה בתוך מכשירים מציבה אתגרים ייחודיים. מכשירים דורשים אבטחה "בדיוק במידה מספקת", כדי למנוע חדירות מבלי להתפשר על ביצועי המכשיר.
למרבה המזל, יש טכנולוגיות המאפשרות למפתחים לנקוט בגישה סקלאבילית לאבטחה עם הוספת רמת האבטחה, שהמכשיר זקוק לה עבור הייעוד שלו, ומאפשרות לשלוט על עלויות ולספק מכשירים עפ"י לוח הזמנים תוך הפחתת הסיכון של הפרות אבטחה.
מאת:
דיניאר דאסטור, יוני 2016.
סגן נשיא ומנכ"ל מערכות הפעלה,
Wind River.
למידע נוסף נא לפנות אל חברת
ScaleIL ב-
info@scaleil.com