NO.54 | 2019.04.30
banner
title開花結果 友善列印>>
物聯網系統層級資安防護評估機制_資通安全組 王慶豐經理、曾昭銘工程師

        全球物聯網資安檢測標準多以設備(Device)檢測或其風險管理(RISK Management)為主,目前國際間系統層級物聯網資安評估機制及做法簡述如下:
  1. 歐盟網路與資訊安全局(European Union Agency for Network and Information Security, ENISA)於2017年出版物聯網基本安全建議書(Baseline Security Recommendations for IoT),試圖建立可以適用各種物聯網系統的基本安全建議。物聯網基本安全建議書從政策(Polices)、人員組織及程序評估(Organizational, People and Process Measures)與技術評估(Technical Measures)等三個層面提供物聯網基本資安建議。
  2. GSM協會(Groupe Speciale Mobile Association, GSMA)於2016年推出物聯網安全指引及評估(The GSMA IoT
    Security Guidelines and Assessment)系列,包含CLP.11物聯網安全指引概述文檔(IoT Security Guidelines Overview Document)、CLP.12 物聯網服務生態系統安全指引(IoT Security Guidelines for IoT Service Ecosystem)、CLP.13 物聯網終端生態系統安全指引(IoT Security Guidelines Endpoint Ecosystem)及CLP.14 網路運營商安全指引(IoT Security
    Guidelines for Network Operators)。另外,CLP.17 物聯網安全評估(IoT Security Assessment)中提供評估清單,藉由該文件可讓物聯網產品、服務及元件的供應商進行自主評估其產品、服務及元件是否符合 GSMA 物聯網安全指引。
  3. 開放網頁應用安全計畫(Open Web Application Security Project,OWASP)物聯網安全指導(IoT Security Guidance)分別針對製造商(Manufacturer)、開發商(Developer)及消費者(Consumer)提出物聯網安全考量。
        大部分物聯網(Internet of Things,IoT)應用係透過應用服務層、網路傳輸層、感知控制層及行動App層等四個部份所組成的系統,提供各種相關應用及服務,將改變運作模式逐步成為智慧網路型社會。鑑於IoT系統的複雜性,異質設備面臨許多資安挑戰,因此本中心著重於物聯網系統層級資安議題,制定物聯網系統層級資安防護評估機制,提供物聯網系統完整資安風險評估並確認其資安防護能力,有效降低資安事件帶來的威脅風險。

        資安風險評估基本上是威脅識別及衝擊影響分析的結合,整個評估過程包含從物聯網垂直應用情境進行威脅建模(Threat Modeling)、漏洞檢測(Vulnerability Testing)、滲透測試(Penetration Testing)及影響分析(Impact Analysis)等,程序如圖1所示。

圖1:物聯網系統層級資安防護評估機制程序
(圖片來源:TTC)
  • 威脅建模(Threat Modeling)
        威脅建模首要重點在於攻擊面分析,從巨觀的角度讓資安人員可以注意到整個物聯網系統的應用程式、設備或流程中可能遭受攻擊的弱點,以利後續定義出防範或減緩系統威脅的對策,並依輕重緩急實施補救措施,降低開發和營運過程中出現的資安風險。威脅建模包含盤點物聯網系統資產設備、建立物聯網系統架構說明、解析物聯網系統運作程序、確認各種可能的威脅及記錄所有可能的威脅五個步驟,說明如下:
  1. 盤點物聯網系統資產設備:威脅建模首先必須盤點並詳細紀錄物聯網系統內所有資產設備,清楚描述該設備資訊如名稱、用途、IP等,及須被保護的資料類型。
  2. 建立物聯網系統架構說明:建立物聯網系統架構圖的主要目的在於瞭解系統整體運作程序,並提供後續解析物聯網系統潛在的攻擊面向(Attack Surface)及潛在資安威脅。
  3. 解析物聯網系統運作程序:主要在於瞭解物聯網系統運作時其資料的生命週期,以確認在安全架構內必須被解決的漏洞或弱點,透過追蹤其運作時各個進入點的資料流(Data Flow)並記錄經過系統內哪些設備,識別出攻擊者最有可能的攻擊目標。此外,透過追蹤資料流可釐清攻擊者可能的攻擊面向(Attack Surface),並且找出對應的威脅減緩措施。
  4. 識別並分析各種可能的威脅:完成物聯網系統資產及資料流識別及盤點後,針對物聯網系統中所有資產可能遭受的威脅進行識別,威脅可能包含各種惡意攻擊、竊聽、攔截、劫持、停止運作、資訊損害、軟韌體弱點、實體損毀等。
  5. 記錄所有可能的威脅:在識別完物聯網系統所有可能威脅後,以書面表格方式記錄下來,紀錄內容須包含威脅編號、
    SITRIDE威脅模型、目標、攻擊技術及可能衝擊情境。
  • 漏洞檢測(Vulnerability Testing)
        完成威脅建模,並確認物聯網系統可能存在的威脅後,利用8項安全政策及38個安全控制項目進行查核,檢測物聯網系統軟硬體是否存在重大漏洞或弱點,以提供後續滲透測試之依據。設備漏洞檢測包含應用服務層的資訊系統、網路傳輸層的網通設備及感知控制層的物聯網終端設備等三種,依據其特性進行不同的漏洞檢測。
  • 滲透測試(Penetration Testing)
        物聯網滲透測試主要著重於整體架構下的安全剖析,包含端點設備安全檢視、資料流的傳輸協定安全分析、雲端平臺安全檢測及常見使用者介面安全分析等。藉由了解整體架構的串流方式後,模擬攻擊者的思維,尋找整個物聯網架構中,所有可利用的攻擊途徑,來防範資料外洩、服務中斷、設備遭到劫持等問題。

        此流程參考美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)SP 800-115文件、滲透測試執行標準(Penetration Testing Execution Standard, PETS)、支付卡產業資料安全標準(Payment Card Industry Data
Security Standard, PCIDSS)、國際最佳實務參考指引及開放網路軟體安全專案(Open Web Application Security Project,
OWASP)制定的滲透測試項目與開源安全測試方法指南(Open Source Security Testing Methodology Manual,OSSTMM)為基礎,設計通用於物聯網系統層級之滲透測試作業流程與通用檢測項目。

圖2:物聯網系統層級滲透測試作業流程圖
(圖片來源:TTC)
 
圖3:物聯網滲透測試作業架構圖
(圖片來源:TTC)
  • 影響分析(Impact Analysis)
        物聯網適用於各種垂直應用領域,設備製造商、系統整合商或使用者面對資安威脅,重視的影響層面也有些許差異。因此,本機制以DREAD(Damage Potential、Reproducibility、Exploitability、Affected Users、Discoverability)及
OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation)Allegro兩種影響評估分析模型,並依據不同垂直應用,選擇適當的評估方式。
  1. DREAD 風險評估模型:DREAD是一個用來評估風險係數的演算法模型,總共有5個評估維度,透過對這5個維度針對每個威脅進行等級評估。5個維度的平均值即為該威脅風險值,風險值越大,表示威脅風險越高,同時考量到設備的漏洞風險值CVSS及資料流面的STRIDE風險影響,著重於威脅本身的特性做評估。
  2. OCTAVE風險評估模型:著重於威脅發生造成使用者各種層面的影響評估,其使用的維度包括聲譽及客戶信心
    (Reputation and Customer Confidence)、生命安全與健康(Life Safety and Health)、罰金與法律懲罰(Fine
    and Legal Penalty)、財物損失(Financial Loss)及生產力(Productivity)等。
        透過研析國際物聯網資安評估指引或規範,本中心已完成三份評估規範草案,分別為「物聯網系統層級資安防護評估指引第一部:通用要求」、「物聯網系統層級資安防護評估指引第二部:智慧家庭系統評估實務」及「物聯網系統層級資安防護評估指引第二部:智慧停車系統評估實務」,完整評估物聯網安全防護能力及可能發生的風險,有效揭露物聯網系統是否達到基本安全防護,進而提升物聯網安全性與可靠性,降低民眾對於使用各種物聯網服務所涉及的隱私及安全疑慮。