Flash内建保护、侦测及还原机能 奠定IoT安全基石
- DIGITIMES企划/DIGITIMES企划
鉴于IoT网安事件层出不穷,许多国家政府、国际标准组织,纷纷针对IoT装置制定安全规范,各法规强制行的期限不一,分别落在2022或2023年,但华邦电子安全解决方案行销企划处技术经理李亚玲认为,以现今时间点来看,距离这些生效日都不远,意谓研发或产品经理在进行产品规划时,需提前网安相关防护纳入考量。
着眼于此,长年致力发展存储器产品的华邦电子,近年积极与相关国际组织互动讨论,包括ARM的PSA Certified,Common Criteria、Eurosmart、GlobalPlatform及SESIP等,统整这些组织对于IoT装置安全的规范方向,主要保护重点不外乎以下三个面向,分别是软/韧体、Flash Memory与MCU/SoC的安全防护。若依TEEMA iSEC针对IoT安全生态系定义的金字塔架构,最关键的底层基础即为信任根与强韧度(Root of Trust & Resilience),为此华邦电子推出两项重要产品,一是Secure Flash,另一是Secure Element,后者为「MPU+Secure Flash」结构。
为何需要Secure Flash?李亚玲解释,一方面矽芯片制程进入Sub-10nm,而非挥发性存储器(Non-Volatile Memory;NVM)由于物理极限,无法使用这样的先进制程,二方面IoT相关MCU和SoC逐渐走向Fabless,这两者都意谓未来存储器将不再内嵌于矽芯片,因此存储器主动的网安风险管理能力则日趋重要。
华邦电子以TrustME系列提供Secure Flash与Secure Element,其中Secure Flash部份依照不同的安全防护等级,有W77Q、W75F两项产品,至于Secure Element则推出W76S。若以车用影音系统、网络摄影机、智能门铃/锁等大宗消费型IoT设备来看,系以W77Q为主力产品,用户仅需透过软件设定,便可驱动网安功能。
按Eurosmart定义的安全等级,W77Q落在从Basic到Substantial这一段,主要作用包括实现信任根、确保储存数据的安全、确保OTA韧体更新的安全、确保从装置到云的通道安全,也确保平台的强韧性。
李亚玲归纳,W77Q可做到几件事,协助达到IoT系统安全。首先是Secure Data Storage,支持以密文进行读写,并区分不同Section,做为不同存取权限的分界,另可确保SPI bus上传输的数据全为加密,防止有心人窥探。其次为Secure OTA Firmware Update,以Rollback Protection机制防止黑客对靱体进行退版。再者是Root of Trust及Secure Boot,藉由完整性检查,确保Boot Code未被窜改过,从而建立根信任、协助系统执行安全启动。
具体来说,W77Q参酌NIST SP 800-193定义,领先NOR Flash业界置入「Firmware Resiliency」设计,藉由密文读/写及Rollback Protection来保护关键数据;透过SHA256概念实施Integrity Check,侦测韧体版本正确与否;此外一来透过Safe Fallback功能、让系统遭遇攻击后展开自救,二来搭配Authenticated Watchdog Timer,若发现非法OTA韧体更新造成延迟,就强制停止相关动作。
- 练就可视化与零信任基本功 决胜OT网安攻防战
- 依国际标准制定OT管理架构 逐步落实永续网安治理
- 布建端到端自动学习与检查机制 实现OT零信任防御
- Flash内建保护、侦测及还原机能 奠定IoT安全基石
- 补足网络可视化能力 接续推动OT网安升级
- 透过行为分析模式 有效侦测与防护端点攻击
- 掌握五大步骤 可望提升工控网安防御力
- 跳脱传统VPN 形塑安全无虞的OT线上存取模式
- 善用XDR展现跨维度侦测能力 应付日趋复杂的攻击
- 结合VPN、WAN与云端原生网安 思科SASE驱动安全数码转型
- 横跨多云管理流量与安全 彻底实践统一应用交付
- 全面汇集OT网络与设备信息 建立完整工控网安视图
- 台北市政府强化网安治理 有效落实曝险最小化