Prozkoumání technik modelování hrozeb a zmírnění rizik

  • 9 min

Vývojáři Azure IoT nezodpovídají za návrh architektury řešení IoT, ale pochopení hrozeb pro řešení je důležité.

Architektura řešení a zabezpečení

Při navrhování systému je důležité pochopit potenciální hrozby systému a odpovídajícím způsobem přidat odpovídající ochranu, protože systém je navržen a navržen. Je důležité navrhnout produkt od začátku s ohledem na zabezpečení, protože pochopení toho, jak by útočník mohl být schopen ohrozit systém, pomáhá zajistit, aby byla od začátku vhodná omezení rizik.

Týmy návrhu používají techniky modelování hrozeb, aby zvážily zmírnění rizik, protože systém je navržený spíše než po nasazení systému. Tato skutečnost je kriticky důležitá, protože dovytváčení bezpečnostní ochrany na řadu zařízení v terénu je neproveditelné, náchylné k chybám a opouští zákazníky v nebezpečí.

Modelování hrozeb

Cílem modelování hrozeb je porozumět tomu, jak by mohl útočník ohrozit systém, a pak zajistit, aby byla zavedena vhodná omezení rizik.

Co vzít v úvahu při modelování hrozeb

Měli byste se podívat na řešení jako na celek a zaměřit se také na následující oblasti:

  • Funkce zabezpečení a ochrany osobních údajů.
  • Funkce, jejichž selhání jsou relevantní pro zabezpečení.
  • Funkce, které se dotknou hranice důvěryhodnosti.

Kdo modelování hrozeb

Modelování hrozeb je proces jako jakýkoli jiný. Je vhodné zacházet s dokumentem modelu hrozeb jako s jakoukoli jinou součástí řešení a ověřit ho jako tým. Mnoho vývojových týmů má vynikající úlohu, která zachycuje funkční požadavky na systém, který zákazníkům přináší výhody. Identifikace nejevných způsobů, jak může někdo zneužít systém, je ale náročnější. Modelování hrozeb může vývojářům pomoct pochopit, co může útočník dělat a proč.

Jak provádět modelování hrozeb

Proces modelování hrozeb se skládá ze čtyř kroků; postup:

  • Modelujte aplikaci.
  • Vytvoření výčtu hrozeb
  • Zmírnění hrozeb
  • Ověřte zmírnění rizik.

Zabezpečení v IoT

Připojení speciálních zařízení mají významný počet potenciálních prostorů interakce a vzorů interakce, z nichž všechny musí být považovány za rámec pro zabezpečení digitálního přístupu k těmto zařízením. Pojem "digitální přístup" se zde používá k rozlišení od všech operací, které se provádějí prostřednictvím přímé interakce zařízení, kde je zabezpečení přístupu poskytováno prostřednictvím fyzického řízení přístupu. Například umístění zařízení do místnosti se zámkem na dveřích. I když fyzický přístup nelze odepřít pomocí softwaru a hardwaru, je možné přijmout opatření, která brání fyzickému přístupu, aby vedlo k rušení systému.

Pro optimalizaci osvědčených postupů zabezpečení se doporučuje, aby se typická architektura IoT v rámci modelování hrozeb rozdělila do několika komponent/zón. Tyto zóny:

  • Zařízení
  • Brána IoT Edge (zařízení IoT Edge používané jako brána pole)
  • Cloudové brány (IoT Hub)
  • Služby

Každá zóna je oddělená hranicí důvěryhodnosti, která představuje přechod dat/informací z jednoho zdroje do jiného. Během tohoto přechodu mohou být data/informace předmětem falšování identity, manipulace, repudice, zpřístupnění informací, odepření služby a zvýšení oprávnění (STRIDE).

Referenční architekturu Azure IoT můžeme použít k předvedení toho, jak uvažovat o modelování hrozeb pro IoT a jak řešit zjištěné hrozby. Tento přístup identifikuje čtyři hlavní oblasti zaměření:

  • Zařízení a zdroje dat.
  • Přenos dat.
  • Zpracování zařízení a událostí.
  • Prezentace.

Běžné bezpečnostní hrozby a zmírnění rizik

U řešení Azure IoT se hrozby nejčastěji zaměřují na fyzická zařízení nebo na jednu z hranic důvěryhodnosti identifikovaných v diagramu zjednodušeného modelu hrozeb výše.

Zvažte následující definice STRIDE:

  • Falšování identity (S): Útok na falšování identity nastane, když útočník předstíral, že je někým, kdo není. K útokům falšování identity může dojít místně. Útočník může například extrahovat kryptografický klíč ze zařízení, a to buď na úrovni softwaru nebo hardwaru, a pak získat přístup k systému s jiným fyzickým použitím identity zařízení, ze které byl klíč materiál převzat.
  • Manipulace (T): Útoky na manipulaci nastanou, když útočník upraví přenášená data (a pro IoT může zahrnovat ohrožení fyzického zařízení). Útočník může například ohrozit fyzické zařízení pro získání kryptografických klíčů, zachycení a potlačení dat ze zařízení v komunikační cestě a nakonec použít extrahovaný materiál klíče k nahrazení dat falešnými daty, která jsou ověřena odcizeným materiálem klíče.
  • Repudiation (R): Repudiation nastane, když někdo provede akci a pak tvrdí, že to ve skutečnosti neudělal. Repudiation je obvykle spojená se schopností správně sledovat a protokolovat akce uživatelů a pro Azure IoT tuto hrozbu zmírnit služba Azure IoT Hub. Repudiation se nevztahuje na útoky na fyzická zařízení.
  • Zpřístupnění informací (I): Hrozby zpřístupnění informací jsou jednoduché – může útočník zobrazit data, která by neměl zobrazit? Pokud například přenášíte data z jednoho počítače do jiného a útočník může data na drátě chytnout, bude vaše komponenta podléhat hrozbě zpřístupnění informací.
  • Odepření služby (D): K hrozbě odepření služby dochází v případě, že útočník může snížit nebo odepřít službu uživatelům. U IoT toto snížení výkonu zahrnuje vykreslení zařízení, které nedokáže fungovat nebo komunikovat. Například sledovací kamera, která měla své napájení nebo síťové připojení záměrně vyvrácené, nemůže hlásit data.
  • Zvýšení oprávnění (E): K hrozbě zvýšení oprávnění dochází, když má útočník možnost získat oprávnění, která by normálně neměl. U IoT může tato hrozba vynucovat, aby zařízení udělalo něco jiného, než je zamýšlená funkce. Například ventil, který je naprogramován tak, aby otevíral polovinu cesty, může být ošidný tak, aby se otevřel celou cestu.

Běžné hrozby pro fyzická zařízení

Součást

Hrozba

Omezení rizik

Riziko

Implementace

Zařízení

S

Přiřazení identity k zařízení a jeho ověření

Nahrazení zařízení nebo jeho části jiným zařízením Jak víte, že mluvíte se správným zařízením?

Ověřování zařízení pomocí protokolu TLS (Transport Layer Security) nebo IPSec Infrastruktura by měla podporovat použití předsdíleného klíče (PSK) na těchto zařízeních, která nemohou zpracovat úplnou asymetrickou kryptografii. Použijte Microsoft Entra ID nebo OAuth.

Zařízení

TID

Na zařízení použijte mechanismy manipulace, například tím, že znesnadníte extrakci klíčů a dalších kryptografických materiálů ze zařízení.

Riziko je, že někdo manipuluje se zařízením (fyzická interference). Jak jste si jisti, že zařízení nebylo manipulováno.

Nejúčinnějším zmírněním rizik je funkce čipu TPM (Trusted Platform Module), která umožňuje ukládat klíče do speciálních obvodů na čipu, ze kterých se klíče nedají číst, ale dají se použít jenom pro kryptografické operace, které klíč používají, ale nikdy klíč nezpřístupňují. Šifrování paměti zařízení. Správa klíčů pro zařízení Podepsání kódu

Zařízení

E

Řízení přístupu k zařízení. Schéma autorizace.

Pokud zařízení umožňuje provádět jednotlivé akce na základě příkazů z vnějšího zdroje nebo dokonce ohrožených senzorů, umožní útoku provádět operace, které nejsou jinak přístupné.

Schéma autorizace pro zařízení.

Brána IoT Edge (brána pole)

S

Ověřování brány Pole ve službě Cloud Gateway (například na základě certifikátů, PSK nebo deklarace identity).

Pokud někdo může spoof Field Gateway, může se zobrazit jako jakékoli zařízení.

TLS RSA/PSK, IPSec, RFC 4279. Obecně platí, že všechna stejná úložiště klíčů a ověření identity zařízení – nejlepším případem je použití čipu TPM. Rozšíření 6LowPAN pro IPSec pro podporu bezdrátových snímačů (WSN).

Brána IoT Edge (brána pole)

TID

Ochrana brány pole před manipulací (TPM?)

Útoky na falšování identity, které oklamat cloudovou bránu myslí, že mluví s bránou polí, můžou vést k vyzrazení informací a manipulaci s daty.

Šifrování paměti, čip TPM, ověřování.

Brána IoT Edge (brána pole)

E

Mechanismus řízení přístupu pro Field Gateway

Tady je několik příkladů hrozeb pro fyzická zařízení:

  • Falšování identity: Útočník může extrahovat kryptografický klíč ze zařízení, a to buď na úrovni softwaru nebo hardwaru, a později získat přístup k systému s jiným fyzickým nebo virtuálním zařízením pod identitou zařízení, ze které byl klíč materiál převzat.
  • Odepření služby: Zařízení může být znemožněno fungování nebo komunikaci tím, že zasahuje do rádiových frekvencí nebo řezání drátů. Například bezpečnostní kamera, u které někdo záměrně odpojil napájení nebo síťové připojení, nemůže předávat žádná data.
  • Manipulace: Útočník může částečně nebo zcela nahradit software spuštěný na zařízení, což může nahradit nahrazovaný software, aby používal skutečnou identitu zařízení, pokud byl pro neoprávněný program k dispozici materiál klíče nebo kryptografické zařízení, které obsahuje klíčové materiály.
  • Manipulace: Kamera s dohledem, která ukazuje viditelný snímek prázdné chodby, by mohl být zaměřen na fotografii takového chodby. Senzor kouře nebo požáru může hlásit, že někdo pod ním drží světlejší. V obou případech může být zařízení technicky plně důvěryhodné vůči systému, ale hlásí manipulované informace.
  • Manipulace: Útočník může použít extrahovaný materiál klíče k zachycení a potlačení dat ze zařízení na komunikační cestě a jeho nahrazení falešnými daty ověřenými v ukradeném klíči.
  • Manipulace: Útočník může částečně nebo úplně nahradit software spuštěný na zařízení, což může nahradit nahrazený software, aby používal skutečnou identitu zařízení, pokud byl pro neoprávněný program k dispozici materiál klíče nebo kryptografické zařízení, které obsahuje klíčové materiály.
  • Zpřístupnění informací: Pokud zařízení používá manipulovaný software, mohl by takový manipulovaný software potenciálně uniknout dat neoprávněným stranám.
  • Zpřístupnění informací: Útočník může použít extrahovaný klíč materiálu k vložení do komunikační cesty mezi zařízením a kontrolerem nebo bránou pole nebo cloudovou bránou, aby vypnul informace.
  • Odepření služby: Zařízení je možné vypnout nebo převést do režimu, kdy komunikace není možná (což je úmyslné v mnoha průmyslových počítačích).
  • Manipulace: Zařízení je možné překonfigurovat tak, aby fungovalo v neznámém stavu řídicího systému (mimo známé parametry kalibrace), a tak poskytovat data, která mohou být chybně interpretována.
  • Zvýšení oprávnění: Zařízení, které dělá konkrétní funkci, může být nuceno provést něco jiného. Například ventil, který je naprogramován tak, aby otevíral polovinu cesty, může být ošidný tak, aby se otevřel celou cestu.

Běžné hrozby proti komunikaci

Součást

Hrozba

Omezení rizik

Riziko

Implementace

Zařízení do IoT Hubu

TID

(D) Tls (PSK/RSA) pro šifrování provozu

Odposlouchávání nebo rušení komunikace mezi zařízením a bránou.

Zabezpečení na úrovni protokolu. S vlastními protokoly musíte zjistit, jak je chránit. Ve většině případů probíhá komunikace ze zařízení do IoT Hubu (zařízení inicializuje připojení).

Zařízení do zařízení

TID

(D) Tls (PSK/RSA) pro šifrování provozu

Čtení přenášených dat mezi zařízeními Manipulace s daty Přetížení zařízení novými připojeními

Zabezpečení na úrovni protokolu (MQTT/AMQP/HTTP/CoAP). S vlastními protokoly musíte zjistit, jak je chránit. Zmírněním hrozby DoS je vytvoření partnerského vztahu zařízení přes cloudovou bránu nebo bránu polí a mít je jenom jako klienti v síti. Partnerský vztah může vést k přímému připojení mezi partnerskými vztahy po zprostředkování bránou.

Externí entita pro zařízení

TID

Silné párování externí entity se zařízením

Odposlouchá připojení k zařízení. Zasahování komunikace se zařízením.

Bezpečné spárování externí entity se zařízením NFC/Bluetooth LE. Ovládání operačního panelu zařízení (fyzické).

Brána IoT Edge do cloudové brány

TID

Tls (PSK/RSA) pro šifrování provozu

Odposlouchávání nebo rušení komunikace mezi zařízením a bránou.

Zabezpečení na úrovni protokolu (MQTT/AMQP/HTTP/CoAP). S vlastními protokoly musíte zjistit, jak je chránit.

Zařízení do cloudové brány

TID

Tls (PSK/RSA) pro šifrování provozu

Odposlouchávání nebo rušení komunikace mezi zařízením a bránou.

Zabezpečení na úrovni protokolu (MQTT/AMQP/HTTP/CoAP). S vlastními protokoly musíte zjistit, jak je chránit.

Tady je několik příkladů hrozeb pro komunikaci:

  • Odepření služby: Omezená zařízení jsou obvykle pod hrozbou DoS, když aktivně naslouchají příchozím připojením nebo nevyžádaným datovýmgramům v síti, protože útočník může otevřít mnoho připojení paralelně, nikoli je obsluhovat nebo je obsluhovat pomalu, nebo může být zařízení zahlceno nevyžádaným provozem. V obou případech může být zařízení v síti efektivně vykreslováno jako nefunkční.
  • Falšování identity, Zpřístupnění informací: Omezená zařízení a zařízení pro zvláštní účely mají často jedno pro všechna bezpečnostní zařízení, jako je ochrana heslem nebo PIN kódem, nebo zcela spoléhají na důvěryhodnost sítě, což znamená, že udělují přístup k informacím, když je zařízení ve stejné síti, a tato síť je často chráněná pouze sdíleným klíčem. To znamená, že když se sdílený tajný klíč zařízení nebo sítě zveřejní, je možné zařízení ovládat nebo sledovat data vygenerovaná ze zařízení.
  • Falšování identity: Útočník může zachytit nebo částečně přepsat vysílání a falšování identity původce.
  • Manipulace: Útočník může zachytit vysílání nebo částečně přepsat a odeslat falešné informace.
  • Zpřístupnění informací: Útočník může odposlouchát vysílání a získat informace bez autorizace.
  • Odepření služby: Útočník může zablokovat vysílání signálu a zakázat distribuci informací.