Memeriksa pemodelan ancaman dan teknik mitigasi

  • 9 menit

Pengembang Azure IoT tidak bertanggung jawab atas desain arsitektur solusi IoT, tetapi memiliki pemahaman tentang ancaman terhadap solusi itu penting.

Arsitektur solusi dan keamanan

Saat merancang sistem, penting untuk memahami potensi ancaman terhadap sistem itu, dan menambahkan pertahanan yang sesuai, karena sistem dibuat dan dirancang. Penting untuk merancang produk sejak awal dengan mengutamakan keamanan karena dengan memahami bagaimana penyerang dapat membahayakan sistem, hal ini dapat membantu memastikan mitigasi yang tepat dilakukan sejak awal.

Tim desain menggunakan teknik pemodelan ancaman untuk mempertimbangkan mitigasi saat sistem dirancang daripada setelah sistem disebarkan. Fakta ini sangat penting, karena retrofitting pertahanan keamanan ke banyak perangkat di lapangan tidak layak, rawan kesalahan, dan menimbulkan risiko bagi pelanggan.

Pemodelan ancaman

Tujuan pemodelan ancaman adalah untuk memahami bagaimana penyerang dapat membahayakan sistem dan kemudian memastikan mitigasi yang tepat.

Apa yang harus dipertimbangkan untuk pemodelan ancaman

Anda harus melihat solusi secara keseluruhan dan fokus pada hal berikut:

  • Fitur keamanan dan privasi.
  • Fitur yang kegagalannya relevan dengan keamanan.
  • Fitur yang menyentuh batas kepercayaan.

Siapa yang melakukan pemodelan ancaman

Pemodelan ancaman adalah proses seperti pada umumnya. Sebaiknya perlakukan dokumen model ancaman seperti komponen solusi lainnya dan validasikan sebagai sebuah tim. Banyak tim pengembangan melakukan pekerjaan yang sangat baik dalam menangkap persyaratan fungsional untuk sistem yang menguntungkan pelanggan. Namun, mengidentifikasi cara yang tidak jelas bahwa seseorang mungkin menyalahgunakan sistem menjadi hal yang lebih menantang. Pemodelan ancaman dapat membantu tim pengembangan memahami apa yang mungkin dilakukan penyerang dan alasannya.

Cara melakukan pemodelan ancaman

Proses pemodelan ancaman terdiri dari empat langkah; langkah-langkahnya adalah:

  • Modelkan aplikasinya.
  • Menghitung Ancaman.
  • Memitigasi ancaman.
  • Validasi mitigasi.

Keamanan di IoT

Perangkat tujuan khusus yang terhubung memiliki banyak area permukaan interaksi potensial dan pola interaksi, yang semuanya harus dipertimbangkan untuk menyediakan kerangka kerja guna mengamankan akses digital ke perangkat tersebut. Istilah "akses digital" digunakan di sini untuk membedakan setiap operasi yang dilakukan melalui interaksi perangkat langsung di mana keamanan akses disediakan melalui kontrol akses fisik. Misalnya, memasukkan perangkat ke dalam ruangan dengan kunci di pintu. Meskipun akses fisik tidak dapat ditolak menggunakan perangkat lunak dan perangkat keras, tindakan dapat diambil guna mencegah akses fisik yang dapat menyebabkan gangguan sistem.

Untuk mengoptimalkan keamanan dengan cara terbaik, disarankan agar arsitektur IoT umum dibagi menjadi beberapa komponen/zona sebagai bagian dari latihan pemodelan ancaman. Zona-zona tersebut adalah:

  • Perangkat
  • Gateway IoT Edge (perangkat IoT Edge yang digunakan sebagai Gateway Bidang)
  • Gateway cloud (IoT Hub)
  • Layanan

Setiap zona dipisahkan oleh Trust Boundary yang merepresentasikan transisi data/informasi dari satu sumber ke sumber lainnya. Selama transisi ini, data/informasi dapat dikenakan Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service dan Elevation of Privilege (STRIDE).

Kita dapat menggunakan Arsitektur Referensi Azure IoT untuk mendemonstrasikan cara berpikir tentang pemodelan ancaman untuk IoT dan cara mengatasi ancaman yang diidentifikasi. Pendekatan ini mengidentifikasi empat bidang fokus utama:

  • Perangkat dan Sumber Data.
  • Transportasi Data.
  • Pemrosesan Perangkat dan Peristiwa.
  • Presentasi.

Ancaman dan mitigasi keamanan umum

Untuk solusi Azure IoT, ancaman paling sering menargetkan perangkat fisik atau salah satu batas kepercayaan yang diidentifikasi dalam diagram model ancaman yang disederhanakan di atas.

Pertimbangkan definisi STRIDE berikut:

  • Spoofing (S): Serangan spoofing terjadi saat penyerang berpura-pura menjadi seseorang yang bukan dirinya. Serangan spoofing bisa terjadi secara lokal. Sebagai contoh, seorang penyerang dapat mengekstrak materi kunci kriptografi dari suatu perangkat, baik di tingkat perangkat lunak maupun perangkat keras, lalu mengakses sistem dengan fisik yang berbeda menggunakan identitas perangkat yang diambil dari materi kunci tersebut.
  • Tampering (T): Serangan perusakan terjadi saat penyerang mengubah data dalam perjalanan (dan untuk IoT mungkin termasuk mengorbankan perangkat fisik). Misalnya, penyerang dapat membahayakan perangkat fisik untuk mendapatkan materi kunci kriptografi, kemudian mencegat dan menyembunyikan data dari perangkat di jalur komunikasi, dan akhirnya menggunakan materi kunci yang diekstraksi untuk mengganti data dengan data palsu yang diautentikasi dengan materi kunci yang dicuri.
  • Repudiation (R): Repudiation terjadi saat seseorang melakukan suatu tindakan lalu mengklaim bahwa dia tidak benar-benar melakukannya. Repudiation biasanya dikaitkan dengan kemampuan untuk melacak dan mencatat tindakan pengguna dengan benar dan untuk Azure IoT, ancaman ini dimitigasi oleh layanan Azure IoT Hub. Repudiation tidak berlaku untuk serangan terhadap perangkat fisik.
  • Information Disclosure (I): Ancaman Information Disclosure bersifat langsung - dapatkah penyerang melihat data yang tidak seharusnya mereka lihat? Misalnya, jika Anda mentransfer data dari satu komputer ke komputer lain dan penyerang dapat mengendus data melalui kabel, komponen Anda terkena ancaman pengungkapan informasi.
  • Denial of Service (D): Ancaman penolakan layanan terjadi ketika penyerang dapat menurunkan atau menolak layanan kepada pengguna. Untuk IoT, degradasi ini termasuk membuat perangkat tidak dapat berfungsi atau berkomunikasi. Misalnya, kamera pengintai yang kekuatannya atau koneksi jaringannya sengaja dimatikan tidak dapat melaporkan data.
  • Elevasi (E): Ancaman elevasi terjadi saat penyerang memiliki kemampuan untuk mendapatkan hak istimewa yang biasanya tidak dimiliki. Untuk IoT, ancaman ini mungkin memaksa perangkat untuk melakukan sesuatu selain fungsi yang dimaksudkan. Misalnya, katup yang diprogram untuk membuka setengah jalan dapat ditipu untuk membuka semua jalan.

Ancaman umum terhadap perangkat fisik

Komponen

Ancaman

Mitigasi

Risiko

Implementasi

Perangkat

S

Menetapkan identitas ke perangkat dan mengautentikasi perangkat.

Mengganti perangkat atau sebagian perangkat dengan beberapa perangkat lain. Bagaimana Anda tahu bahwa Anda berbicara dengan perangkat yang tepat?

Autentikasi perangkat menggunakan Keamanan Lapisan Transportasi (TLS) atau IPSec. Infrastruktur harus mendukung penggunaan kunci yang dibagikan sebelumnya (PSK) pada perangkat yang tidak dapat menangani kriptografi asimetris penuh. Gunakan ID Microsoft Entra atau OAuth.

Perangkat

TID

Terapkan mekanisme tamperproof ke perangkat, misalnya, dengan mempersulit untuk mengekstrak kunci dan materi kriptografi lainnya dari perangkat.

Risikonya adalah jika seseorang merusak perangkat (gangguan fisik). Bagaimana Anda yakin, perangkat itu belum dirusak.

Mitigasi yang paling efektif adalah kemampuan modul platform tepercaya (TPM) yang memungkinkan penyimpanan kunci dalam sirkuit on-chip khusus dari yang kuncinya tidak dapat dibaca, tetapi hanya dapat digunakan untuk operasi kriptografi yang menggunakan kunci tetapi tidak pernah mengungkapkan kunci. Enkripsi memori perangkat. Manajemen kunci untuk perangkat. Menandatangani kode.

Perangkat

E

Memiliki kontrol akses perangkat. Skema otorisasi.

Jika perangkat memungkinkan setiap tindakan dilakukan berdasarkan perintah dari sumber luar, atau bahkan sensor yang disusupi, hal ini memungkinkan terjadinya serangan untuk melakukan operasi yang tidak dapat diakses.

Memiliki skema otorisasi untuk perangkat.

Gateway IoT Edge (Gateway Bidang)

S

Mengautentikasi Gateway bidang ke Gateway Cloud (seperti berbasis sertifikat, PSK, atau berbasis Klaim).

Jika seseorang dapat memalsukan Gateway Bidang, maka gateway bidang dapat muncul sendiri sebagai perangkat apa pun.

TLS RSA/PSK, IPSec, RFC 4279. Semua masalah penyimpanan dan pengesahan utama yang sama dari perangkat secara umum - untuk hasil terbaik, gunakan TPM. Ekstensi 6LowPAN untuk IPSec untuk mendukung Jaringan Sensor Nirkabel (WSN).

Gateway IoT Edge (Gateway Bidang)

TID

Lindungi Gateway Bidang terhadap perusakan (TPM?)

Serangan spoofing yang menipu gateway cloud dengan mengira itu berbicara dengan gateway bidang dapat mengakibatkan pengungkapan informasi dan data tampering.

Enkripsi memori, TPM, autentikasi.

Gateway IoT Edge (Gateway Bidang)

E

Mekanisme kontrol akses untuk Gateway Bidang.

Berikut adalah beberapa contoh ancaman terhadap perangkat fisik:

  • Spoofing: Penyerang dapat mengekstrak materi kunci kriptografis dari perangkat, baik di tingkat perangkat lunak maupun perangkat keras, lalu mengakses sistem dengan perangkat fisik atau virtual yang berbeda dengan identitas perangkat yang diambil dari materi kunci.
  • Denial of Service (D): Perangkat dapat di-render tidak mampu berfungsi atau berkomunikasi dengan mengganggu frekuensi radio atau memotong kabel. Misalnya, kamera pengintai yang memiliki daya atau koneksi jaringan yang sengaja tersingkir tidak dapat melaporkan data, sama sekali.
  • Tampering: Penyerang dapat mengganti sebagian atau seluruhnya perangkat lunak yang berjalan pada perangkat, yang berpotensi memungkinkan perangkat lunak yang diganti untuk menggunakan identitas asli perangkat jika materi kunci atau fasilitas kriptografi yang menyimpan materi utama tersedia untuk program terlarang.
  • Tampering: Kamera pengintai yang menunjukkan gambar spektrum yang terlihat dari lorong kosong dapat ditujukan untuk foto lorong yang serupa. Sensor asap atau api dapat melaporkan seseorang yang sedang memegang korek api di bawahnya. Dalam kedua kasus itu, perangkat mungkin secara teknis dapat dipercaya sepenuhnya pada sistemnya, tetapi perangkat juga melaporkan informasi yang dimanipulasi.
  • Tampering: Penyerang dapat menggunakan materi kunci yang diekstraksi untuk mencegat dan menekan data dari perangkat di jalur komunikasi dan menggantinya dengan data palsu yang diautentikasi dengan materi kunci yang dicuri.
  • Tampering: Penyerang dapat mengganti sebagian atau seluruh perangkat lunak yang berjalan pada perangkat, yang berpotensi memungkinkan perangkat lunak yang diganti menggunakan identitas asli perangkat jika materi kunci atau fasilitas kriptografi yang menyimpan materi utama tersedia untuk program terlarang.
  • Information Disclosure (I): Jika perangkat menjalankan perangkat lunak yang dimanipulasi, perangkat lunak yang dimanipulasi tersebut berpotensi membocorkan data kepada pihak yang tidak berwenang.
  • Information Disclosure: Penyerang dapat menggunakan bahan kunci yang diekstraksi untuk memasukkan dirinya ke jalur komunikasi antara perangkat dan pengontrol atau gateway bidang atau gateway cloud untuk menyedot informasi.
  • Denial of Service: Perangkat dapat dimatikan atau diubah ke dalam mode agar komunikasi tidak mungkin dilakukan (yang disengaja di banyak mesin industri).
  • Tampering: Perangkat dapat dikonfigurasi ulang untuk beroperasi dalam keadaan yang tidak diketahui oleh sistem kontrol (di luar parameter kalibrasi yang diketahui), dan dengan demikian memberikan data yang dapat disalahartikan.
  • Elevation of Privilege (E): Perangkat yang melakukan fungsi tertentu dapat dipaksa untuk melakukan hal lain. Misalnya, katup yang diprogram untuk membuka setengah jalan dapat ditipu untuk membuka semua jalan.

Ancaman umum terhadap komunikasi

Komponen

Ancaman

Mitigasi

Risiko

Implementasi

Perangkat ke IoT Hub

TID

(D) TLS (PSK/RSA) untuk mengenkripsi lalu lintas.

Menyadap atau mengganggu komunikasi antara perangkat dan gateway.

Keamanan pada tingkat protokol. Dengan protokol khusus, Anda perlu mencari tahu cara melindunginya. Dalam kebanyakan kasus, komunikasi berlangsung dari perangkat ke IoT Hub (perangkat memulai koneksi).

Perangkat ke Perangkat

TID

(D) TLS (PSK/RSA) untuk mengenkripsi lalu lintas.

Membaca data saat transit antar perangkat. Mengubah data. Membebani perangkat dengan koneksi baru.

Keamanan pada tingkat protokol (MQTT/AMQP/HTTP/CoAP. Dengan protokol khusus, Anda perlu mencari tahu cara melindunginya. Mitigasi untuk ancaman DoS adalah untuk mengintip perangkat melalui gateway cloud atau bidang dan membuatnya hanya bertindak sebagai klien terhadap jaringan. Peering dapat menghasilkan koneksi langsung antara rekan-rekan setelah ditengahi oleh gateway.

Entitas Eksternal ke Perangkat

TID

Pemasangan entitas eksternal yang kuat ke perangkat

Menguping sambungan ke perangkat. Mengganggu komunikasi dengan perangkat.

Memasangkan entitas eksternal dengan aman ke perangkat NFC/Bluetooth LE. Mengontrol panel operasional perangkat (Fisik).

Gateway IoT Edge ke Gateway Cloud

TID

(D) TLS (PSK/RSA) untuk mengenkripsi lalu lintas.

Menyadap atau mengganggu komunikasi antara perangkat dan gateway.

Keamanan pada tingkat protokol (MQTT/AMQP/HTTP/CoAP). Dengan protokol khusus, Anda perlu mencari tahu cara melindunginya.

Perangkat ke Gateway Cloud

TID

(D) TLS (PSK/RSA) untuk mengenkripsi lalu lintas.

Menyadap atau mengganggu komunikasi antara perangkat dan gateway.

Keamanan pada tingkat protokol (MQTT/AMQP/HTTP/CoAP). Dengan protokol khusus, Anda perlu mencari tahu cara melindunginya.

Berikut adalah beberapa contoh ancaman terhadap komunikasi:

  • Denial of Service: Perangkat yang dibatasi umumnya berada di bawah ancaman DoS ketika secara aktif mendengarkan koneksi masuk atau datagram yang tidak diminta pada jaringan, karena penyerang dapat membuka banyak koneksi secara paralel dan tidak melayani mereka atau melayani mereka secara perlahan, atau perangkat dapat dibanjiri dengan lalu lintas yang tidak diminta. Dalam kedua kasus itu, perangkat dapat secara efektif di-render dengan tidak dapat dioperasikan pada jaringan.
  • Spoofing, Information Disclosure: Perangkat yang dibatasi dan perangkat untuk tujuan khusus sering memiliki fasilitas keamanan satu-untuk-semua seperti perlindungan kata sandi atau PIN, atau perangkat itu sepenuhnya bergantung pada kepercayaan terhadap jaringan, yang berarti mereka memberikan akses ke informasi ketika perangkat berada di jaringan yang sama, dan jaringan itu sering kali hanya dilindungi oleh kunci bersama. Dengan kata lain, ketika rahasia bersama ke perangkat atau jaringan diungkapkan, akan memungkinkan untuk mengontrol perangkat atau mengamati data yang dikeluarkan dari perangkat.
  • Spoofing: penyerang dapat mencegat atau mengambil alih sebagian siaran dan menipu pencetusnya.
  • Tampering: penyerang dapat mencegat atau mengambil alih sebagian siaran dan mengirim informasi palsu.
  • Information Disclosure: penyerang dapat menyadap siaran dan memperoleh informasi tanpa izin.
  • Denial of Service: penyerang dapat mengganggu sinyal siaran dan menolak distribusi informasi.