安全性始終是所有技術發展的熱門話題,在機器對機器(M2M)應用領域亦如此。現今,大部分分析師都同意M2M的安全風險是相當低的,主因為M2M還是茁壯中的技術,尚未達到會吸引多數駭客注意的規模;但是M2M的成長十分迅速,據思科(Cisco)估計,2015年將有兩百五十億台連線裝置,到2020年更將攀升到五百億台,因此在不久的將來,情勢可能改觀。
據2012年9月GigaOM Pro報告指出,隨著M2M裝置與相關資料數量增加,駭客與惡意軟體寫手瞄準這些系統,利用網路竊取資料、侵入系統與傷害工作流程的機率也隨之提高。
此報告甚至詳述許多正處於研究範疇的代表潛在攻擊路徑的情形,範圍從無線傳輸的電腦病毒感染汽車的車載系統,到無線端點之間攔截與操縱資料的「中間人」攻擊等。
上述範例確實代表M2M安全性潛在的威脅,至少是在未來的某個時間點上的威脅。問題是使用M2M設備,以及開發M2M解決方案的企業,現在要怎麼做才能防患於未然?顯而易見的答案可能是「盡其所能」。但實際上,M2M應用程式的目標應該不是提供「最大的」安全性,而是為特定的裝置與應用程式提供適當等級的安全性,因為「此應用程式應該達到多高的安全水平」這個問題遠比表面看起來更複雜。
M2M安全機制須兼顧成本/防護力
M2M應用一詞涵蓋一個延伸超越裝置本身的完整生態系統,包括無線網路、機器用戶識別卡(SIM)、M2M雲端管理平台,以及後端企業應用程式,全部都有獨特的安全功能與考量。
即使在M2M裝置本身,安全性也非簡單明瞭,不同於PC或行動裝置,大部分M2M裝置並沒有完整作業系統可支援進階防毒或防惡意程式的軟體,也沒有足夠處理能力執行此類軟體。事實上,對於許多已部署的M2M裝置,採用全面的加密機制就已對微處理器(MPU)造成過於沉重的負擔。
那麼,答案是以完整作業系統與高效能晶片建構每個M2M裝置(每輛汽車、卡車、收費站、器材、工業設備、電表等)嗎?這樣的方案是否合理,且經濟上是否可行?答案是明確否定的;也因此,最具智慧的解決方案將是為特定M2M應用程式量身打造的安全性。
要實現這個概念,設計者必須先了解關於安全性的三個事實。第一,特定層級的安全性是必要的。沒有企業會採用可由攻擊者任意肆虐的系統,市場上也沒有一家正當的M2M業者會提供此種系統。
第二,沒有系統百分之百安全。安全性與其說是一個要達成的目標,倒不如說是破解一個系統所需時間與資源數量,如果破解成本超出安全機構所保護的價值,沒有駭客會去破解這個系統。另一方面,安裝價值100萬美元的安全系統保護10萬美元的房子是沒有意義的,因此銀行應用程式所需的安全性,遠超過一般住宅的電力監控應用程式。
此外,沒有系統可永保安全。安全性應該與解決方案的預期使用壽命相當,對於現在所面對的威脅應該要有足夠的安全性,並可升級以防備未來的威脅。
第三,安全性始終意味著限制。系統應用的安全機制愈多,建造與作業成本愈高,將影響其可用性,且所支援的功能會受到更多的限制;換句話說,安全性設定過高將與安全性太低一樣,產生諸多問題。
考量實際應用需求,例如雙因素驗證(即需要使用者輸入密碼加上透過簡訊傳送的一次性密碼,以存取應用程式),對於進行信用卡線上購買的應用服務,使用此層級的安全性可能有意義;不過,若使用者每次開啟電子書,都須符合這樣的要求,就沒有意義。事實上,對該類型應用使用該機制可略微提高安全性,但是會大幅減損使用者的體驗,並導致成本顯著提升。
所以,「適當」層級的安全性究竟意味著甚麼?可概略整理出以下三點:
任何企業或OEM要達到其M2M應用程式的「適當」安全性層級,關鍵是要與既了解安全性又具有深入專業知識與廣泛現場經驗的廠商合作。
運用多元防護技巧 M2M業者嚴防安全風險
企業或OEM在部署M2M應用時應該考量的安全性風險有哪些?如表1詳述M2M各個應用環節中每個元素必須要解決的威脅類型。
 |
| 表1 M2M安全威脅概覽 |
針對各種資料安全威脅,企業與OEM將使用各種機制與技巧,在M2M各個應用環節的每個區段進行處理,這些技術環繞著M2M系統安全性的四個關鍵:信任、升級能力、可靠度與加密機制。
M2M信任機制確保資料正確性
在M2M應用中的信任(Trust)概念是關於驗證進入裝置、伺服器指令或指示是否正當,且是否來自已經過驗證的來源。例如,M2M雲端管理平台必須能驗證來自M2M裝置與企業應用程式的資料是可信任的,後端企業應用程式亦須使用強制驗證,以確認可信任來自雲端管理平台的資料。而且,企業或M2M解決方案供應商須控制整個系統元件的存取權限,並確保存取或設定系統設定的人有相關的權限。
這些信任機制,尤其是驗證機制,都是預防從未授權來源上傳的不當指令或惡意軟體對應用程式造成傷害,確保雲端管理平台與企業應用程式收到的資料是正當合法的。
嵌入式應用在確保信任方面,使用與其他網路系統相同的概念:驗證與授權。一般而言,在M2M應用中,信任機制的組成要素如下:
| ‧ |
|
| |
如M3DA等開放式通訊協定,可在雲端管理平台與相連的裝置之間操作,提供可信任的安全通訊。開放式通訊協定提供比封閉機制更強的安全性,因為這類協定的演算法經過廣大的使用者社群的測試與驗證,相較之下,透過封閉的通訊協定,安全性將仰賴混淆演算法,如果駭客能夠將進行通訊協定的反向工程,就可以輕易破解。
以汽車M2M應用為例,信任解決方案須執行於應用程式的所有層級,這對於汽車M2M應用非常重要,因為一旦安全性受侵害,很快就會造成危險。
此外,製造商還須考量可使用無線方式升級軟體、監督與避免引擎問題,或是將汽車連線到維修中心,讓駕駛人可使用相關M2M服務,如失竊時的定位服務、遠端啟動車輛或存取娛樂服務。
這些應用程式需要符合許多要求,包括無線數據機須驗證數據機製造商伺服器的升級請求、汽車須驗證製造商伺服器的維修/診斷應用程式、定位/啟動/停止/警示應用程式須驗證第三方服務,以及使用者須有權管理所有的第三方應用程式。 |
| ‧ |
|
| |
本方法要求提出雙驗證因素,以強化對雲端服務的存取控制。使用者必須提出登入認證,然後雲端伺服器再傳送一次性密碼(OTP)到使用者行動電話,使用者將輸入以完成登入程序。此驗證機制可避免使用盜取密碼與PIN碼的未授權存取。 |
| ‧ |
|
| |
OAuth開啟來源授權標準,可保護M2M雲端管理平台與後端企業應用程式之間的通訊,確保雲端與企業應用程式元素都是合法且取得傳送與接收資料的權限。 |
M2M雲端平台實現更新/管理功能
最危險的安全威脅是尚未發現的威脅。那就是為什麼最重要的M2M安全屬性是升級能力。(這是管理PC防毒軟體的相同原則:唯一有效的防毒解決方案是能在發現新威脅時,持續更新的方案。)為在持續演化的環境中維持安全性,企業與OEM須在數千或數百萬已部署的裝置中,迅速且遠距地更新M2M裝置與應用程式。
因此,有效的M2M應用程式應該透過M2M雲端管理平台,提供經現場驗證且堅固的更新管理功能。它應該在更新套件上使用數位憑證與完整性檢查,以驗證軟體更新是正當合法的。因為更新可能造成無法預期的問題,它應該可以在必要時提供輕鬆還原到上一版的方法。而且,它應該在部署的裝置與雲端管理平台之間,提供全面的應用程式管理工具。
最後,為了以最有效率的方式支援軟體更新,M2M裝置與雲端管理平台應該支援修補程式的升級能力,讓企業與OEM更新部分的裝置軟體,而毋須更換現場使用中的數千台已部署裝置的整個韌體套件。
M2M軟體堆疊強化應用程式可靠度
企業須確保其M2M應用程式能提供最高的可靠性與可用性,但是為兼顧可用性,並防止拒絕服務(DoS)的攻擊;高可用性的安全防護方案須內建於M2M應用程式本身的設計中。
M2M應用程式的可靠度須基於以下幾點考量:
事實上,企業在部署嵌入式應用時的主要可用性問題,並不是DoS攻擊,而是有缺陷的應用程式設計,尤其是未將M2M應用程式的獨有特徵與在現場同時操作的數千或數百萬台裝置列入考量,更是影響可用性的致命傷。
因此,可靠的M2M應用程式應使用特定M2M軟體堆疊(Software Stack)建立,例如司亞樂(Sierra Wireless)即提供完整的M2M軟體堆疊方案,包括設計元素與故障容錯機制,讓M2M應用程式能在大規模操作的情況下,維持可用性。
加密機制保障機密資料傳輸安全
安全的M2M應用程式必須保護隱私與機密資料的傳輸。這意味著M2M應用程式的多個部分之間(即部署的裝置、M2M雲端管理平台與企業應用程式之間)需要資料加密與安全傳輸技術。
如果M2M雲端管理平台是由第三方經營,企業可能會希望將從裝置傳輸到雲端再到企業應用程式的所有資料都使用安全的虛擬私人網路(VPN)加密;不過在其他情況下,來自裝置的部分資料可能會加密,部分可能不會加密。
舉例來說,有些電力監控應用程式可將住家或公司的消耗資料加密,但是不對電表所報告的非敏感資料加密,包括其無線訊號強度等。另外,付款應用程式應該使用更精密的M2M閘道器(Gateway),以支援更強的加密方法,並透過安全VPN傳輸資料。
對於需要最大安全性的應用程式,企業可能偏好使用私人存取點名稱(APN)網路,此網路應用程式中僅含有授權裝置(即沒有其他裝置使用網路),且未連線到網路,僅透過VPN與M2M雲端連結,隨後,在與雲端管理平台及企業應用程式通訊時,企業應使用HTTPS以確保安全的連線。
事實上,M2M裝置所需的加密層級應依應用程式的本質而定,以電表應用程式的隱私權設定為例,連接到智慧電網(Smart Grid)的智慧電表並未傳輸敏感的財務資訊,此一傳輸行為並未涉及密碼或銀行帳戶,只是電力消耗數值,因此要求的加密層級較低。
然而,相較於加密層級較高的銷售點付款終端機,電表資訊就應該未加密傳輸嗎?答案是「未必」,因駭客可能透過存取此資料,藉此判定目前是否有人在家,或已經長時間不在家等。因此,顧客希望只有電力公司可存取這些數值,且這些數值是以加密的格式傳輸與儲存的。即使如此,電表取得的其他操作數值(即無線訊號強度、量表狀態或健康資訊等)毋須加密。
綜上所述,就像保護M2M裝置與伺服器之間的通訊一樣重要,企業須確保他們使用的M2M雲端管理平台具備強大的安全措施,在仰賴第三方雲端管理方案(如司亞樂的AirVantage M2M Cloud)時,這點尤其重要。
M2M雲端管理平台肩負安全重任
整體而言,安全的M2M雲端方案應該提供:
此外,企業也應尋找取得符合資料中心安全產業標準(即SAS 70第II類,ISO 27001)認證的M2M雲端合作夥伴,且必須是雲端安全聯盟(Cloud Security Alliance)的會員。
在嘗試評估M2M系統可能易受攻擊的情況,以及提供最恰當安全措施來保護系統時,具備管理數百萬台已部署M2M裝置的實戰經驗是最珍貴的。M2M模組供應商若在金融服務業、汽車業與許多以安全通訊為核心要求的其他產業均有部署經驗,且經過長期實際的驗證,將可提供更完整的M2M應用安全機制。
(本文作者為Sierra Wireless M2M部門行銷副總裁)