Bảo mật IoT ngăn chặn thảm họa trong tương lai
Rủi ro đang gia tăng, đặc biệt là khi nói đến các thiết bị Internet vạn vật (IoT). Ngay bên dưới lớp vỏ bọc của những tiện ích thời thượng là một đội quân ngày càng đông đảo các thiết bị kết nối Internet tầm thường hơn, đảm nhiệm việc duy trì hoạt động của thế giới. Điều này đặc biệt đúng với một phân lớp được gọi là Internet vạn vật công nghiệp (IIoT), các thiết bị triển khai mạng lưới truyền thông của chúng ta hoặc cơ sở hạ tầng điều khiển như lưới điện hoặc nhà máy hóa chất. Các thiết bị IIoT có thể là các thiết bị nhỏ như van hoặc cảm biến, nhưng cũng có thể bao gồm các thiết bị rất lớn, chẳng hạn như hệ thống HVAC, máy MRI, máy bay không người lái hai mục đích, thang máy, máy ly tâm hạt nhân hoặc động cơ phản lực.
Số lượng thiết bị IoT hiện tại đang tăng nhanh chóng. Vào năm 2019, ước tính có khoảng 10 tỷ thiết bị IoT đang hoạt động. Vào cuối năm 2024, con số này đã tăng gần gấp đôi lên khoảng 19 tỷ. Con số này dự kiến sẽ tăng gấp đôi nữa vào năm 2030. Các cuộc tấn công mạng nhắm vào các thiết bị đó, được thúc đẩy bởi lợi ích chính trị hoặc tài chính, có thể gây ra thiệt hại thực tế cho toàn bộ cộng đồng, vượt xa thiệt hại cho chính thiết bị.
Bảo mật cho các thiết bị IoT thường là một ý nghĩ muộn màng, vì chúng thường ít cần đến “giao diện con người” (ví dụ, có thể một van trong nhà máy hóa chất chỉ cần lệnh Mở, Đóng và Báo cáo) và thường không chứa thông tin được coi là nhạy cảm (ví dụ, bộ điều nhiệt không cần thẻ tín dụng, thiết bị y tế không có số An sinh xã hội). Điều gì có thể xảy ra sai?
Tất nhiên, “điều gì có thể xảy ra sai” tùy thuộc vào thiết bị, nhưng đặc biệt là với các cuộc tấn công được lên kế hoạch cẩn thận, trên quy mô lớn, người ta đã chứng minh rằng có rất nhiều điều có thể xảy ra sai. Ví dụ, đội quân camera an ninh được kết nối Internet được bảo mật kém đã được sử dụng trong các cuộc tấn công từ chối dịch vụ phân tán được phối hợp, trong đó mỗi camera thực hiện một vài yêu cầu vô hại đối với một số dịch vụ nạn nhân, khiến dịch vụ sụp đổ dưới tải.
Cách bảo mật thiết bị IoT
Các biện pháp bảo vệ các thiết bị này thường được chia thành hai loại: phòng thủ an ninh mạng cơ bản và phòng thủ chuyên sâu.
Phòng thủ an ninh mạng bao gồm một số quy tắc: Không sử dụng mật khẩu mặc định cho tài khoản quản trị, áp dụng các bản cập nhật phần mềm thường xuyên để loại bỏ các lỗ hổng mới phát hiện, yêu cầu chữ ký mật mã để xác thực các bản cập nhật và hiểu “chuỗi cung ứng phần mềm” của bạn: phần mềm của bạn đến từ đâu, nhà cung cấp lấy các thành phần mà phần mềm có thể chỉ đang truyền qua từ các dự án nguồn mở ở đâu.
Sự gia tăng nhanh chóng của phần mềm nguồn mở đã thúc đẩy sự phát triển của Biểu mẫu vật liệu phần mềm (SBOM) của Chính phủ Hoa Kỳ. Đây là một tài liệu truyền đạt nguồn gốc chuỗi cung ứng, chỉ ra phiên bản nào của các gói nào đã được đưa vào để tạo ra phần mềm của sản phẩm. Cả nhà cung cấp thiết bị IIoT và người dùng thiết bị đều được hưởng lợi từ các SBOM chính xác, rút ngắn quá trình xác định xem phần mềm của một thiết bị cụ thể có chứa phiên bản của một gói dễ bị tấn công hay không. Nếu SBOM hiển thị phiên bản gói cập nhật trong đó lỗ hổng đã được giải quyết, thì cả nhà cung cấp và người dùng IIoT đều có thể thở phào nhẹ nhõm; nếu phiên bản gói được liệt kê trong SBOM dễ bị tấn công, có thể cần phải khắc phục.
Phòng thủ chuyên sâu ít được biết đến hơn và đáng được quan tâm hơn. Thật hấp dẫn khi triển khai cách tiếp cận dễ dàng nhất đối với an ninh mạng, mô hình “cứng rắn và giòn ở bên ngoài, mềm dẻo ở bên trong”. Điều này nhấn mạnh vào phòng thủ chu vi, dựa trên lý thuyết rằng nếu tin tặc không thể xâm nhập, chúng không thể gây ra thiệt hại. Nhưng ngay cả những thiết bị IoT nhỏ nhất cũng có thể có một ngăn xếp phần mềm quá phức tạp để các nhà thiết kế có thể hiểu đầy đủ, thường dẫn đến các lỗ hổng ẩn trong các góc tối của mã. Ngay khi những lỗ hổng này được phát hiện, thiết bị sẽ chuyển từ bảo mật chặt chẽ, được quản lý tốt sang không có bảo mật, vì không có tuyến phòng thủ thứ hai.
Phòng thủ chuyên sâu chính là câu trả lời. Một ấn phẩm của Viện Tiêu chuẩn và Công nghệ Quốc gia chia nhỏ cách tiếp cận này đối với khả năng phục hồi mạng thành ba chức năng cơ bản: Protect – Bảo vệ, nghĩa là sử dụng kỹ thuật an ninh mạng để ngăn chặn tin tặc; Detect – Phát hiện, nghĩa là thêm các cơ chế để phát hiện các cuộc xâm nhập bất ngờ; và Remediate – Khắc phục, nghĩa là thực hiện hành động để trục xuất những kẻ xâm nhập nhằm ngăn chặn thiệt hại sau đó.
Protect – Bảo vệ
Các hệ thống được thiết kế để bảo mật sử dụng phương pháp tiếp cận theo lớp, với hầu hết “hành vi bình thường” của thiết bị nằm ở lớp ngoài, trong khi các lớp bên trong tạo thành một loạt các lớp vỏ, mỗi lớp có chức năng nhỏ hơn, hạn chế hơn, giúp các lớp vỏ bên trong dễ bảo vệ hơn. Các lớp này thường liên quan đến trình tự các bước được thực hiện trong quá trình khởi tạo thiết bị, trong đó thiết bị bắt đầu ở lớp bên trong với chức năng nhỏ nhất có thể, chỉ đủ để chạy giai đoạn tiếp theo… cho đến khi lớp bên ngoài hoạt động.
Để đảm bảo hoạt động chính xác, mỗi lớp cũng phải thực hiện kiểm tra tính toàn vẹn trên lớp tiếp theo trước khi bắt đầu. Trong mỗi vòng, lớp hiện tại sẽ tính toán dấu vân tay hoặc chữ ký của lớp tiếp theo. Nhưng có một câu đố ở đây. Mỗi lớp sẽ kiểm tra lớp tiếp theo trước khi bắt đầu, nhưng ai sẽ kiểm tra lớp đầu tiên? Không ai cả! Lớp bên trong, cho dù trình kiểm tra đầu tiên được triển khai trong phần cứng hay phần mềm, phải được tin cậy ngầm định để phần còn lại của hệ thống xứng đáng được tin cậy. Do đó, nó được gọi là Roots of Trust (RoT).
Roots of Trust phải được bảo vệ cẩn thận, vì sự xâm phạm Root of Trust có thể không thể phát hiện nếu không có phần cứng kiểm tra chuyên dụng. Một cách tiếp cận là đưa chương trình cơ sở triển khai Root of Trust vào bộ nhớ chỉ đọc không thể sửa đổi sau khi thiết bị được sản xuất. Thật tuyệt nếu bạn biết mã RoT của mình không có bất kỳ lỗi nào và sử dụng các thuật toán không thể lỗi thời. Nhưng ít người trong chúng ta sống trong thế giới đó, vì vậy, ít nhất, chúng ta thường phải bảo vệ mã RoT bằng một số phần cứng đơn giản khiến chương trình cơ sở chỉ đọc sau khi hoàn thành công việc, nhưng có thể ghi trong giai đoạn khởi động, cho phép cập nhật được kiểm tra cẩn thận và ký bằng mật mã.
Các chip xử lý mới hơn đưa Root of Trust này lùi lại một bước vào chính chip xử lý, Root of Trust phần cứng. Điều này làm cho RoT có khả năng chống lại các lỗ hổng chương trình cơ sở hoặc các cuộc tấn công dựa trên phần cứng tốt hơn nhiều, vì mã khởi động chương trình cơ sở thường được lưu trữ trong bộ nhớ flash không mất dữ liệu, nơi nhà sản xuất hệ thống (và cả tin tặc) có thể lập trình lại. RoT bên trong bộ xử lý có thể khó bị hack hơn nhiều.
Detect – Phát hiện
Có Root of Trust đáng tin cậy, chúng ta có thể sắp xếp để mỗi lớp có thể kiểm tra lớp tiếp theo để tìm các vụ tấn công. Quá trình này có thể được tăng cường bằng Remote Attestation, trong đó chúng ta thu thập và báo cáo dấu vân tay (gọi là bằng chứng xác nhận) được thu thập bởi mỗi lớp trong quá trình khởi động. Chúng ta không thể chỉ hỏi lớp ứng dụng bên ngoài xem nó có bị tấn công không; tất nhiên, bất kỳ hacker giỏi nào cũng sẽ đảm bảo câu trả lời là “Không đời nào! Bạn có thể tin tôi!”, bất kể thế nào.
Nhưng chứng thực từ xa bổ sung thêm một phần cứng nhỏ, chẳng hạn như Trusted Platform Module (TPM) do Trusted Computing Group định nghĩa. Phần cứng này thu thập bằng chứng tại các vị trí được bảo vệ được tạo thành từ các ô nhớ chuyên dụng, được cô lập với phần cứng mà bộ xử lý không thể trực tiếp thay đổi. TPM cũng cung cấp khả năng được bảo vệ, đảm bảo rằng thông tin mới có thể được thêm vào các vị trí được bảo vệ, nhưng thông tin đã lưu trữ trước đó không thể thay đổi. Và, nó cung cấp khả năng được bảo vệ, gắn chữ ký mật mã vào nội dung của Vị trí được bảo vệ để làm bằng chứng về trạng thái của máy, sử dụng khóa mà chỉ phần cứng Root of Trust biết, được gọi là Khóa xác thực (AK).
Với các chức năng này, lớp ứng dụng không có lựa chọn nào khác ngoài việc báo cáo chính xác bằng chứng xác thực, được chứng minh bằng cách sử dụng khóa bí mật AK của RoT. Bất kỳ nỗ lực nào nhằm can thiệp vào bằng chứng đều sẽ làm mất hiệu lực chữ ký do AK cung cấp. Tại một vị trí từ xa, sau đó, người xác minh có thể xác thực chữ ký và kiểm tra xem tất cả dấu vân tay được báo cáo có khớp với các phiên bản phần mềm đã biết và đáng tin cậy của thiết bị hay không. Những dấu vân tay được biết là tốt này, được gọi là xác nhận, phải đến từ một nguồn đáng tin cậy, chẳng hạn như nhà sản xuất thiết bị.
Trên thực tế, Root of Trust có thể chứa một số cơ chế riêng biệt để bảo vệ các chức năng riêng lẻ, chẳng hạn như tính toàn vẹn khi khởi động, xác thực và danh tính thiết bị, và nhà thiết kế thiết bị luôn chịu trách nhiệm lắp ráp các thành phần cụ thể phù hợp nhất với thiết bị, sau đó tích hợp chúng một cách cẩn thận, nhưng các tổ chức như Trusted Computing Group cung cấp hướng dẫn và thông số kỹ thuật cho các thành phần có thể hỗ trợ đáng kể, chẳng hạn như Trusted Platform Module (TPM) thường được sử dụng trong nhiều hệ thống máy tính lớn hơn.
Remediate – Khắc phục
Khi phát hiện ra bất thường, có nhiều hành động để khắc phục. Một tùy chọn đơn giản là tắt nguồn thiết bị hoặc làm mới phần mềm của thiết bị. Tuy nhiên, các thành phần đáng tin cậy bên trong chính thiết bị có thể giúp khắc phục thông qua việc sử dụng bộ hẹn giờ giám sát đã xác thực hoặc các phương pháp khác khiến thiết bị tự đặt lại nếu không thể chứng minh tình trạng tốt. Trusted Computing Group Cyber Resilience cung cấp hướng dẫn cho các kỹ thuật này.
Các yêu cầu được nêu ở đây đã có sẵn và được sử dụng trong các ứng dụng bảo mật cao chuyên dụng trong một số năm và nhiều cuộc tấn công đã được biết đến trong một thập kỷ. Trong vài năm trở lại đây, các triển khai Root of Trust đã trở nên phổ biến trong một số dòng máy tính xách tay. Nhưng cho đến gần đây, việc ngăn chặn các cuộc tấn công Root of Trust vẫn là một thách thức và tốn kém ngay cả đối với các chuyên gia mạng trong không gian IIoT. May mắn thay, nhiều nhà cung cấp silicon cung cấp phần cứng IoT cơ bản hiện đang bao gồm các cơ chế bảo mật cao này ngay cả trong các chip nhúng có ngân sách hạn chế và các ngăn xếp phần mềm đáng tin cậy đã phát triển để giúp các cơ chế phòng thủ Root of Trust trở nên khả dụng hơn đối với bất kỳ nhà thiết kế nào muốn sử dụng.
Trong khi nhà thiết kế thiết bị IIoT có trách nhiệm cung cấp các cơ chế an ninh mạng này, thì các nhà tích hợp hệ thống, những người chịu trách nhiệm về bảo mật của dịch vụ tổng thể kết nối các thiết bị IoT, phải yêu cầu các tính năng từ nhà cung cấp của họ và phối hợp các tính năng bên trong thiết bị với khả năng phục hồi và cơ chế giám sát bên ngoài, tất cả đều nhằm tận dụng tối đa khả năng bảo mật được cải thiện hiện có sẵn hơn bao giờ hết.
