物聯網設備的資安近年來可說是越來越嚴峻,攻擊事件頻傳,不少廠商提供類似入侵偵測系統(IDS)的機制,藉由網路層面提供防護,來防堵這些裝置遭到攻擊。然而,若要找出有關於系統層面的威脅,這樣的機制可能很難進一步察覺異狀。在臺灣資安大會的議程中,臺灣科技大學資訊工程系副教授鄭欣明針對物聯網設備的防護,介紹該校連網實驗室(Connectivity Lab)旗下的物聯網子團隊(IoT subgroup),正在研究以「韌體虛擬化」的方式,來實現物聯網的端點偵測與回應(EDR)機制。

在臺灣資安大會上介紹相關技術的目的,我們會後也向鄭欣明詢問,他表示希望能在大會上推廣物聯網虛擬化技術,協助連網設備開發業者強化裝置安全。而對於相關的研究成果,鄭欣明表示日後會將核心技術與公司合作來發表專利,應用層面的部分亦會發表有關論文。

關於投入物聯網虛擬化技術研究的動機為何?鄭欣明認為,面對各式各樣類型、運算資源相當有限的物聯網裝置,採用經由網路層面來加以防範的措施,透過監控網路流量是否存在惡意內容,比對特徵碼做為攔截與警示的依據,可說是相當理所當然的做法,但這樣的防護機制,管理者很難得知攻擊者在端點上的行蹤,而成為防禦上的死角。例如,駭客濫用連網裝置的漏洞,甚至是入侵裝置本身,IDS很難察覺這樣的行蹤。

因此,若要得知攻擊者究竟在物聯網裝置做了什麼,勢必要透過對於端點裝置本身下手,而在一般端點電腦上相當常見的做法,就是名為端點偵測與回應(EDR)的機制。然而,物聯網裝置往往運算能力有限,管理介面可能不甚友善,以及架構上也有各式各樣的形態,使得這種原本運用在電腦上的防護機制,無法套用到這些物聯網裝置上。例如,電腦的EDR系統普遍會在端點部署代理程式的做法,物聯網裝置就無法比照辦理。

針對這樣的情況,鄭欣明說,最近2年開始有研究人員提出將這些裝置「虛擬化」方式,來突破無法直接在原本的物聯網裝置監控的現象。而在將這些裝置的韌體虛擬化之後,就可以利用虛擬化平臺較為強大的效能,來對於虛擬的物聯網設備韌體部署感測器,並檢查是否流量中出現攻擊者濫用裝置漏洞,或者是意圖入侵的跡象。

而這種虛擬物聯網裝置的做法,依據程度上的不同,鄭欣明也舉出目前研究人員可能會運用的方法。首先,較早出現的是使用虛擬化軟體(如QEMU),模擬物聯網裝置處理器和記憶體的方式來進行測試。這種方法能應用於較有效率的重度資安測試工作,卻因為沒有真實模擬韌體、核心系統,以及相關元件(如監視器的鏡頭)運作,而效果有限。

因此,這也衍生出第2種做法:模擬的物聯網裝置再搭配真實的硬體元件,來形成更真實的裝置模擬。然而,鄭欣明說,這種做法所需面臨的問題,就是這些硬體元件很可能難以部署。

對此,在鄭欣明的研究團隊所進行研究中,他們採用的是「完整系統模擬(Full System Emulation)」:不只模擬裝置的處理器,還同時模擬韌體的運作,這樣製作出來的虛擬連網設備,才能在沒有真實硬體設備搭配的情況下,較為完整呈現實際設備的樣貌。但對於如何在沒有連接硬體設備的情況下,達到更為真實運作情境的模擬?鄭欣明沒有進一步說明。

有了虛擬化的物聯網裝置,鄭欣明究竟要如何用來進行端點的偵測與回應呢?他說,他們利用自己開發的設備分流,在傳送網路流量給受保護的設備之餘,也將流量鏡像一份到EDR系統,由EDR系統利用虛擬化的物聯網設備進行檢測,模擬在端點設備上執行的可能情形,一旦發現像是濫用設備漏洞的跡象,就將這樣的檢查結果製作成IDS特徵碼,由IDS攔截相關威脅。

鄭欣明也透過影片展示他們的研究成果,該團隊利用他們的EDR系統保護2款設備以進行實驗,這些設備是可取國際(iCatch)監視器主機設備KMH-0428,以及思科路由器RV110W,他們使用了這些設備的已知漏洞CVE-2020-10514、CVE-2020-3331來發動模擬攻擊,結果EDR系統藉由模擬的監視器主機和路由器,得知攻擊者濫用相關漏洞,並製作特徵碼給IDS進行防禦。而這些物聯網設備的韌體取得方式,鄭欣明指出,他們是從設備廠商的網站下載檔案來進行研究,並未對其執行漏洞分析,較無影響商譽之疑慮。

雖然這樣的做法算是對物聯網資安的重大進展,但鄭欣明說他們還是有一些需要突破的地方,像是希望日後能做到大部分的物聯網裝置韌體模擬,能由EDR系統自行分析、匯入,製作成虛擬設備,而非像現行多數是透過研究人員針對每個設備逐一製作,如此他們的EDR系統才能真正用於保護於大多數的物聯網裝置。

熱門新聞

Advertisement