針對嵌入式系統提升防護力，Symantec進軍物聯網安全應用

繼雲端服務、行動應用與大資料應用大行其道之後，眼見物聯網（IoT）是下一波即將成熟的浪潮，然而IoT涵蓋範圍非常廣泛，單是相關裝置，就有電視、汽車到各種量測儀器，日常工作和生活用品幾乎無所不包，市場研究機構Gartner預測，2015年物聯網裝置將達到49億臺，到了2020年，將上看250億臺。

IoT雖然熱門，但以往偏重裝置、網路、資料、應用系統的建置與整合，較少著墨資訊安全防護該如何進行，只能談談這股趨勢的安全危機，廠商推出套裝的IoT防護方案的並不多。Intel在去年初推出的Gateway Solutions for the Internet of Things，當中包含了企業級安全性的設計，裡面也搭配了自家的資安產品McAfee Embedded Control，可針對各種嵌入式系統提供保護，像是POS、工業控制系統、辦公設備、汽車、ATM、醫療影像設備、軍用設備、航太設備等，阻擋非法應用程式的植入，或是原有功能遭到惡意變更。

今年下半，另一家資安廠商Symantec也正式踏入IoT防護應用，推出了名為Symantec Embedded Security: Critical System Protection（SES:CSP）的產品，可鎖定嵌入式設備中執行的軟體，以防護零時差攻擊與預防安全性遭到破壞。目前開始採用這套方案的企業，主要有專攻零售、銀行業的IT解決方案和服務商Wincor，也有一些製造業和汽車上下游業者採用。

有別於先前的Critical System Protection Client Edition，新推出的Embedded Security: Critical System Protection，除了改名之外，也重新設計管理介面，此外，也移除了Malware的功能設定分頁。

相較於既有的PC端點防護產品，SES:CSP在用戶端程式的特色是更為輕量，也不仰賴特徵碼比對（signature-less），適合嵌入式系統與其他系統資源較受限的運算裝置，可支援的作業系統類型也不少，例如 Windows、Linux，以及其針對嵌入式設備的作業系統版本，此外，也能保護RTOS（Real-time operating systems），例如QNX。因為執行規模很小，也有助於設備製造商將SES:CSP整合，或預先安裝到裝置上。

事實上，SES:CSP是Symantec既有產品Critical System Protection Client Edition（SCSP CE）6.0的後繼版本，著重在支援更多新平臺與功能提供，Symantec已在3月2日停止支援SCSP CE。

而就整體端點防護策略而言，Symantec作法也將因此異動。例如，許多人所熟悉的Symantec Endpoint Protection（SEP），原本是涵蓋全部的端點防護，現在將聚焦在桌上型電腦與筆電，新推的SES:CSP是針對嵌入式系統與IoT裝置，至於資料中心的伺服器，則由Symantec Data Center Security（DCS）這套產品來照應。

模組化的防護功能，管理者可依需求配置

針對IoT裝置與嵌入式系統，這套SES:CSP產品就像Symantec自家的防毒軟體一般，同樣可提供多種防護功能，像是防火牆、裝置與組態控管、檔案完整性監控、入侵偵測、作業系統強化、應用程式白名單、沙箱驗證等功能。

從上述的防護功能來看，SES:CSP對於應用程式與作業系統行為，提供了監控與限制存取的作法，應用程式會在沙箱當中執行，它們只能獲得必要的資源存取權，只能接觸到特定的檔案、系統登錄機碼、處理程序、網路連線。

SES:CSP也能用來預防緩衝區溢位行為，以及零時差漏洞攻擊，如此一來，惡意程式碼就不能利用非法的記憶體位置，趁機植入或執行。針對重要的檔案、系統登錄機碼，這套軟體也能提供組態與設定鎖定的機制，防止遭到竄改。若要施行嚴格的應用程式白名單政策，也可透過SES:CSP來落實。

就部署方式而言，SES:CSP也允許用戶僅安裝其中一種防護功能的選擇，增加了使用彈性。例如，當裝置安裝代理程式之後，企業可以安裝入侵防禦或入侵偵測，也可以兩者都裝。而這樣的選擇性部署SES:CSP，有助於降低該程式對於裝置運作效能的衝擊

在監控系統重要檔案的防護功能中，SES:CSP也新增了偵測原則編輯器介面，方便管理者設定。

提供集中化的管理與監控操作介面

SES:CSP提供了管理伺服器與主控臺介面，IT人員可藉此設定控管與防護政策，同時能檢視各種活動記錄與安全事件。對於用戶端程式更新的大量部署，也能由此進行，針對Windows與Linux平臺的裝置，可藉由FTPS的安全連線，而對於汽車採用的QNX平臺，能透過OTA（over the air）的無線網路技術，執行線上升級。

對於所有需要管理的裝置，SES:CSP也提供列管（Managed）與獨立執行（Standalone）等兩種模式，後者可因應裝置無法或只能短暫連接伺服器的應用環境，部署的彈性較高。

產品資訊