繼雲端服務、行動應用與大資料應用大行其道之後,眼見物聯網(IoT)是下一波即將成熟的浪潮,然而IoT涵蓋範圍非常廣泛,單是相關裝置,就有電視、汽車到各種量測儀器,日常工作和生活用品幾乎無所不包,市場研究機構Gartner預測,2015年物聯網裝置將達到49億臺,到了2020年,將上看250億臺。

IoT雖然熱門,但以往偏重裝置、網路、資料、應用系統的建置與整合,較少著墨資訊安全防護該如何進行,只能談談這股趨勢的安全危機,廠商推出套裝的IoT防護方案的並不多。Intel在去年初推出的Gateway Solutions for the Internet of Things,當中包含了企業級安全性的設計,裡面也搭配了自家的資安產品McAfee Embedded Control,可針對各種嵌入式系統提供保護,像是POS、工業控制系統、辦公設備、汽車、ATM、醫療影像設備、軍用設備、航太設備等,阻擋非法應用程式的植入,或是原有功能遭到惡意變更。

今年下半,另一家資安廠商Symantec也正式踏入IoT防護應用,推出了名為Symantec Embedded Security: Critical System Protection(SES:CSP)的產品,可鎖定嵌入式設備中執行的軟體,以防護零時差攻擊與預防安全性遭到破壞。目前開始採用這套方案的企業,主要有專攻零售、銀行業的IT解決方案和服務商Wincor,也有一些製造業和汽車上下游業者採用。

有別於先前的Critical System Protection Client Edition,新推出的Embedded Security: Critical System Protection,除了改名之外,也重新設計管理介面,此外,也移除了Malware的功能設定分頁。

 

相較於既有的PC端點防護產品,SES:CSP在用戶端程式的特色是更為輕量,也不仰賴特徵碼比對(signature-less),適合嵌入式系統與其他系統資源較受限的運算裝置,可支援的作業系統類型也不少,例如 Windows、Linux,以及其針對嵌入式設備的作業系統版本,此外,也能保護RTOS(Real-time operating systems),例如QNX。因為執行規模很小,也有助於設備製造商將SES:CSP整合,或預先安裝到裝置上。

事實上,SES:CSP是Symantec既有產品Critical System Protection Client Edition(SCSP CE)6.0的後繼版本,著重在支援更多新平臺與功能提供,Symantec已在3月2日停止支援SCSP CE。

而就整體端點防護策略而言,Symantec作法也將因此異動。例如,許多人所熟悉的Symantec Endpoint Protection(SEP),原本是涵蓋全部的端點防護,現在將聚焦在桌上型電腦與筆電,新推的SES:CSP是針對嵌入式系統與IoT裝置,至於資料中心的伺服器,則由Symantec Data Center Security(DCS)這套產品來照應。

模組化的防護功能,管理者可依需求配置

針對IoT裝置與嵌入式系統,這套SES:CSP產品就像Symantec自家的防毒軟體一般,同樣可提供多種防護功能,像是防火牆、裝置與組態控管、檔案完整性監控、入侵偵測、作業系統強化、應用程式白名單、沙箱驗證等功能。

從上述的防護功能來看,SES:CSP對於應用程式與作業系統行為,提供了監控與限制存取的作法,應用程式會在沙箱當中執行,它們只能獲得必要的資源存取權,只能接觸到特定的檔案、系統登錄機碼、處理程序、網路連線。

SES:CSP也能用來預防緩衝區溢位行為,以及零時差漏洞攻擊,如此一來,惡意程式碼就不能利用非法的記憶體位置,趁機植入或執行。針對重要的檔案、系統登錄機碼,這套軟體也能提供組態與設定鎖定的機制,防止遭到竄改。若要施行嚴格的應用程式白名單政策,也可透過SES:CSP來落實。

就部署方式而言,SES:CSP也允許用戶僅安裝其中一種防護功能的選擇,增加了使用彈性。例如,當裝置安裝代理程式之後,企業可以安裝入侵防禦或入侵偵測,也可以兩者都裝。而這樣的選擇性部署SES:CSP,有助於降低該程式對於裝置運作效能的衝擊

在監控系統重要檔案的防護功能中,SES:CSP也新增了偵測原則編輯器介面,方便管理者設定。

提供集中化的管理與監控操作介面

SES:CSP提供了管理伺服器與主控臺介面,IT人員可藉此設定控管與防護政策,同時能檢視各種活動記錄與安全事件。對於用戶端程式更新的大量部署,也能由此進行,針對Windows與Linux平臺的裝置,可藉由FTPS的安全連線,而對於汽車採用的QNX平臺,能透過OTA(over the air)的無線網路技術,執行線上升級。

對於所有需要管理的裝置,SES:CSP也提供列管(Managed)與獨立執行(Standalone)等兩種模式,後者可因應裝置無法或只能短暫連接伺服器的應用環境,部署的彈性較高。

產品資訊

●原廠:Symantec(02)8726-2000

●建議售價:廠商未提供

●可保護的系統平臺:Windows Embedded系列(Embedded POSReady 7/2009、XPe、Embedded 7/8/8.1)、Linux(RHEL 5.1/6.4)、QNX 6.6

●管理伺服器系統需求:Pentium III 1.2 GHz、512 MB記憶體、2GB硬碟空間●主控臺系統需求:Pentium III 1.2 GHz、512 MB記憶體、1GB硬碟空間


Advertisement

更多 iThome相關內容