کتاب Engineering Secure Devices

کتاب Engineering Secure Devices (مهندسی دستگاه های ایمن) یک راهنمای عملی برای ساخت دستگاه‌های تعبیه‌شده و IoT به صورت ایمن، یک منبع ضروری برای توسعه‌دهندگان فعلی و آینده است که وظیفه محافظت از کاربران در برابر تهدیدات بالقوه این دستگاه‌های فراگیر را دارند.

در ادامه مقدمه‌ای از کتاب Engineering Secure Devices را از زبان نویسنده شرح خواهیم داد.

مقدمه‌ای بر کتاب Engineering Secure Devices:

اتصال به اینترنت، مدل‌های کسب‌وکار دیجیتال و خدمات مبتنی بر داده، دسترسی از راه دور، و تجزیه و تحلیل داده‌ها، همه به انواع نیاز‌ها و چالش‌ها در تقریباً هر صنعت کمک می‌کنند. به بیان ساده، اکثر محصولات مدرن به نوعی کامپیوتر ادغام شده در آن‌ها نیاز دارند. به طور خاص، آن‌ها معمولاً به یک سیستم تعبیه شده نیاز دارند، که به معنای یک سیستم الکترونیکی شامل واحد پردازش، حافظه، و رابط‌های ورودی/خروجی است که در یک سیستم مکانیکی یا الکترونیکی بزرگتر تعبیه شده است.

دامنه کاربرد سیستم‌های تعبیه شده بسیار گسترده است. آن‌ها در کنترل‌کننده‌ها، حسگر‌ها و محرک‌ها در اتوماسیون صنعتی، حمل و نقل و سیستم‌های زیرساخت حیاتی استفاده می‌شوند. سخت‌افزار‌های ارتباطی و شبکه مانند روتر‌ها، سوئیچ‌ها و‌ایستگاه‌های پایه نیز بر اساس آن‌ها هستند.

در بازار مصرف، محصولات معمولی با سیستم‌های تعبیه‌شده شامل ماشین‌های لباسشویی هوشمند، سیستم‌های گرمایش هوشمند و کنسول‌های بازی هستند. حتی کارت‌های پلاستیکی که برای بانکداری و کنترل دسترسی ساختمان استفاده می‌کنیم را می‌توان نوعی سیستم تعبیه شده در نظر گرفت.

در مقایسه با رایانه‌های شخصی (PC) و سیستم‌های سرور، این دستگاه‌ها اغلب با محدودیت‌هایی مانند نیاز به پایین نگه داشتن هزینه‌های ساخت یا اجرای سخت‌افزار با توان محاسباتی کم تا متوسط، علاوه بر گزینه‌های نسبتاً محدود برای قابلیت‌های ورودی و خروجی مواجه هستند.

سیستم‌های تعبیه شده در مناطق بسیار خاص و گاهی اوقات بحرانی استفاده می‌شوند و معمولاً با تعاملات کمی با کاربر، در صورت وجود، کار می‌کنند. علاوه بر این، این دستگاه‌ها از طیف گسترده‌ای از سخت‌افزار، سیستم‌عامل و سیستم‌عامل در محصولات، تولیدکنندگان و صنایع مختلف ساخته شده‌اند.

علاوه بر این محدودیت‌ها، افزودن الزامات امنیتی به معادله، زندگی یک مهندس سیستم‌های جاسازی شده را آسان‌تر نمی‌کند. توسعه اقدامات امنیتی برای این دستگاه‌ها، محیط‌های کاربردی خاص و منابع محدود آن‌ها منجر به انجام وظایف چالش برانگیز برای معماران و توسعه‌دهندگان می‌شود.

انگار همه این موارد کافی نبود، در بسیاری از موارد، سیستم‌های تعبیه‌شده نیز با مهاجمان فیزیکی مواجه می‌شوند که برای مثال در مقایسه با دسترسی از راه دور در سرویس‌های ابری یا وب، مدل حمله قدرتمندتری هستند.

وضعیت امنیت سیستم جاسازی شده

اگر به حوزه‌های کاربردی و صنایع مختلف نگاه کنیم، وضعیت اقدامات امنیتی در سیستم‌های تعبیه شده بسیار متفاوت است. به عنوان مثال، راه حل‌های کارت هوشمند برای تلویزیون پولی در اوایل دهه ۱۹۹۰ با موارد کلاهبرداری مواجه شد.

اگر مردم می‌توانستند الگوریتم‌های درهم و برهم زدن را دور بزنند، می‌توانستند تلویزیون پولی را به صورت رایگان تماشا کنند. علاوه بر این، اگر مهاجمان موفق به شبیه‌سازی آن کارت‌های هوشمند شوند، می‌توانند آن‌ها را با قیمت پایین‌تری بفروشند که منجر به از دست دادن درآمد برای ارائه‌دهنده اصلی می‌شود.

از آنجایی که مدل کسب‌وکار تحت فشار بود، آگاهی امنیتی این شرکت‌ها نسبتاً بالا بود و سرمایه‌گذاری‌ها و تحولات مربوطه در امنیت کارت هوشمند در اولویت قرار گرفتند.

یکی دیگر از زمینه‌های سیستم‌های تعبیه‌شده در سرگرمی، الگوی مشابهی را نشان می‌دهد: کنسول‌های بازی. علاقه طبیعی سازندگان کنسول این است که فقط رسانه‌های اصلی بازی را می‌توان روی دستگاه‌های آن‌ها پخش کرد.

اگر مهاجمان موفق به اجرای دیسک‌های شبیه‌سازی شده شوند، مدل کسب و کار آسیب می‌بیند. پس از اینکه جامعه مهندسی معکوس به تجزیه و تحلیل کنسول‌های بازی علاقه‌مند شد، که برای مثال منجر به انتشار کتاب معروف هک کردن ایکس باکس توسط اندرو هوانگ (No Starch Press، ۲۰۰۳) شد، صنعت با افزایش مکانیسم‌های امنیتی پاسخ داد.

در نتیجه، آن‌ها به یک وضعیت جامد از امنیت سیستم تعبیه شده رسیدند که مهاجمان را ملزم به سرمایه‌گذاری در منابع، تخصص و ابزار‌های پیچیده زیادی برای دور زدن موفقیت‌آمیز اقدامات حفاظتی می‌کند.

با این حال، در سایر حوزه‌های کاربردی سیستم‌های تعبیه‌شده، مؤلفه‌ها چنین ویژگی‌های امنیتی بالغی ندارند. در سال ۲۰۱۶، با کشف بدافزار Mirai که از صد‌ها هزار دستگاه اینترنت‌اشیا (IoT) عمدتاً دوربین‌های IP و روتر‌های خانگی بهره‌برداری می‌کرد، این موضوع کاملاً آشکار شد و آن‌ها را به بات‌نت‌هایی تبدیل کرد که انکار سرویس توزیع‌شده (DDoS) عظیمی را انجام می‌دادند. ) حملات علیه وب سایت‌ها.

علاوه بر این، مجموعه آسیب‌پذیری‌ها با نام‌های Ripple۲۰ و Amnesia: ۳۳ ضعف‌های مختلفی را در پشته‌های TCP/IP برای سیستم‌های تعبیه‌شده در سال ۲۰۲۰ نشان داد. بر اساس برآورد‌ها، بیش از ۱۵ میلیون دستگاه، از پزشکی گرفته تا اتوماسیون ساختمان و سیستم‌های کنترل صنعتی (ICS) تحت تأثیر قرار گرفتند..

به اندازه کافی عجیب، دستگاه‌های مورد استفاده در اتوماسیون صنعتی و زیرساخت‌های حیاتی، که در آن استحکام و قابلیت اطمینان بسیار مهم است، فهرست کار‌های امنیتی طولانی نیز دارند. اگرچه گزارش‌های رخداد استاکس‌نت در سال ۲۰۱۰ زنگ خطری برای تولیدکنندگان اتوماسیون صنعتی بود، اما با گذشت بیش از ۱۰ سال، بازار همچنان کمبود قابل توجهی از دستگاه‌های محافظت‌شده دارد.

در سال ۲۰۲۲، مجموعه‌ای از آسیب‌پذیری‌ها در مؤلفه‌های فناوری عملیاتی (OT) با نام OT: ICEFALL منتشر شد. نویسندگان نقص‌های مهندسی امنیت را به عنوان ناامنی از نظر طراحی توصیف کردند زیرا محصولات تجزیه و تحلیل شده حتی ابتدایی‌ترین کنترل‌های امنیتی را از دست دادند.

الزامات، قوانین و استاندارد‌های در حال ظهور

اگرچه عجیب به نظر می‌رسد، بدون این حوادث، آسیب‌پذیری‌ها و حملات، احتمالاً فقط آگاهی امنیتی حاشیه‌ای وجود خواهد داشت. با این حال، از آنجایی که در طول ۲۰ سال گذشته بسیاری از این مسائل را مشاهده کرده‌ایم، در حالی که همزمان اتصال آنلاین، خدمات دیجیتال و تجزیه و تحلیل داده‌ها به طور فزاینده‌ای به شرکت‌ها مرتبط می‌شدند، امنیت سایبری \”به طور ناگهانی\” به یک الزام تبدیل شده است – به عنوان مثال، در فرآیند تدارکات

این بدان معنا نیست که مشتریان فوراً دانش امنیتی عمیق و جامعی را نشان می‌دهند، اما آن‌ها به طور فزاینده‌ای خواستار تجزیه و تحلیل ریسک، اقدامات حفاظتی یا مجموعه‌ای (تصادفی) از استاندارد‌ها هستند که باید توسط تولیدکنندگان محصول برآورده شود. از تجربیات من در زمینه صنعتی، گاهی اوقات این امر باعث ایجاد ارتباط بین مشتریان و تولیدکنندگان برای یافتن مصالحه‌ای بین نیاز عملی به امنیت و هزینه‌های مرتبط می‌شود که می‌تواند یک بحث معقول و ثمربخش برای هر دو طرف باشد.

از سوی دیگر، دولت‌ها به طور فزاینده‌ای نگران توسعه قوانین ملی و امضای توافق‌نامه‌های بین‌المللی هستند که برای الزامات امنیتی اساسی که هر محصول موجود در بازار باید آن را برآورده کند، تلاش می‌کنند.

در اروپا، قانون امنیت سایبری (CSA) ۲۰۱۹ با هدف ایجاد یک چارچوب گواهی امنیتی برای همه محصولات و خدمات فروخته شده در اتحادیه اروپا، و قانون مقاومت سایبری (CRA) ۲۰۲۴ الزامات امنیت سایبری را برای محصولات دارای عناصر دیجیتال تنظیم می‌کند. استاندارد اروپایی ETSI EN ۳۰۳ ۶۴۵ قبلاً الزامات امنیتی پایه را، به ویژه برای محصولات اینترنت‌اشیاء مصرف‌کننده، تعریف می‌کند.

در آن سوی اقیانوس اطلس، فرمان اجرایی ۱۴۰۲۸ بایدن از ماه مه ۲۰۲۱ خط مشابهی را دنبال می‌کند و هدف آن بهبود امنیت سایبری در دستگاه‌های اینترنت‌اشیا و راه حل‌های نرم‌افزاری است. مؤسسه ملی استاندارد و فناوری (NIST) قبلاً توصیه‌هایی را برای برچسب‌گذاری امنیت سایبری این محصولات ارائه کرده است.

به موازات آن، کنسرسیوم‌ها در صنایع مختلف سعی می‌کنند در مورد استاندارد‌های امنیتی مشترک در زمینه‌های خود به توافق برسند. یک مثال برجسته، استاندارد ۶۲۴۴۳ کمیسیون بین‌المللی الکتروتکنیکی (IEC) است که امنیت ICS و IoT صنعتی (IIoT) را هدف قرار می‌دهد.

این الزامات امنیتی را برای اپراتور‌ها، یکپارچه‌کننده‌های سیستم و سازندگان قطعات ترکیب می‌کند، که امکان ایجاد یک دید امنیتی یکپارچه و مرتبط از سیستم‌های صنعتی را فراهم می‌کند. در مورد مهندسی دستگاه ایمن، بخش‌های ۴-۱ و ۴-۲ از IEC ۶۲۴۴۳ مرتبط‌ترین هستند: بخش ۴-۱ شیوه‌های یک فرآیند توسعه ایمن را پوشش می‌دهد و قسمت ۴-۲ به الزامات امنیتی فنی محصول مربوط می‌شود.

چه کسی باید کتاب Engineering Secure Devices را بخواند؟

اگر شما یک معمار سیستم‌های جاسازی شده هستید که در بحث‌های مشتری مانند مواردی که قبلاً توضیح داده شد درگیر هستید، کتاب Engineering Secure Devices دانش لازم را برای مناظره با شرکای خود در سطح چشم در اختیار شما قرار می‌دهد.

اگر شما یک مهندس سیستم‌های جاسازی شده یا یک توسعه دهنده اینترنت‌اشیا هستید که مسئول پیاده‌سازی ویژگی‌های امنیتی است و می‌خواهید در مورد استدلال پشت این ویژگی‌ها و موانع معمولی بدانید، کتاب Engineering Secure Devices شما را برای سفر پیش رو آماده می‌کند.

اگر بخشی از فرآیند مهندسی نیازمندی‌های یک محصول هستید یا در کار روزمره خود آزمایش سیستم‌های جاسازی شده را انجام می‌دهید، کتاب Engineering Secure Devices به شما کمک می‌کند ارزش برخی ویژگی‌های امنیتی را درک کنید و چرا همکارانتان از تیم توسعه ممکن است تمایلی به پیاده‌سازی نداشته باشند. آن‌ها

اگر دانشجو هستید و نمی‌دانید که چرا نمی‌توان بسیاری از اقدامات حفاظتی را در محصولات اینترنت‌اشیاء بدیهی تلقی کرد، کتاب Engineering Secure Devices تأیید می‌کند که طرز فکر درستی دارید و خواهید آموخت که امنیت سیستم جاسازی شده یک کار مهم اما گاهی خسته‌کننده است..

و اگر چند دقیقه پیش، کسی سر شما فریاد زد، \”ما باید این امنیت دستگاه f******* را پیاده‌سازی کنیم! اکنون!!! \” نفس عمیق بکشید، همه قرار‌ها را لغو کنید و کتاب Engineering Secure Devices را با دقت بخوانید. پس از آن، شما برای یک بحث دوستانه و عینی در مورد \”امنیت\” آماده خواهید شد.

کتاب Engineering Secure Devices چه چیزی را پوشش می‌دهد؟

مطالب این کتاب بر اساس تجربیات عملی و بینش‌های تحقیقاتی من در ۱۵ سال گذشته در زمینه امنیت سیستم‌های جاسازی شده است.

در بخش اول کتاب Engineering Secure Devices: مبانی، دانش بنیادی مربوط به ارائه چرخه حیات توسعه ایمن و نحوه استفاده از رمزنگاری را خواهید آموخت.

فصل ۱: فرآیند توسعه ایمن عناصر اساسی لازم برای پیروی از اصل امنیت را با طراحی در فرآیند توسعه محصول پوشش می‌دهد.

فصل ۲ کتاب Engineering Secure Devices: ​​رمزنگاری موارد ضروری رمزنگاری مربوط به مهندسی امنیت عملی را خلاصه می‌کند.

بخش دوم کتاب Engineering Secure Devices: بلوک‌های ساختمان امنیت دستگاه، بلوک‌های اصلی فیزیکی و منطقی برای امنیت سیستم جاسازی شده را به تفصیل شرح می‌دهد.

فصل ۳ کتاب Engineering Secure Devices: مولد‌های اعداد تصادفی به حوزه جادویی تصادفی بودن می‌پردازد، اهمیت آن را برای امنیت برجسته می‌کند و نکات عملی در مورد چگونگی تولید و ارزیابی داده‌های تصادفی ارائه می‌دهد.

فصل ۴: پیاده‌سازی رمزنگاری گزینه‌های پیاده‌سازی الگوریتم‌های رمزنگاری و تأثیرات مربوطه بر ویژگی‌هایی مانند عملکرد را مورد بحث قرار می‌دهد.

فصل ۵: ذخیره‌سازی محرمانه داده‌ها و حافظه ایمن بر ذخیره بخش‌های کوچک و بزرگ داده‌ها به روشی ایمن و محرمانه تمرکز می‌کند.

فصل ۶ کتاب Engineering Secure Devices: هویت دستگاه امن به تولید و مدیریت هویت‌های منحصر به فرد برای سیستم‌های تعبیه شده مربوط می‌شود.

فصل ۷: ارتباطات ایمن، اقدامات حفاظتی پیشرفته را برای کانال‌های ارتباطی ارائه می‌کند و به سؤالات رایج در مورد اجرای آن‌ها در سیستم‌های جاسازی شده پاسخ می‌دهد.

بخش سوم کتاب Engineering Secure Devices: مفاهیم امنیتی پیشرفته دستگاه بر مفاهیم حفاظتی جامع مرتبط با دستگاه‌های ایمن اینترنت اشیا تمرکز دارد.

فصل ۸: راه‌اندازی ایمن و یکپارچگی سیستم ملاحظات امنیتی را در طول مرحله عملیات حساس زمانی که یک سیستم تعبیه شده در حال راه‌اندازی است، پوشش می‌دهد.

فصل ۹: به‌روزرسانی امن میان‌افزار پیچیدگی ارائه به‌روزرسانی‌های نرم‌افزاری برای محصولات با در نظر گرفتن امنیت را شرح می‌دهد.

فصل ۱۰ کتاب Engineering Secure Devices: معماری دستگاه قوی در مورد چگونگی ادامه عملیات فرآیند‌های حیاتی در هنگام حمله بحث می‌کند.

فصل ۱۱ کتاب Engineering Secure Devices: کنترل و مدیریت دسترسی محدودیت کاربران و فرآیند‌های روی یک دستگاه و پیامد‌های عملی آن را در نظر می‌گیرد.

فصل ۱۲: نظارت بر سیستم با بررسی اقداماتی که به شما امکان می‌دهد ناهنجاری‌ها یا حملات به سیستم‌های جاسازی شده را شناسایی و تجزیه و تحلیل کنید، کتاب را تکمیل می‌کند.

هنگام خواندن کتاب Engineering Secure Devices، به خاطر داشته باشید که هدف شما نه تنها باید جذب دانش فنی تا حد امکان باشد، بلکه باید درک کنید که چه زمانی و چرا اقدامات امنیتی دستگاه منطقی است.

سرفصل‌های کتاب Engineering Secure Devices:

• Cover Page
• Title Page
• Copyright Page
• Dedication Page
• About the Author
• About the Technical Reviewer
• BRIEF CONTENTS
• CONTENTS IN DETAIL
• FOREWORD
• ACKNOWLEDGMENTS
• INTRODUCTION
• PART I FUNDAMENTALS
  • 1 SECURE DEVELOPMENT PROCESS
  • 2 CRYPTOGRAPHY
• PART II DEVICE SECURITY BUILDING BLOCKS
  • 3 RANDOM NUMBER GENERATORS
  • 4 CRYPTOGRAPHIC IMPLEMENTATIONS
  • 5 CONFIDENTIAL DATA STORAGE AND SECURE MEMORY
  • 6 SECURE DEVICE IDENTITY
  • 7 SECURE COMMUNICATION
• PART III ADVANCED DEVICE SECURITY CONCEPTS
  • 8 SECURE BOOT AND SYSTEM INTEGRITY
  • 9 SECURE FIRMWARE UPDATE
  • 10 ROBUST DEVICE ARCHITECTURE
  • 11 ACCESS CONTROL AND MANAGEMENT
  • 12 SYSTEM MONITORING
• AFTERWORD
• INDEX

جهت دانلود کتاب Engineering Secure Devices می‌توانید پس از پرداخت، دریافت کنید.