کتاب Engineering Secure Devices (مهندسی دستگاه های ایمن) یک راهنمای عملی برای ساخت دستگاههای تعبیهشده و IoT به صورت ایمن، یک منبع ضروری برای توسعهدهندگان فعلی و آینده است که وظیفه محافظت از کاربران در برابر تهدیدات بالقوه این دستگاههای فراگیر را دارند.
در ادامه مقدمهای از کتاب Engineering Secure Devices را از زبان نویسنده شرح خواهیم داد.
مقدمهای بر کتاب Engineering Secure Devices:
اتصال به اینترنت، مدلهای کسبوکار دیجیتال و خدمات مبتنی بر داده، دسترسی از راه دور، و تجزیه و تحلیل دادهها، همه به انواع نیازها و چالشها در تقریباً هر صنعت کمک میکنند. به بیان ساده، اکثر محصولات مدرن به نوعی کامپیوتر ادغام شده در آنها نیاز دارند. به طور خاص، آنها معمولاً به یک سیستم تعبیه شده نیاز دارند، که به معنای یک سیستم الکترونیکی شامل واحد پردازش، حافظه، و رابطهای ورودی/خروجی است که در یک سیستم مکانیکی یا الکترونیکی بزرگتر تعبیه شده است.
دامنه کاربرد سیستمهای تعبیه شده بسیار گسترده است. آنها در کنترلکنندهها، حسگرها و محرکها در اتوماسیون صنعتی، حمل و نقل و سیستمهای زیرساخت حیاتی استفاده میشوند. سختافزارهای ارتباطی و شبکه مانند روترها، سوئیچها وایستگاههای پایه نیز بر اساس آنها هستند.
در بازار مصرف، محصولات معمولی با سیستمهای تعبیهشده شامل ماشینهای لباسشویی هوشمند، سیستمهای گرمایش هوشمند و کنسولهای بازی هستند. حتی کارتهای پلاستیکی که برای بانکداری و کنترل دسترسی ساختمان استفاده میکنیم را میتوان نوعی سیستم تعبیه شده در نظر گرفت.
در مقایسه با رایانههای شخصی (PC) و سیستمهای سرور، این دستگاهها اغلب با محدودیتهایی مانند نیاز به پایین نگه داشتن هزینههای ساخت یا اجرای سختافزار با توان محاسباتی کم تا متوسط، علاوه بر گزینههای نسبتاً محدود برای قابلیتهای ورودی و خروجی مواجه هستند.
سیستمهای تعبیه شده در مناطق بسیار خاص و گاهی اوقات بحرانی استفاده میشوند و معمولاً با تعاملات کمی با کاربر، در صورت وجود، کار میکنند. علاوه بر این، این دستگاهها از طیف گستردهای از سختافزار، سیستمعامل و سیستمعامل در محصولات، تولیدکنندگان و صنایع مختلف ساخته شدهاند.
علاوه بر این محدودیتها، افزودن الزامات امنیتی به معادله، زندگی یک مهندس سیستمهای جاسازی شده را آسانتر نمیکند. توسعه اقدامات امنیتی برای این دستگاهها، محیطهای کاربردی خاص و منابع محدود آنها منجر به انجام وظایف چالش برانگیز برای معماران و توسعهدهندگان میشود.
انگار همه این موارد کافی نبود، در بسیاری از موارد، سیستمهای تعبیهشده نیز با مهاجمان فیزیکی مواجه میشوند که برای مثال در مقایسه با دسترسی از راه دور در سرویسهای ابری یا وب، مدل حمله قدرتمندتری هستند.
وضعیت امنیت سیستم جاسازی شده
اگر به حوزههای کاربردی و صنایع مختلف نگاه کنیم، وضعیت اقدامات امنیتی در سیستمهای تعبیه شده بسیار متفاوت است. به عنوان مثال، راه حلهای کارت هوشمند برای تلویزیون پولی در اوایل دهه ۱۹۹۰ با موارد کلاهبرداری مواجه شد.
اگر مردم میتوانستند الگوریتمهای درهم و برهم زدن را دور بزنند، میتوانستند تلویزیون پولی را به صورت رایگان تماشا کنند. علاوه بر این، اگر مهاجمان موفق به شبیهسازی آن کارتهای هوشمند شوند، میتوانند آنها را با قیمت پایینتری بفروشند که منجر به از دست دادن درآمد برای ارائهدهنده اصلی میشود.
از آنجایی که مدل کسبوکار تحت فشار بود، آگاهی امنیتی این شرکتها نسبتاً بالا بود و سرمایهگذاریها و تحولات مربوطه در امنیت کارت هوشمند در اولویت قرار گرفتند.
یکی دیگر از زمینههای سیستمهای تعبیهشده در سرگرمی، الگوی مشابهی را نشان میدهد: کنسولهای بازی. علاقه طبیعی سازندگان کنسول این است که فقط رسانههای اصلی بازی را میتوان روی دستگاههای آنها پخش کرد.
اگر مهاجمان موفق به اجرای دیسکهای شبیهسازی شده شوند، مدل کسب و کار آسیب میبیند. پس از اینکه جامعه مهندسی معکوس به تجزیه و تحلیل کنسولهای بازی علاقهمند شد، که برای مثال منجر به انتشار کتاب معروف هک کردن ایکس باکس توسط اندرو هوانگ (No Starch Press، ۲۰۰۳) شد، صنعت با افزایش مکانیسمهای امنیتی پاسخ داد.
در نتیجه، آنها به یک وضعیت جامد از امنیت سیستم تعبیه شده رسیدند که مهاجمان را ملزم به سرمایهگذاری در منابع، تخصص و ابزارهای پیچیده زیادی برای دور زدن موفقیتآمیز اقدامات حفاظتی میکند.
با این حال، در سایر حوزههای کاربردی سیستمهای تعبیهشده، مؤلفهها چنین ویژگیهای امنیتی بالغی ندارند. در سال ۲۰۱۶، با کشف بدافزار Mirai که از صدها هزار دستگاه اینترنتاشیا (IoT) عمدتاً دوربینهای IP و روترهای خانگی بهرهبرداری میکرد، این موضوع کاملاً آشکار شد و آنها را به باتنتهایی تبدیل کرد که انکار سرویس توزیعشده (DDoS) عظیمی را انجام میدادند. ) حملات علیه وب سایتها.
علاوه بر این، مجموعه آسیبپذیریها با نامهای Ripple۲۰ و Amnesia: ۳۳ ضعفهای مختلفی را در پشتههای TCP/IP برای سیستمهای تعبیهشده در سال ۲۰۲۰ نشان داد. بر اساس برآوردها، بیش از ۱۵ میلیون دستگاه، از پزشکی گرفته تا اتوماسیون ساختمان و سیستمهای کنترل صنعتی (ICS) تحت تأثیر قرار گرفتند..
به اندازه کافی عجیب، دستگاههای مورد استفاده در اتوماسیون صنعتی و زیرساختهای حیاتی، که در آن استحکام و قابلیت اطمینان بسیار مهم است، فهرست کارهای امنیتی طولانی نیز دارند. اگرچه گزارشهای رخداد استاکسنت در سال ۲۰۱۰ زنگ خطری برای تولیدکنندگان اتوماسیون صنعتی بود، اما با گذشت بیش از ۱۰ سال، بازار همچنان کمبود قابل توجهی از دستگاههای محافظتشده دارد.
در سال ۲۰۲۲، مجموعهای از آسیبپذیریها در مؤلفههای فناوری عملیاتی (OT) با نام OT: ICEFALL منتشر شد. نویسندگان نقصهای مهندسی امنیت را به عنوان ناامنی از نظر طراحی توصیف کردند زیرا محصولات تجزیه و تحلیل شده حتی ابتداییترین کنترلهای امنیتی را از دست دادند.
الزامات، قوانین و استانداردهای در حال ظهور
اگرچه عجیب به نظر میرسد، بدون این حوادث، آسیبپذیریها و حملات، احتمالاً فقط آگاهی امنیتی حاشیهای وجود خواهد داشت. با این حال، از آنجایی که در طول ۲۰ سال گذشته بسیاری از این مسائل را مشاهده کردهایم، در حالی که همزمان اتصال آنلاین، خدمات دیجیتال و تجزیه و تحلیل دادهها به طور فزایندهای به شرکتها مرتبط میشدند، امنیت سایبری \”به طور ناگهانی\” به یک الزام تبدیل شده است – به عنوان مثال، در فرآیند تدارکات
این بدان معنا نیست که مشتریان فوراً دانش امنیتی عمیق و جامعی را نشان میدهند، اما آنها به طور فزایندهای خواستار تجزیه و تحلیل ریسک، اقدامات حفاظتی یا مجموعهای (تصادفی) از استانداردها هستند که باید توسط تولیدکنندگان محصول برآورده شود. از تجربیات من در زمینه صنعتی، گاهی اوقات این امر باعث ایجاد ارتباط بین مشتریان و تولیدکنندگان برای یافتن مصالحهای بین نیاز عملی به امنیت و هزینههای مرتبط میشود که میتواند یک بحث معقول و ثمربخش برای هر دو طرف باشد.
از سوی دیگر، دولتها به طور فزایندهای نگران توسعه قوانین ملی و امضای توافقنامههای بینالمللی هستند که برای الزامات امنیتی اساسی که هر محصول موجود در بازار باید آن را برآورده کند، تلاش میکنند.
در اروپا، قانون امنیت سایبری (CSA) ۲۰۱۹ با هدف ایجاد یک چارچوب گواهی امنیتی برای همه محصولات و خدمات فروخته شده در اتحادیه اروپا، و قانون مقاومت سایبری (CRA) ۲۰۲۴ الزامات امنیت سایبری را برای محصولات دارای عناصر دیجیتال تنظیم میکند. استاندارد اروپایی ETSI EN ۳۰۳ ۶۴۵ قبلاً الزامات امنیتی پایه را، به ویژه برای محصولات اینترنتاشیاء مصرفکننده، تعریف میکند.
در آن سوی اقیانوس اطلس، فرمان اجرایی ۱۴۰۲۸ بایدن از ماه مه ۲۰۲۱ خط مشابهی را دنبال میکند و هدف آن بهبود امنیت سایبری در دستگاههای اینترنتاشیا و راه حلهای نرمافزاری است. مؤسسه ملی استاندارد و فناوری (NIST) قبلاً توصیههایی را برای برچسبگذاری امنیت سایبری این محصولات ارائه کرده است.
به موازات آن، کنسرسیومها در صنایع مختلف سعی میکنند در مورد استانداردهای امنیتی مشترک در زمینههای خود به توافق برسند. یک مثال برجسته، استاندارد ۶۲۴۴۳ کمیسیون بینالمللی الکتروتکنیکی (IEC) است که امنیت ICS و IoT صنعتی (IIoT) را هدف قرار میدهد.
این الزامات امنیتی را برای اپراتورها، یکپارچهکنندههای سیستم و سازندگان قطعات ترکیب میکند، که امکان ایجاد یک دید امنیتی یکپارچه و مرتبط از سیستمهای صنعتی را فراهم میکند. در مورد مهندسی دستگاه ایمن، بخشهای ۴-۱ و ۴-۲ از IEC ۶۲۴۴۳ مرتبطترین هستند: بخش ۴-۱ شیوههای یک فرآیند توسعه ایمن را پوشش میدهد و قسمت ۴-۲ به الزامات امنیتی فنی محصول مربوط میشود.
چه کسی باید کتاب Engineering Secure Devices را بخواند؟
اگر شما یک معمار سیستمهای جاسازی شده هستید که در بحثهای مشتری مانند مواردی که قبلاً توضیح داده شد درگیر هستید، کتاب Engineering Secure Devices دانش لازم را برای مناظره با شرکای خود در سطح چشم در اختیار شما قرار میدهد.
اگر شما یک مهندس سیستمهای جاسازی شده یا یک توسعه دهنده اینترنتاشیا هستید که مسئول پیادهسازی ویژگیهای امنیتی است و میخواهید در مورد استدلال پشت این ویژگیها و موانع معمولی بدانید، کتاب Engineering Secure Devices شما را برای سفر پیش رو آماده میکند.
اگر بخشی از فرآیند مهندسی نیازمندیهای یک محصول هستید یا در کار روزمره خود آزمایش سیستمهای جاسازی شده را انجام میدهید، کتاب Engineering Secure Devices به شما کمک میکند ارزش برخی ویژگیهای امنیتی را درک کنید و چرا همکارانتان از تیم توسعه ممکن است تمایلی به پیادهسازی نداشته باشند. آنها
اگر دانشجو هستید و نمیدانید که چرا نمیتوان بسیاری از اقدامات حفاظتی را در محصولات اینترنتاشیاء بدیهی تلقی کرد، کتاب Engineering Secure Devices تأیید میکند که طرز فکر درستی دارید و خواهید آموخت که امنیت سیستم جاسازی شده یک کار مهم اما گاهی خستهکننده است..
و اگر چند دقیقه پیش، کسی سر شما فریاد زد، \”ما باید این امنیت دستگاه f******* را پیادهسازی کنیم! اکنون!!! \” نفس عمیق بکشید، همه قرارها را لغو کنید و کتاب Engineering Secure Devices را با دقت بخوانید. پس از آن، شما برای یک بحث دوستانه و عینی در مورد \”امنیت\” آماده خواهید شد.
کتاب Engineering Secure Devices چه چیزی را پوشش میدهد؟
مطالب این کتاب بر اساس تجربیات عملی و بینشهای تحقیقاتی من در ۱۵ سال گذشته در زمینه امنیت سیستمهای جاسازی شده است.
در بخش اول کتاب Engineering Secure Devices: مبانی، دانش بنیادی مربوط به ارائه چرخه حیات توسعه ایمن و نحوه استفاده از رمزنگاری را خواهید آموخت.
فصل ۱: فرآیند توسعه ایمن عناصر اساسی لازم برای پیروی از اصل امنیت را با طراحی در فرآیند توسعه محصول پوشش میدهد.
فصل ۲ کتاب Engineering Secure Devices: رمزنگاری موارد ضروری رمزنگاری مربوط به مهندسی امنیت عملی را خلاصه میکند.
بخش دوم کتاب Engineering Secure Devices: بلوکهای ساختمان امنیت دستگاه، بلوکهای اصلی فیزیکی و منطقی برای امنیت سیستم جاسازی شده را به تفصیل شرح میدهد.
فصل ۳ کتاب Engineering Secure Devices: مولدهای اعداد تصادفی به حوزه جادویی تصادفی بودن میپردازد، اهمیت آن را برای امنیت برجسته میکند و نکات عملی در مورد چگونگی تولید و ارزیابی دادههای تصادفی ارائه میدهد.
فصل ۴: پیادهسازی رمزنگاری گزینههای پیادهسازی الگوریتمهای رمزنگاری و تأثیرات مربوطه بر ویژگیهایی مانند عملکرد را مورد بحث قرار میدهد.
فصل ۵: ذخیرهسازی محرمانه دادهها و حافظه ایمن بر ذخیره بخشهای کوچک و بزرگ دادهها به روشی ایمن و محرمانه تمرکز میکند.
فصل ۶ کتاب Engineering Secure Devices: هویت دستگاه امن به تولید و مدیریت هویتهای منحصر به فرد برای سیستمهای تعبیه شده مربوط میشود.
فصل ۷: ارتباطات ایمن، اقدامات حفاظتی پیشرفته را برای کانالهای ارتباطی ارائه میکند و به سؤالات رایج در مورد اجرای آنها در سیستمهای جاسازی شده پاسخ میدهد.
بخش سوم کتاب Engineering Secure Devices: مفاهیم امنیتی پیشرفته دستگاه بر مفاهیم حفاظتی جامع مرتبط با دستگاههای ایمن اینترنت اشیا تمرکز دارد.
فصل ۸: راهاندازی ایمن و یکپارچگی سیستم ملاحظات امنیتی را در طول مرحله عملیات حساس زمانی که یک سیستم تعبیه شده در حال راهاندازی است، پوشش میدهد.
فصل ۹: بهروزرسانی امن میانافزار پیچیدگی ارائه بهروزرسانیهای نرمافزاری برای محصولات با در نظر گرفتن امنیت را شرح میدهد.
فصل ۱۰ کتاب Engineering Secure Devices: معماری دستگاه قوی در مورد چگونگی ادامه عملیات فرآیندهای حیاتی در هنگام حمله بحث میکند.
فصل ۱۱ کتاب Engineering Secure Devices: کنترل و مدیریت دسترسی محدودیت کاربران و فرآیندهای روی یک دستگاه و پیامدهای عملی آن را در نظر میگیرد.
فصل ۱۲: نظارت بر سیستم با بررسی اقداماتی که به شما امکان میدهد ناهنجاریها یا حملات به سیستمهای جاسازی شده را شناسایی و تجزیه و تحلیل کنید، کتاب را تکمیل میکند.
هنگام خواندن کتاب Engineering Secure Devices، به خاطر داشته باشید که هدف شما نه تنها باید جذب دانش فنی تا حد امکان باشد، بلکه باید درک کنید که چه زمانی و چرا اقدامات امنیتی دستگاه منطقی است.
سرفصلهای کتاب Engineering Secure Devices:
- Cover Page
- Title Page
- Copyright Page
- Dedication Page
- About the Author
- About the Technical Reviewer
- BRIEF CONTENTS
- CONTENTS IN DETAIL
- FOREWORD
- ACKNOWLEDGMENTS
- INTRODUCTION
- PART I FUNDAMENTALS
- 1 SECURE DEVELOPMENT PROCESS
- 2 CRYPTOGRAPHY
- PART II DEVICE SECURITY BUILDING BLOCKS
- 3 RANDOM NUMBER GENERATORS
- 4 CRYPTOGRAPHIC IMPLEMENTATIONS
- 5 CONFIDENTIAL DATA STORAGE AND SECURE MEMORY
- 6 SECURE DEVICE IDENTITY
- 7 SECURE COMMUNICATION
- PART III ADVANCED DEVICE SECURITY CONCEPTS
- 8 SECURE BOOT AND SYSTEM INTEGRITY
- 9 SECURE FIRMWARE UPDATE
- 10 ROBUST DEVICE ARCHITECTURE
- 11 ACCESS CONTROL AND MANAGEMENT
- 12 SYSTEM MONITORING
- AFTERWORD
- INDEX
جهت دانلود کتاب Engineering Secure Devices میتوانید پس از پرداخت، دریافت کنید.
نقد و بررسیها
هنوز بررسیای ثبت نشده است.