NTT社会信息研究所开发了一种可有效监控IoT(物联网)设备中的软件,并检测通过网络攻击进行篡改的技术。IoT通常处理能力较低,因此存在很难添加安全工具的课题。该技术通过对监控顺序进行优先排序,只检查有无篡改,从而减轻了负荷,检测速度比传统方法快9倍。
这项新技术预计将应用于包括IoT制造商和向制造商提供软件的企业在内的整个供应链中。
IoT在零部件的制造和组装过程中,存在攻击者可能潜入供应链中防范对策不足的企业并篡改设备内部软件的风险。即通过植入恶意软件(恶意程序),对安装了设备的工厂和办公楼等目标发动网络攻击的被称为“供应链攻击”的手法。
与个人电脑相比,IoT中运行软件的CPU(中央处理器)的容量往往已达到极限,因此新添加防范软件的余地较小。
传统的普通篡改检测是将组成监控目标软件的每个巨大“文件”中写入的内容从头到尾进行分析,并检查文件中写入的内容是否发生了变化。读取大量文本字符串不仅会造成很大的负荷,还可能导致设备故障等,而且还很耗时。
本次NTT开发了一种通过确定监控顺序的优先次序并只判定是否存在篡改,从而在有限的处理能力内运行的新技术。该技术的2个关键点如下。
第一点是会自动提取监控的文件中设备运行所必需的部分。在创建IoT时,有时会使用外部销售的通用软件,其中也存在不会直接影响运行的文件。该技术将此类文件排除在监控范围之外或降低其优先级,以便将目标放在更需要监控的文件上。
第二点是会记住构成监控目标软件的文件信息,包括文件的大小和存储位置,并且只检测存储方式出现的变化。
外部攻击者篡改了软件中的文件时,其大小和存储位置便会发生变化。通过首先检测到“软件的内容与以前不同”这一事实,掌握存在篡改的可能性。之后,由现场安全人员从文件内容上核对差异,确认被篡改的内容。
日文:网络安全编辑 岩泽明信、《日经产业新闻》、2023/11/29
中文:JST客观日本编辑部
