セキュリティの戦いに立ち向かうことで、お客様はその必要がなくなります
IoT デバイスは、私たちの生活のほぼすべての側面で普及しつつあります。私たちは、家庭、ビジネス、およびインフラストラクチャで IoT デバイスに依存することになります。 2 月、Microsoft は、IoT デバイスおよび機器向けの統合セキュリティ ソリューションであるAzure Sphere の一般提供を発表しました。一般提供とは、OEM や組織に迅速かつ費用対効果の高いデバイス セキュリティを大規模に提供する準備が整ったことを意味します。ただし、これらのデバイスをお客様の手に渡した後も、それらのデバイスを保護することは終わりではありません。それは、攻撃側と防御側の間の絶え間ない戦いの始まりにすぎません。
顧客が信頼できるソリューションを構築するには、リスクを見つけて軽減するための継続的なプラクティスで事前の技術的対策を補完することにより、展開の前後に投資が必要です。 4 月には、 リスク管理に対する Azure Sphere のアプローチと、IoT の保護が 1 回限りではない理由を強調しました。製品は時間の経過とともに改善されますが、ハッカーやそのスキルやツールも同様に改善されます。新しいセキュリティの脅威は進化し続けており、ハッカーはデバイスを攻撃する新しい方法を発明しています。では、一歩先を行くには何が必要でしょうか?
マイクロソフトのセキュリティ製品チームとして、私たちは悪者よりも先に脆弱性を見つけて修正する必要があると信じています。 Azure Sphere は、コードの改善、ファジング、およびその他の品質管理プロセスに継続的に投資していますが、そうでなければ見逃される可能性のある潜在的な弱点を明らかにするために、攻撃者の創造的な考え方が必要になることがよくあります。ハッカーが彼らと協力しているように考えようとするよりはましです。これが、私たちがセキュリティ研究者やハッカー コミュニティと一緒にレッド チーム演習の継続的なプログラムを運営している理由です。彼らの独自の専門知識とスキル セットから利益を得るためです。これには、昨日と今日だけでなく、IoT デバイスに対する明日の攻撃に対しても、広く知られる前にセキュリティの約束をテストできることが含まれます。 8 月 31 日に終了した最近のAzure Sphere Security Research Challengeは、このコミットメントを反映しています。
MSRC と提携して独自の課題を設計する
3 か月間の Azure Sphere Security Research Challenge での私たちの目標は 2 つでした。影響力の大きい新しいセキュリティ研究を推進することと、その分野の最高の挑戦者に対して Azure Sphere のセキュリティの約束を検証することです。そのために、 Microsoft Security Response Center (MSRC)と提携し、悪意のある攻撃者と同じ種類の攻撃を使用して、世界最高の研究者とセキュリティ ベンダーを招待して、デバイスを破ろうとしました。参加者が成功するために必要なものがすべて揃っていることを確認するために、公開されているオペレーティング システム カーネル ソースに加えて、各研究者に開発キット、OS セキュリティ エンジニアリング チームへの直通電話、毎週のオフィス アワーへのアクセス、メール サポートを提供しました。コード。
私たちの目標は、顧客のセキュリティに最も大きな影響を与える調査に焦点を当てることでした。そのため、6 つの調査シナリオを提供し、 Azure報奨金 (最大 40,000 ドル) に加えて最大 20% の追加報酬を提供し、2 つの高値に対して 100,000 ドルを提供しました。 -Microsoft Pluton または Secure World でコードを実行する機能を証明する優先シナリオ。 3,500 件を超える応募がありました。これは、IoT のセキュリティ保護に対する研究コミュニティの強い関心の証です。チャレンジの設計と MSRC との協力に関する詳細は、 こちらのブログ投稿を参照してください。
研究者は、ハッカーの前に影響の大きい脆弱性を特定します
チャレンジの参加者からの提出物の質は、私たちの予想をはるかに上回りました。複数の参加者の協力により、影響が大きくなる可能性のある複数の脆弱性が Azure Sphere で発見されました。品質は、参加者の専門知識、決意、および勤勉さの証です。チャレンジの過程で、合計 40 件の提出があり、そのうち 30 件が製品の改善につながりました。 16 人が報奨金の対象となりました。合計で $374,300 の報奨金が授与されました。他の 10 件の提出物では、潜在的なリスクがシステムの別の部分で具体的に軽減されている既知の領域が特定されました。これは、この分野では「設計による」と呼ばれることがよくあります。提出物全体に対する有効な提出物の割合が高いことは、参加者が示した研究の質が非常に高いことを物語っています。
Azure Sphere オペレーティング システム プラットフォームのセキュリティ リードであるジュエル シーは、 20.07、20.08 、および20.09リリースで提供されたセキュリティの改善について説明する最近の 3 つのブログ投稿で、多くのケースの詳細情報を共有しています。特に、Cisco Talos と McAfee Advanced Threat Research (ATR) は、いくつかの重要な脆弱性を発見しました。Jewell の20.07ブログでは、特定の攻撃チェーンの 1 つが強調されています。
説明されている攻撃は、デバイスへの物理的なアクセスを必要とし、リモートで実行することはできませんでしたが、製品のクラウド コンポーネントとデバイス コンポーネントの両方にまたがる潜在的な弱点が明らかになりました。この攻撃には、ルート権限を逃れるための Linux カーネルの潜在的なゼロデイ エクスプロイトが含まれていました。この脆弱性は Linux カーネル セキュリティ チームに報告され、Linux コミュニティと共有された大規模なオープン ソース コミュニティの修正につながりました。詳細を知りたい場合や、調査パートナーの 2 社から課題の内部ビューを取得したい場合は、 McAfee ATR のブログ投稿とホワイトペーパー、またはCisco Talos のブログ投稿を強くお勧めします。
再生可能なセキュリティを提供し、セキュリティを向上させるために必要なこと
Azure Sphere では、 高度にセキュリティで保護されたデバイスの 7 つのプロパティに基づく堅牢な防御をお客様に提供します。プロパティの 1 つである更新可能なセキュリティにより、デバイスが侵害された場合でも、デバイスをより安全な状態に更新できます。これは不可欠ですが、それだけでは十分ではありません。組織は、脆弱性が顧客に影響を与える前に迅速に解決できるリソース、人員、およびプロセスを備えている必要があります。 Azure Sphere のお客様は、Azure Sphere エンジニアリング チームが強力なコミットメントを持っていることを知っています。つまり、私たちのチームは、最近発明された攻撃手法からでも、潜在的な脆弱性を探して対処していることです。
20.07、20.08、および 20.09 リリースに加えられたすべての修正によって証明されるように、私たちはこのコミットメントを心に留めています。 McAfee が攻撃チェーンを報告してから 30 日も経たないうちに、すべてのお客様に修正プログラムを出荷しました。Azure Sphere による更新の管理方法により、お客様は何の措置も講じる必要はありませんでした。複数のリリース サイクルを通じて多数の提出物を受け取りましたが、受け取ったらすぐにすべてのレポートを分析することを優先しました。私たちのチャレンジの成功は、報告の数と質だけでなく、報告された脆弱性が製品でどれだけ迅速に修正されたかによっても評価されるべきです。発見された脆弱性の修正に関しては、悪用されることが証明された脆弱性と理論上の脆弱性との区別はありませんでした。攻撃者は創造的になり、希望はリスク評価やお客様へのコミットメントの一部ではありません。
セキュリティ研究コミュニティとの関わり
チーム全体とお客様を代表して、Azure Sphere の安全性を高めるためにご協力いただいたすべての参加者に感謝いたします。彼らが発見した影響の大きい脆弱性の質と数には、本当に感銘を受けました。さらに、この課題に協力してくれた MSRC チームにも感謝します。
私たちの目標は、今後もお客様に代わってこのコミュニティに関与し続けることであり、 Azure Bounty Program 賞の資格について、Azure Sphere のすべての潜在的な脆弱性レポートを引き続き確認します。
私たちのチームは、この課題を通じて多くのことを学びました。今後、セキュリティ リサーチ コミュニティと協力する追加の機会を模索し、発表する予定です。私たちのプラットフォームと、お客様がその上で構築および展開するデバイスを保護することは、私たちにとって最優先事項です。この分野で最高のセキュリティ研究者と協力して、潜在的な脆弱性を悪者が発見する前に発見するための投資を続けます。
次の IoT イノベーションを安全に解き放つために Azure Sphere がどのように役立つかについて詳しく知りたい場合は、以下をご覧ください。
Comments