嵌入式安全是物聯網公司面臨的最大挑戰之一。這不僅是為了防止物聯網產品被黑客入侵，而且是為了保護他們的流程和保護他們的知識產權。在嵌入式安全領域我們經常與之交談的高管中，Haydn Povey 是物聯網安全的杰出倡導者之一。作為Secure Thingz的 CEO是一家 IAR Systems 公司，他擁有更深的背景，包括之前在 Arm 負責推動其安全路線圖，現在還在物聯網安全基金會的董事會任職。在這次采訪中，他解釋了圍繞物聯網產品安全的一些挑戰、客戶告訴他的內容，以及世界經濟論壇的參與所產生的意識將如何影響我們看待和部署嵌入式安全的方式。

Nitin Dahad：從安全的角度來看，您認為 2022 年的挑戰是什么？

海頓·波維：目前，我們看到市場面臨三大挑戰。首先是消費者物聯網立法的實施，這讓制造商有責任確保他們的產品網絡安全。這包括英國的產品安全和電信基礎設施法案，該法案支持對違反安全規定處以 1000 萬英鎊的罰款，以及歐盟即將推出的類似計劃。壓力也來自歐洲電信標準協會 (ETSI) 的 EN 303 645 和歐盟網絡安全局 (ENISA) 的基線建議等標準，這些標準將在未來 18 個月內實施。考慮到較長的組件交付周期和供應鏈影響，OEM 必須立即在其設計中實施安全性以滿足未來的網絡安全要求。

第二個挑戰是保護最終用戶和系統集成商免受惡意軟件注入，既保護系統行為又避免大規模木馬或分布式拒絕服務 (DDoS) 攻擊，例如我們在 Mirai 攻擊中看到的。OEM 必須確保產品在客戶使用時是安全的，并且不會成為攻擊的切入點，尤其是在現場需要遠程更新的情況下，通常會在系統設計中提供致命弱點。

但是，面臨風險的不僅是最終客戶的實施。制造商自己需要在供應鏈的最初階段實施 IP 安全——這是我們看到的第三大挑戰：

經合組織估計，全球每年克隆或假冒商品的成本為 5000 億美元——其中最大的比例是電子產品。歐盟估計，僅基于知識產權盜竊一項，每年就會產生 600 億歐元的影響，而由于知識產權盜竊，歐洲有近 300,000 個工作崗位流失。OEM 需要確保他們的應用程序構建正確，在制造過程中他們的 IP 不是公開的，如何獨特地配置和編程設備 - 以及如何大規模使用這些設備。

Nitin Dahad：但增加的安全要求不僅僅適用于消費電子產品，對吧？

Haydn Povey：當然，這也涉及工業、汽車或醫療電子產品中的應用——任何連接到互聯網和網絡的東西都存在風險，需要保護免受攻擊。工業 4.0 中有很多機器對機器的通信，這個復雜系統中的每個設備都需要驗證。“零信任”的概念是關于身份驗證和入職系統——一項具有挑戰性的任務，一些公司試圖通過數字雙胞胎和基于云的連接來解決這個問題，但這需要大量的軟件組件。

Nitin Dahad：您的客戶對他們的安全挑戰有什么看法？

海頓·波維：他們有很多問題。我們從哪里開始處理這樣一個多方面的問題？我們如何保護我們的客戶？我們如何保護我們的知識產權和品牌？然而，他們已準備好應對這些問題——但他們缺乏網絡安全專家！事實上，該行業在全球范圍內需要 350 萬工程師。但根本不夠。因此，我們所做的就是讓安全變得簡單。我們為沒有任何安全專業知識的工程師提供它，他們只需要完成他們的工作。

Nitin Dahad：保護供應鏈似乎是許多組織面臨的主要挑戰。你如何解決這個問題？

海頓波維：基本上，我們正在嘗試使用向導和配置框使事情變得非常簡單。用戶只需要完成幾個步驟，例如：您是否希望擁有帶有正式加密證書的個人身份？你想要兩個或三個級別的證書嗎？您的更新插槽是在微控制器上還是在片外內存上？您只需勾選一個框或從菜單中選擇來設置您的要求。我們正在努力讓工程師們輕松實現這一點：通過正確地從選項中進行選擇，客戶可以自動生成可立即運行的源代碼，他們可以擁有、編輯并與他們的主應用程序集成。我們向導的輸出是我們稱之為“安全啟動管理器”的東西，OEM 可以利用我們在軟件上實現的組件 SESIP 合規性來支持正式的產品合規性。

Nitin Dahad：最近，您宣布積極支持世界經濟論壇互聯世界理事會提出的消費者物聯網安全支持聲明。該聲明討論了設置安全基線的五個關鍵功能，這些是什么？

海頓波維：這五個關鍵能力實際上源于我們在物聯網安全基金會中談到的 13 個最佳實踐。然后通過全球 100 多個標準、規范和指南報告這 13 項。立法要求其中三個是強制性的，它們聽起來非常高，但它們會產生深遠的影響，因為這些事情總是如此。第一：不要使用通用默認密碼。第二：實施漏洞披露政策，這意味著您必須告訴客戶您的產品存在故障，并且您已準備好通過適當的軟件版本控制來修復該問題。這是第三個關鍵能力：保持軟件更新。此外，還有兩項與保護數據相關的重要功能——第四項：安全通信；五：

Nitin Dahad：世界經濟論壇中的這一聲明對組織應對全球日益增長的安全挑戰有何影響？

海頓波維：我認為 C 套件高管（首席執行官、首席運營官或首席戰略官）充分意識到即將出臺的立法的后果至關重要。他們必須像政客一樣堅持下去，因為法律要求將產生與四年前 GDPR 相同的影響。C 套件必須對其產品的安全性及其對客戶的影響負責。他們必須記住，當出現問題時，他們將承擔個人責任。世界經濟論壇非常強大，因為它接觸到財富 500 強和政治家，并告訴他們現在有責任在他們的組織中推動更好的行為。你必須為它做計劃，你必須為它提供資金，然后讓你的工程團隊讓你的產品滿足安全要求。

Nitin Dahad：貴公司如何滿足本聲明的要求？

Haydn Povey：我們的“Embedded Trust”安全開發解決方案和我們的生產硬件安全模塊“Secure Deploy”的目標是：讓安全變得簡單。這就是他們所做的：簡化安全設計。就像我們不期望每個工程師都重新設計 TCP IP 或 TLS 堆棧一樣，我們也不應該期望每個人都是安全基礎知識方面的專家。Embedded Trust 和 Secure Deploy 只是另一個解決方案，用于支持他們如何在產品的整個生命周期中實施軟件中的特定安全層，如何在批量生產中實施，以及如何為每個設備唯一地編程和提供身份.

Nitin Dahad：對于量產解決方案，你們如何與生產設備供應商合作？

海頓波維：我們與一組合作伙伴合作——例如，System General，設備編程機器的全球領導者——他們基本上在編程機器中實施了我們的安全部署模塊。有了它，您可以使用正確的代碼安全地對每個芯片進行編程，而無需添加或更改任何內容。同時，每個芯片都配備了真正唯一的證書。我們可以確保只在合適的機器上生產合適數量的設備，以防止假冒和灰色生產。任何制造商都可以在世界任何地方通過創建從其生產管理系統到正在編程的設備的虛擬專用網絡 (VPN) 來做到這一點。我們還與全球大型分銷商及其編程合作伙伴（如 EPS Global 和 Hi-Lo Systems）合作。我們的共同目標是建立值得信賴的供應鏈，

Nitin Dahad：我們討論的主要與在新設計中實現安全功能有關。但是，已經在該領域使用的產品呢？原始設備制造商如何確保這些產品的安全？

Haydn Povey：您說得對，我們看到有大量公司在為其應用程序添加安全性方面面臨挑戰，但他們不能證明從他們的開發項目開始從一開始就增加安全性是合理的。這就是 Embedded Trust 的用武之地：我們安全解決方案的最新版本 2.0 使他們能夠將安全性快速集成到現有應用程序中，無論它們處于生命周期的哪個階段，也不管他們使用什么開發工具來創建代碼。

Nitin Dahad：那么，我們很快就會在世界經濟論壇上看到您談論物聯網安全嗎？

Haydn Povey：我很幸運能被世界經濟論壇邀請為嵌入式和安全專家，也感謝我們是物聯網安全基金會的創始成員。目前我們正在制作一些有關安全的視頻，因此您可以期待很快在世界經濟論壇的平臺上聽到更多關于我們安全概念的信息。

審核編輯 黃昊宇