2016-06-07企業期待創新商機之餘,須正視IoT資料外洩及安全風險,從網路端解決資安問題,在物聯網戰役中勝出

張貼日期:2016/6/7 上午 05:00:35

物聯網是科技旅程的一部份,這趟旅程正從機器對機器(Machine-to-Machine,M2M)的通訊年代,經由物聯網走向萬物聯網(Internet of Everything,IoE)的時代。這項發展主要有三種驅動力,包括全球連網裝置的增加、不受平台限制的應用程式爆炸性的成長,以及成熟的網路技術,可低成本不費力地連接成千上萬各種不同的設備。 

物聯網能帶來一些好處,包括即時的資訊情報、全年無休的可用性、自動化、便利與低成本。無論是企業、政府組織和消費大眾,都能因此獲得好處。 

市場商機非常巨大。例如,Gartner預估物聯網在2020年將會有約260億個設備,其產品和服務供應商在2020年將增加超過3,000億美元的營收。IDC則預測全球市場的IoT解決方案將從2013年的1.9兆美元,增加至2020年的7.1兆美元。 

▲從機器對機器(M2M)走向萬物聯網(IoE)時代的發展,全球連網裝置大量增加,可低成本不費力地連接成千上萬各種不同的設備,但也帶來潛在的巨大資訊安全風險。

物聯網將改變我們做事的方法--無論是與人溝通、合作和交易。許多創新的解決方案和服務也會因物聯網而出現。 

然而,壞處是物聯網會帶來非常高的安全風險。首先,物聯網讓更多的資訊和活動上網,而這些資訊和活動可能會被破壞。其原因有兩個:由於引入物聯網設備,大大地增加了網路曝光的頻率,此外,驅動設備的軟體往往不安全而且很容易被駭。 

在消費者和員工都期望公司能保護他們個人資料的年代,物聯網可能是個致命的組合。現今公司的責任不僅在於保護企業資產,也必須保護客戶和員工的資訊,包括薪水、健康資訊、採購和搜尋記錄,以及其他的機密資料。從保護客戶防範未經授權的信用卡交易,轉變到保護他們的個人資料和隱私,這是全球都在發生的事,違反這些義務可能嚴重危及企業經營。

例如,根據Fortinet最近的一項物聯網全球調查報告,若發現家中的物聯網設備會暗中蒐集資訊並與他人分享,62%的受訪者會認為已受侵犯,且極度憤怒到會採取行動。如果已知的物聯網設備必須蒐集資訊,66%的受訪者堅持只有他們本人,或是已獲得他們授權的第三者才能讀取這些資料。 

要駭入一個物聯網設備是非常容易的事,因為它們採用了各種不同的模組和內建程式庫(Common Libraries),而且經常是屬於開放源碼。它們也傾向採用更新的通訊協定,例如UPnP(Universal Plug and Play),和較舊的成熟協定相較,它們有更多的缺點和瑕疵。其次是,大多數的物聯網製造商在設計和建造設備時,並沒有將安全問題納入考量,當他們的設備遭到破壞時,並沒有必要的回應機制。 

舉例來說,大型的軟體廠商如微軟和Adobe,一向是傳統的攻擊目標,因此他們已建立了安全的產品開發週期,並定期發佈修補和更新檔。如果軟體有漏洞被發現,他們的產品安全事件反應小組(Sproduct Security Incident Response Teams,PSIRTs)會迅速地處理問題。 

此外,這些大型軟體商廠已為產品建立許多安全控管機制,使得威脅攻擊更難以得逞。例如,Adobe Reader現在內含一個沙箱(Sandbox),能更有效地抵抗威脅攻擊。至於物聯網設備,通常沒有如此嚴謹的安全控管,而且隨著時間的推移和安全漏洞數量的增加,物聯網將會有更多的整合,複雜度也會增加。這些有安全漏洞的地方,大多數可能是傳統用來控制物聯網設備的Web-based使用者介面。 

Fortinet的威脅研究團隊FortiGuard Labs,已經偵測到駭客正在探測非傳統的攻擊目標,例如物聯網。儘管目前攻擊數量還不多,但無疑地,未來幾個月後將會有增加的趨勢。物聯網的攻擊代表了一個最小抵抗阻力的路徑,同時也是駭客最好的機會。駭客們知道若沒有適當的PSIRT小組來管理和修補物聯網的安全問題,他們就能在更長的時間裡不斷地攻擊進而得逞。若連網設備具有儲存容量、記憶體和處理器,那它們便是完美的攻擊目標,很多時候,這些物聯網設備可以作為一個中介的攻擊跳板,在內部網路裡進行二次攻擊。 

隨著物聯網攻擊面變得更大,端點安全和管理就變得更加支離破碎。因為大多數的物聯網設備並不會有防毒控管機制,即使有,物聯網系統的規模和多樣性也會使防護程序複雜到不可能去管理。 

因此,以網路為基礎的安全檢測,是現階段保護物聯網的唯一方法。每一個網路都需要一個具備足夠智能的安全設備,可深入檢測針對這些非傳統平台所撰寫的程式碼。我們稱此為與平台無關(Platform Agnostic)的檢測,它是能隨著物聯網規模彈性調整的最好方法。 

針對每一個資料的要求,這個安全設備必須有能力確認三個重要資訊:使用者是誰?要往那裡去?需要什麼資料?這意味著網路將會需要整合傳統的網路防護技術,例如防火牆、入侵防護、網頁過濾和防惡意軟體解決方案,才能執行安全政策,控管應用程式,防止資料外洩。更重要的是,由於攻擊面逐漸擴大,內容的檢測也會成為必要的一環。現今網路威脅可以藏身在任何地方,若潛藏在合法的網路流量中,很容易就會被發現。 

唯有依賴像這樣的智能解決方案,搭配精巧的安全政策和機警的IT安全人員,企業才能從物聯網的安全戰役中勝出,並讓企業平穩營運。 

(本文作者現任Fortinet全球資安策略長)