隨著數位化應用逐步落實,內建連網功能的裝置數量逐年增長,已是不可逆的事實。根據IDC於2019年發布的調查報告預測,到了2025年物聯網場域中的裝置或物件總計將高達416億台,產生將近80ZB的資料量。
當企業創新商業模式經過概念驗證,上線開始展現價值後,萬一發生資安事故,勢必直接損害營運收入,也因此資安愈來愈受到企業的關注。
在微軟位於新加坡的網路安全中心與技術透明中心,微軟全球資安技術長Diana Kelley日前針對物聯網安全發表演講,引述2019年與調查機構Greenberg Strategy合作進行的調查統計指出,74%的消費者會為了具有高安全性的智慧設備支付更高的價格,65%的消費者不會購買曾經爆發安全漏洞的品牌,93%的消費者認為製造商需要增添更多機制來保護智慧設備;在另一份微軟針對全球超過三千家客戶進行的物聯網應用調查報告中,97%的企業回答在部署物聯網時安全性為關注焦點之一,並且願意為應用場域的網路安全增加投資22%的費用。
為了貼近企業應用需求,各式連網裝置的製造商,在產品設計階段就必須納入安全性機制。Diana Kelley指出,設計思維須包含打造可信任的硬體、值得信賴的信任基礎(Trusted Computing Base)、縱深防禦、可被隔離、基於憑證辨識身份、安全性更新、蒐集故障產生的資料,藉此保護物聯網應用得以在足夠安全的前提之下上線運行。
攻擊者運用AI自動隱匿行蹤
綜觀網路威脅現況,Diana Kelley表示,2020年資安領域可預見的趨勢,包括愈來愈多攻擊者採以人工智慧方式設計破壞性更高的惡意軟體、保護供應鏈的需求將加速產業協同合作、基於公有雲建立保護措施的重要性提升、零信任存取模式取代密碼登入、政治意圖的攻擊活動。
她引述Ponemon Institute於2019年發布的全球資料外洩成本研究報告提到,組織辨識資料外洩威脅的時間平均需要206天,之後要遏制事件爆發還需要73天,主要因素在於攻擊者已轉變成為伺機牟利的投機分子,無所不用其極地達到最終目的,典型的作法即是在暗網中花錢雇用高手來發動攻擊,對於隱匿行蹤防範追蹤的手法相當老練,再加上人工智慧與機器學習技術日臻成熟,攻擊者也開始藉此提升惡意軟體的技術機制,能夠依據IT環境的不同自動調整執行參數以免被偵測發現。
因應如此難以辨識的攻擊活動,微軟藉由本身具有的威脅訊號與運算能力強化偵查,並且即時反應處置。微軟內部的資安專家會根據各種風險指標訓練演算模型輔助調查,同時,數位犯罪防治單位(Digital Crimes Unit)會主動識別出製造惡意軟體的犯罪組織,偕同執法部門來破壞攻擊活動。
追蹤漏洞威脅保障端到端應用安全
隨著物聯網、行動化應用大量仰賴自動化技術,場域工作流程將因此更趨複雜,這也是Diana Kelley認為保護供應鏈的需求將加速產業協同合作的因素之一。事實上,發展到2022年,將有超過半數企業的資料存放與處理,會仰仗外部雲端平台或資料中心,攻擊者已經在研究可利用的漏洞,例如老舊的軟體、設計不良或管理者密碼未修改的裝置。 「微軟提出的身份識別平台服務具備多因素驗證(MFA)等安全機制,可支援超過140萬個獨特的App,例如ServiceNow、Google、Salesforce等,藉由技術供應商彼此共同合作,以追蹤共同的客戶與供應鏈潛藏漏洞威脅,才可有效降低新型態應用場域的風險。」Diana Kelley說。
如前所述,當前攻擊手法已開始運用人工智慧與機器學習技術,企圖迴避部署於地端的各種偵測措施,因此基於公有雲建立的保護措施將更加重要。在多數企業未配置專屬資安人員,僅為IT人員兼任的情況下,僅仰賴現有工具實難與攻擊者抗衡。公有雲平台可掌握全球最新威脅情報,以此為基礎為來自各種不同存取意圖的連網行為,建立趨近即時的保護措施。
零信任安全模式建立保護措施
在企業積極開展數位化商業模式的同時,攻擊者也正在研究與挖掘出更多可竊取機敏資料獲利的方法。Diana Kelley指出,根據Risk Based Security發布的2019年上半年資料外洩報告統計,總數高達41億筆,相較於同期增長了52%,身份遭盜用仍舊是最常見的資料外洩因素。由此可發現,傳統資安防護思維必須有所轉變,以貼近企業正在發展的數位化應用。
轉向「零信任」安全模型如今已成為資安主流方向,不論是企業內部或邊緣環境皆可藉此避免用戶、裝置管理者帳密遭竊導致的資安事件。企業亦可透過新世代的網路身份識別FIDO(Fast Identity Online)聯盟制定的標準,運用安全模組、生物辨識等技術,讓存取行為無須再沿用傳統的輸入密碼方式進行驗證。
惡意攻擊除了以獲利為目的,另一項常見的是政治意圖攻擊活動。Diana Kelley表示,微軟威脅情報中心已掌握全球至少110個駭客組織活動狀態,攻擊者發動網路釣魚的目的主要是進行政治活動,尤其是在社交平台上散布假消息,導致影響選舉、造成社會動盪。
微軟威脅情報中心集結全球資安專家,從每天大約8TB之多的資料量中辨別身份與追蹤消息來源,以免正常的民主政治運行遭到假消息攻擊。最近揭露的是名為Strontium(又稱為Fancy Bear或APT28)駭客組織,針對全球16個地區的國際體育組織、世界運動禁藥管制(WADA)等機構發動APT攻擊,恐將影響今年(2020)日本東京奧運會。Diana Kelley建議,進入到數位化時代,每個人都應該學習提升辨識釣魚詐騙或假消息的能力,並且在瀏覽網站時提高警覺,防止惡意攻擊得逞。