現代企業邁向數位化進程中,物聯網應用已成為重要的實踐場域,針對眾所注目的安全性議題,不僅有實體晶片、嵌入式系統層面建立的安全運行環境,亦需要IT領域的網路安全技術供應商,憑藉與駭客纏鬥超過20年所累積的豐富經驗知識,協助OT環境在由封閉轉向開放網路之際,建立必要基本保護措施。
為因應物聯網安全需求,在進行各項資料傳輸與交換的過程中,採用認證金鑰確保過程的安全可說是常見的作法。意法半導體技術行銷經理閻欣怡說明,在身分認證時主要採用非對稱式密碼,而應用在資料傳輸時則為對稱式密碼。針對不斷增長的連網裝置應用,意法半導體提供不同層次的安全解決方案,包括個人智慧卡應用,如銀行卡、晶片式護照、身分證、健保卡、交通卡等;行動安全應用,如SIM/eSIM卡、行動交易與支付等;安全認證應用,如裝置偽裝保護、平台完整性、資料儲存、IP保護等。
涉及個資或機敏性資料的傳輸,資安保護需求持續提升,意法半導體的安全MCU已通過資訊技術安全評估共同準則或EMVCo國際支付產業標準,解決方案則有針對雲端架構的STSAFE-TPM、適用於閘道器等級的STSAFE-J與終端產品的STSAFE-A系列,讓製造商得以依照應用需求選用。
零信任配置保護邊緣環境資料安全
根據思科2019年發布的視覺化網路指數(VNI)調查報告,自2017年到2022年,行動裝置連線數從86億成長到123億,傳輸速率則是由8.7Mbps成長到28.5Mbps。思科大中華區數據中心事業部首席技術顧問錢小山指出,到2022年,M2M(機器對機器)通訊模組將佔全球設備與連接總數的51%(146億),但所佔的IP總流量只有6%,換句話說,M2M應用場域產生的流量並不大,相當符合當前探討的物聯網應用模式。
在思科VNI報告中針對安全性方面,預估DDoS攻擊規模與流量,到了2022年最高攻擊強度將較2017年增加174%,可達單一國家或區域總流量的25%。調查報告中值得關注的是,2022年IP網路流量至少有三分之一不會經過核心網路,直接在邊緣網路處理。由此可發現,當企業在思考設計新型態應用的網路架構時,應該著重於邊緣環境處理能力,而非只以核心網路為主。
「另一家國際調研機構Gartner在2018年發布的IT預測報告中亦指出,未來的運算主要仰賴於邊緣環境,儘管目前的資料交換與處理,只有10%發生邊緣端,到2025年將會高達75%。這很符合思科對網路流量的觀察與預測,對於企業IT而言可說是不容小覷的轉變。」錢小山說。邊緣端除了執行資料的交換與處理,安全性也不容忽視,例如近來資安市場上經常提及零信任模式,預設為禁止接取網路,除非確認身份、配置合適權限,才得以通行,基於零信任配置保護措施正可為邊緣網路環境提升安全控管能力。
IETF RFC 8520正式規範裝置Profile
未來企業網路主要的攻擊面,不僅只是辦公室、資料中心、雲端等環境,IT/OT的管理者必須清楚,連網裝置應用場域潛藏更大的隱患,例如藉由網路攝影機、感知器、門禁管制等裝置漏洞滲透入侵。趨勢科技先進應用市場開發部資深經理鄭朱弘毅提及,每個有能力接取網路服務的物件都必須有所掌握,否則恐如同美國太空總署(NASA)的案例,其噴氣推進實驗室(JPL)爆發的駭客入侵事件導致火星計畫資料外洩,經過事後調查與鑑識結果發現,原來內部存在未經批准的樹莓派(Raspberry Pi),被攻擊者利用當跳板進入內部竊取資料。
尤其進入到5G時代後,相關應用場景並非如同過去的行動通訊主要著眼於消費大眾,5G更適用於各產業發展的物聯網應用。錢小山說明,現階段物聯網主要應用產業,包含交通、醫療、製造、能源、零售等行業,可藉由5G與Wi-Fi 6整合運行來實踐新的商業模式。
5G應用案例的特性,首要是大規模的連網裝置與傳輸頻寬,其次是超低延遲,在物聯網應用場域,以往一平方公里大約只能支應十萬個連網裝置,現在則可多達一百萬,大量的連網裝置可在不影響傳輸效能的前提下接取5G網路服務。至於室內的應用場域,主要是藉助Wi-Fi 6(802.11ax)來提供,屬性與5G並無二致,亦可適合物聯網,抑或是其他必須仰賴超低延遲來運行的新型態應用。例如遠程手術等應用,延遲必須控制在100毫秒以內,即需要採用最新的5G、Wi-Fi 6來實現。
除了最新的5G、Wi-Fi 6以外,物聯網應用通訊可選用的協定,亦可能是LoRaWAN/NB-IoT、藍牙低功耗等方式的整合運行,連網裝置可依照應用屬性,自動選用通訊方式來傳輸。
連接性被解決後,針對安全性控管方面,錢小山觀察,普遍會遭遇到能見度、控管政策、標準化等三種挑戰。能見度指的是必須要清楚掌握連網裝置相關屬性,以精準地辨識功能性、部署位置、接取方法等資訊,進而偵測行為模式,以及建立控管政策,就如同IT環境的配置模式,依據角色定義接取權限,一旦出現異常可發出告警,同時觸發行為記錄機制,讓IT/OT管理者得以追蹤調查。 「現階段物聯網應用最欠缺可依循的共通標準,大多是技術供應商專屬的架構。對此,在2019年IETF開始提出RFC 8520標準,稱為MUD(Manufacturer Usage Description),由思科與Google共同推動。」錢小山說。
針對物聯網安全解決方案,思科是運用標籤機制制定群組化的控管策略,在此之前要先具備能見度,MUD可解決連網裝置辨識的難題,讓製造商在出廠之前先到MUD開發平台上註冊,基於SDK來嵌入連結。一旦連網裝置啟動,會主動向MUD控制器報到,即可藉此辨識並依據角色定義派發權限與控管政策。此外,思科藉由開放MUD DevNet網站輔助IT/OT管理者與開發人員,運用腳本設計實作流程,降低控管複雜度,同樣是物聯網得以成功的關鍵要素。
AI驅動資安引擎對抗威脅
面對即將到來的物聯網、5G新世代,引進人工智慧增強惡意程式的判斷精準度,以便有效過濾攔阻,降低遭受新興威脅感染的風險,已成為眾家資安業者一致的發展方向,基於防火牆起家的Check Point也不例外。
現階段的連網裝置風險,Check Point傳教士楊敦凱指出,近幾年Check Point陸續揭露許多漏洞,例如掃地機器人韌體存在零時差漏洞,攻擊者滲透成功即可進行遠端操控,進而侵害個人隱私;最近揭露的是單眼相機標準圖片傳輸協定(PTP)存在漏洞,恐因此感染勒索軟體。
Check Point長期專注於研發資安防禦技術,已累積豐厚的領域知識與惡意樣本資料庫。過去是因應攻擊狙殺鏈(Kill Chain)來設計不同階段的防護措施,隨著外部威脅手法轉變,近來主流的框架則是由美國非營利組織MITRE提出的ATT&CK,在攻擊活動的前期運用機器學習演算提高偵測率。
Check Point Infinity安全架構以ThreatCloud雲端情資為核心,內建啟發式識別引擎具備辨識異質裝置屬性的能力,可透過單一控管平台配置閘道端設備的設定,按照連網裝置屬性值定義風險,結合應用場域架構輪廓,自動化建立保護規則,藉此有效率地掌控物聯網環境部署眾多的連網裝置,避免配置錯誤導致服務中斷或出現弱點。
楊敦凱進一步提到,Check Point設計的預測型威脅情資分析引擎稱為Campaign Hunting,類似於威脅獵捕,專業研究團隊基於龐大的情資資料,監看企業端網路活動狀態,例如同時註冊多個網域等行為,跟過去已經發生的資安事件相似度,經過專業研究團隊獵捕行為指標後,回饋到Check Point雲端情資中心(ThreatCloud),可提升一成以上的有效辨識率。
未知惡意程式行為分析引擎稱為Huntress,運用API介接沙箱動態分析取得執行檔的相關參數,以機器學習演算偵查隱含的惡意程式,最後再回饋到雲端情資中心持續運行深度學習。客戶實際驗證的經驗,有13%的惡意程式是由Huntress引擎所發現。
此外,Blender引擎較偏重靜態分析,執行混合測試執行檔主體與結構的解析引擎,取出Payload資料與既有情資進行比對,運算判斷屬於已知或新興的惡意程式。搭配Buffy引擎動態偵測執行檔,基於特徵指標演算行為風險,判斷程式的可疑程度。
綜合前述引擎演算分析的結果,拋送到全文感知偵測(CADET)引擎中,可主動擷取多種IT環境參數,例如郵件、網路、雲服務、端點等,進一步檢查威脅指標,除了提高惡意程式偵測率、大幅降低誤報率以外,回饋的資料會回到ThreatCloud雲端情資中心持續進行深度學習與建立分析模型。
單一平台配置與管控IT/OT運行政策
現在台灣的金融、電信、政府等單位,楊敦凱觀察,最迫切需要的是在發生資安事件當下,要有專業團隊協助監控、執行鑑識、找到問題真正根源。以Check Point過去在執行事件回應的經驗,遇到假消息、DDoS攻擊威脅時,可仰賴資安領域專家介入執行調查與緩解,最後產出回應處置報告。「相較於本地端的資安監控中心(SOC),Check Point最大差異在於情資資料庫與經驗豐富的資安人力,基於龐大的情資平台ThreatCloud即時掌握全球最新惡意活動。」
人工智慧應用在資安領域,期望達到的目標,在於輔助人力無法實作的資料分析,以提高辨識度。隨著資料量的成長、產業經驗的累積,有機會讓演算法更加地符合應用場域防禦的目標。
至於物聯網應用場域,常見既有連網裝置的作業系統過於老舊,無法進行更新修補,再加上現在網路架構的可視性過低,導致裝置設備故障、遭受劫持也無從得知。「之所以至今難解,根本原因在於IT與OT的資安防禦目標不一致,意思是,IT管理者最在乎的是資料,OT管理者最在意的則是可用性,恐帶來無法彌補的營運損失,較IT環境發生的資安事故嚴重程度更高。」楊敦凱說。Check Point提出的Infinity安全架構,可讓IT/OT基於統一控管平台掌握連網裝置存取行為,實施保護政策防禦入侵。
分散式帳本技術保障資料流通安全
就整體物聯網應用場景來看,目前落實的多數為工業環境,不需要直接接觸到最終用戶,可是卻分享人們仰賴的網際網路頻寬。BiiLabs共同創辦人暨執行長朱宜振認為,既然工業應用環境主要為機器之間的溝通,可以從佈建初期就採以獨立的標準來支持。問題是在欠缺標準化資料交換格式的情況下,大規模部署的物聯網應用場域,必須在應用場域邊緣先行處理,並非所有資料都傳輸到源頭,如此的分散式架構,彼此之間再透過點對點(P2P)傳輸,達到萬物連網,於是國際推動分散式帳本技術的IOTA基金會也開始探討物聯網標準架構,稱之為Tangle。
「BiiLabs自從2016年開始實作區塊鏈架構,2017年正式成立公司開始推向市場,已經有許多實際測試驗證的案例。」朱宜振說。區塊鏈可說是分散式帳本的子集合,名氣較盛的主因在於比特幣,畢竟加密貨幣一直是資本市場上相當熱門的焦點。
至於分散式帳本的關鍵在於去中心化識別。即使是演進到數位化應用環境,每個裝置仍舊具備獨一無二的ID,如同網路層的硬體介面可基於MAC執行辨識,進而理解資料流通性。實際部署物聯網應用之後會發現,硬體不再是重點,而是產生的龐大資料集,可經過訓練實踐人工智慧。隨著5G上路後,網路傳輸速度大幅提升,可讓人工智慧加速掌握網路行為模式,對於衍生出的資料隱私權爭議,區塊鏈架構則可確保資料流通安全性,進而創造資料經濟。
就架構面來看,區塊鏈的拓樸圖即為多個鏈(Chain)所組成,如同最為人所熟知的比特幣,避免資料在交易過程中,其他節點可趁機進行下一個交易行為,出現雙重支付(Double-spending)攻擊。可惜的是鏈狀拓樸平均約十分鐘才能確認完成一筆交易、產生區塊,可處理的數量有其侷限,不見得適用於所有物聯網應用場域。
IOTA基金會提出的Tangle資料結構,把鏈狀拓樸改成有向無環圖(Directed Acyclic Graph),具備無交易費用、安全和分散、可擴充、可互動操作等特性。其中的關鍵是Tangle設計的共識演算法,不是採用「礦工」確認交易,而是建立任意兩筆交易執行確認的模型,如此一來,網路效能將隨著交易數量的增長而提升,達到安全性與去中心化的應用。