在網路應用普及下,企業與個人所留存的數位足跡持續增加,導致潛在攻擊面擴大,所有對象皆可能成為攻擊目標。雲端服務與物聯網應用的快速發展,任何連網裝置也都是可能的攻擊弱點。新型態自主式攻擊出現,造成偵測難度升高,加上傳統型態攻擊也因技術持續進化,防護機制失靈狀況頻傳,應用環境與服務模式的改變,也造成資安課題日益嚴峻。
在網路應用普及下,企業與個人所留存的數位足跡持續增加,導致潛在攻擊面擴大,所有對象皆可能成為攻擊目標。雲端服務與物聯網應用的快速發展,任何連網裝置也都是可能的攻擊弱點。新型態自主式攻擊出現,造成偵測難度升高,加上傳統型態攻擊也因技術持續進化,防護機制失靈狀況頻傳,應用環境與服務模式的改變,也造成資安課題日益嚴峻。
應用環境複雜安全防護不易
隨著物聯網應用環境逐漸成熟,各式智慧裝置日益普及,例如個人用智慧手錶、公共區域監視設備,乃至生產設備上的感測器等,其安全管理涵蓋必須從感測層、通訊層、雲端平台,乃至各種垂直應用面面俱到,每一連網裝置與雲端設備的軟硬體更新與程式管理,對整體資安而言,都是重要的一環。舉例而言,在技術與產品成熟下,結合各種智慧家電、智慧音箱、室內監視器、智慧門鎖等,連網形成智慧管理、保全的智慧家庭概念逐漸普及,而該現象也帶給駭客新的入侵機會。家庭中的任一連網裝置都可成為駭客攻擊的漏洞,透過入侵監視使用者與企業間的對話,竊取個資或企業情資,進行勒索、詐騙,以及販售個資牟利等不法行為。
而由於物聯網之架構與應用環境,具有收集大量數據、高度複雜性與集中化等特性。基於系統持續運作之需,物聯網感測器與裝置不間斷地收集詳細的環境與使用者數據,若數據未加以妥善保管,一旦外漏,即可能引發不良的連鎖反應。在物聯網環境中,大量裝置交互運作連動,裝置根據接收到的環境數據即時反應,虛擬與實體間的連結得以更加緊密,雖促使功能更多元,但也造成應用環境的高度複雜性,安全防護不易。
集中化乃是將所有裝置和感測器所收集到的數據都彙整到特定資料中心集中化管理。由於數據量龐大,集中化管理相對具有節省成本的效益,但同時也造成攻擊風險升高的問題。
多重資安破口無一體適用方案
從物聯網之架構與特性分析,資安風險的可能破口包含裝置、通訊網路與應用程式等。裝置內含有記憶體、韌體、硬體介面、網路介面之不安全預設值、更新機制等弱點,而經常成為資安攻擊的源頭。物聯網裝置之間的通訊網路,也是常被攻擊的弱點,例如遭到阻斷服務(Denial-of-Service,DoS)或假冒攻擊等各種不明的攻擊。物聯網系統所採用的通訊協定亦可能出現影響整體系統安全的問題。物聯網裝置相關的應用程式或軟體,可能被用來竊取使用者的登入憑證或發送惡意的韌體更新等,成為駭客入侵的漏洞。因此,提供更完整的安全支援,以進一步提高安全性,是所有物聯網裝置、應用程式開發商,以及服務供應商現階段重要的課題。
然而,物聯網應用多元,其對應連網裝置具有少量多樣的特色,其中很多是由中小型、新創業者等設計開發。由於本身資安相關專業與資源不足,加上未達規模經濟,在壓低成本的要求下,可能多家廠商採用相同OEM業者的零組件,若一個產品安全性出現問題,將波及其他採用相同零組件的眾多產品,影響層面大幅擴大。
加上連網裝置種類多樣,各自規格與系統架構皆不同,且多半屬於無顯示螢幕、輸入鍵盤等的產品,安全防護僅能依賴存取的網路尚無一體適用的標準資安解決方案。因此,要兼顧防護機制與避免產生重新驗證之成本,同時快速完成各種連網裝置的軟體更新,以確保物聯網應用環境安全無虞,是企業的一大挑戰。
此外,各國積極推動5G網路建置與服務商轉,預期將擴大物聯網連網裝置的數量與應用,由於5G網路仍存在安全問題待解決,商轉後與物聯網相關應用結合,亦將帶來新的資安挑戰。
攻擊技術進化防護更困難
再者,網路攻擊等技術的持續進化,也是造成資安防護更加困難的原因。近幾年惡名昭彰的勒索軟體(Ransomware),在透過勒索軟體取得贖金,過去基於被害者贖金支付能力或接受極限,大都鎖定企業家、政客、影星等高知名度人士,鎖住系統、竊取個資,索取高額贖金,但未來也可能針對一般消費者,透過自動攻擊物聯網裝置,同時向眾多用戶勒索小額贖金。由於人數眾多,積少成多亦可獲取可觀贖金,在此狀況下,若有透過物聯網裝置勒索贖金事件發生與披露,將嚴重影響使用者購買採用相關裝置的意願,進而阻礙物聯網相關應用的發展。對服務供應商言而,除須支付個資外漏罰款,增加營運成本外,對後續業務擴展亦產生嚴重的負面影響。
惡意軟體(Malware)亦已朝向可在各種行動裝置間跨平台攻擊破壞的型態發展。由於此類惡意軟體內含自主學習組件,自動收集所在環境的攻擊資訊,再選擇脆弱標的執行攻擊,並透過跨平台感染、擴散,擴大攻擊範圍,使得偵測與防患難度大幅提高。
新興數位科技的發展,改變資訊應用環境、企業經營方式與消費行為,且持續快速地進化中,然資安課題卻如影隨形揮之不去。綜觀近期網路攻擊等資安事件,皆可看出資安威脅的演變,過去一般企業以導入防火牆、入侵防禦系統(IPS)等資安解決方案做為防護機制的傳統方式,已無法應付物聯網的應用環境,必須重新檢視,並以新思維與作法因應。尤其,物聯網系統的主要元件都可能是被攻擊的對象,必須在規劃建構的設計階段就將資安列為關鍵要素,納入考量,才能達到從個別裝置到整體架構都能兼顧功能與安全的目標,避免事後補救的資源浪費。
<本文作者周維忠,現任資策會MIC資深研究總監,專業於資訊應用相關技術及基礎環境與市場趨勢研究,長期深度觀察資訊應用新興技術發展、創新服務模式與市場競爭態勢。資策會產業情報研究所(MIC)長期觀測紀錄高科技產業市場情報及發展趨勢,是臺灣資通訊產業最重要的軍師,也是政府倚重的專業智庫。更多資訊請參閱官網 https://mic.iii.org.tw/>