【IoT 攻防戰】20 個應對 IoTs 資安建議
Philip Hue、Amazon Kindle、Apple Watch、Google Home Voice Controller、August Smart Lock、Kuri Mobile Robot、Dyson Pure Cool Link Air Purifer、NEST T3021US Learning Thermostat、WeMo Insight Smart Plug… 任何透過互聯網讀取、辨識、定位或控制的裝置,都被廣稱為 IoT(Internet of Things)。IoT 裝置間可互聯連接之外,又可與人溝通;它既可以是邊緣運算電腦、智能手錶、自動駕駛車、也可以是電飯煲,IoT 的誕生,意味物理與數位世界密不可分。
研究報告指出,2025 年全球將有超過 300 億個連線 IoT,平均每人 4 個,而它們需要數以兆計感應器運作。據 McKinsey Global Institute 統計,未來每秒將新增 127 個 IoT 裝置與互聯網連線。數量之龐大、增長之急速,令防範黑客攻擊幾乎等同 Mission Impossible。尤其 IoT 既沒統一制式,其資安結構亦層出不窮,它們的共通點是一與網結連線,就有機會被 Hack。Comcast 報告推斷每個家居平均每月被試圖入侵 104 次,其中以電腦、手機、平板、具備 Wi-fi 相機、串流視頻裝置等最常受襲。手機與電腦有充足運算力執行資安措施,但大部分的 IoT 容量與記憶體都相當有限,難以安裝防火牆或防毒軟件,加上邊緣運算將資訊散布 IoT,黑客輕鬆入侵 IoT 取得資訊後,還可以乘機入侵連線裝置。
此外,黑客亦會用 Ransomware 鎖機,Check Point Research 最近發表報告指 2021 的日均 Ransomeware 攻擊數量,比去年同期增加了 50%。遠程工作趨勢下,IoT 攻擊只會有增無減,US General Accounting Office GAO 歸納 6 大針對 IoT 的基本攻擊 - Denial of Service、Malware、Passive Wiretapping、SQLi(Structured Query Language Injection)、Wardriving、Zero-day Exploits,提醒大眾慎防。另一方面,Dark Web 與日新月異加密通訊社交平台的興起,加深黑客間交流,包括黑客工具與更難防範的攻擊手段。黑客背景亦繁雜,受聘於企業甚至國家隊已非秘密身份,後者採用的手段,亦會更難提防。
IoT 的增加速度,無限擴展 IoT 形成的網絡,在缺乏資安保障下,攻擊面等於無限大。黑客操縱 IoT 後,可發動流量攻擊,癱瘓網站。早在 2017 年 4 月,The Altman Vilandrie & Company 統計數據指近半使用 IoT 的美國企業經歷過資安攻擊,相信有不少企業受襲而沒有備案。今日全球有超過 440 億個 IoT Endpoints,黑客有太多入侵選擇,單單 DDoS 就可以帶來災難效果。2017 年史上影響最廣泛的勒索軟件 WannaCry 在極短時間內入侵過百國家數以十萬計的 IoT 裝置,無數擁有 IoT 連網的政府與企業網絡都受影響。IoT 的 OT 與 IT 系統互動亦會產生資安漏洞,對基礎設施影響尤其深,工業用的 IoT 必須由設計時加入資安考慮,才能減小受襲面。在 5G 的未來,IoT 的連接性、速度、效能、表現都會有所提升,帶來的資安挑戰亦然。
資安基本就是風險評估,守護 IoT 先要熟知它的連接點、核心資訊、遇襲後最快阻截入侵手段與補救方法等。不同風險管理架構對應不同的解決方案與服務,加上企業的獨特本質,度身訂造的資安策略絕對是最有效。下列 20 個建議,希望對一眾 CISO 有所啟發。
。為所有裝置做風險測試,找出資安弱點;
。預先製訂 IoT 應變流程;
。數位上分隔 IoT 裝置以減低受襲範圍;
。以資安程式保護網絡與裝置;
。參考同業或權威的資安建議,例如 NIST;
。交換更新風險情報;
。定期掃描網絡、裝置與應用;
。定期更新網絡與裝置;
。安裝新裝置前要設定新密碼;
。為裝置與程式設定登入權限;
。以多重密碼認證登入網絡;
。IoT 溝通內容需加密,尤其涉個人資訊;
。使用強化防火牆;
。使用安全 WIFI;
。備份資料;
。起用 Cloud Security As A Service;
。考慮 Machine Learning 與 AI 資安工具;
。為所有員工提供定期資安培訓;
。不斷審核與即時分析資安風險;
。時常保持警覺。
的確,就算做足以上措施,金鋼罩依然有罩門,大家只能將其縮到最小。未來 IoT 資安執行與管理都會朝 Machine Learning 結合自動化方向發展,那天到臨前,大家要盡做。
