【IoT 攻防戰】20 個應對 IoTs 資安建議
![Topic report3](https://www.wepro180.com/wp-content/uploads/2021/07/43a5b5ad-web_20210218_iot-750x430-1.png)
Philip Hue、Amazon Kindle、Apple Watch、Google Home Voice Controller、August Smart Lock、Kuri Mobile Robot、Dyson Pure Cool Link Air Purifer、NEST T3021US Learning Thermostat、WeMo Insight Smart Plug… 任何透過互聯網讀取、辨識、定位或控制的裝置,都被廣稱為 IoT(Internet of Things)。IoT 裝置間可互聯連接之外,又可與人溝通;它既可以是邊緣運算電腦、智能手錶、自動駕駛車、也可以是電飯煲,IoT 的誕生,意味物理與數位世界密不可分。
研究報告指出,2025 年全球將有超過 300 億個連線 IoT,平均每人 4 個,而它們需要數以兆計感應器運作。據 McKinsey Global Institute 統計,未來每秒將新增 127 個 IoT 裝置與互聯網連線。數量之龐大、增長之急速,令防範黑客攻擊幾乎等同 Mission Impossible。尤其 IoT 既沒統一制式,其資安結構亦層出不窮,它們的共通點是一與網結連線,就有機會被 Hack。Comcast 報告推斷每個家居平均每月被試圖入侵 104 次,其中以電腦、手機、平板、具備 Wi-fi 相機、串流視頻裝置等最常受襲。手機與電腦有充足運算力執行資安措施,但大部分的 IoT 容量與記憶體都相當有限,難以安裝防火牆或防毒軟件,加上邊緣運算將資訊散布 IoT,黑客輕鬆入侵 IoT 取得資訊後,還可以乘機入侵連線裝置。
此外,黑客亦會用 Ransomware 鎖機,Check Point Research 最近發表報告指 2021 的日均 Ransomeware 攻擊數量,比去年同期增加了 50%。遠程工作趨勢下,IoT 攻擊只會有增無減,US General Accounting Office GAO 歸納 6 大針對 IoT 的基本攻擊 - Denial of Service、Malware、Passive Wiretapping、SQLi(Structured Query Language Injection)、Wardriving、Zero-day Exploits,提醒大眾慎防。另一方面,Dark Web 與日新月異加密通訊社交平台的興起,加深黑客間交流,包括黑客工具與更難防範的攻擊手段。黑客背景亦繁雜,受聘於企業甚至國家隊已非秘密身份,後者採用的手段,亦會更難提防。
IoT 的增加速度,無限擴展 IoT 形成的網絡,在缺乏資安保障下,攻擊面等於無限大。黑客操縱 IoT 後,可發動流量攻擊,癱瘓網站。早在 2017 年 4 月,The Altman Vilandrie & Company 統計數據指近半使用 IoT 的美國企業經歷過資安攻擊,相信有不少企業受襲而沒有備案。今日全球有超過 440 億個 IoT Endpoints,黑客有太多入侵選擇,單單 DDoS 就可以帶來災難效果。2017 年史上影響最廣泛的勒索軟件 WannaCry 在極短時間內入侵過百國家數以十萬計的 IoT 裝置,無數擁有 IoT 連網的政府與企業網絡都受影響。IoT 的 OT 與 IT 系統互動亦會產生資安漏洞,對基礎設施影響尤其深,工業用的 IoT 必須由設計時加入資安考慮,才能減小受襲面。在 5G 的未來,IoT 的連接性、速度、效能、表現都會有所提升,帶來的資安挑戰亦然。
資安基本就是風險評估,守護 IoT 先要熟知它的連接點、核心資訊、遇襲後最快阻截入侵手段與補救方法等。不同風險管理架構對應不同的解決方案與服務,加上企業的獨特本質,度身訂造的資安策略絕對是最有效。下列 20 個建議,希望對一眾 CISO 有所啟發。
。為所有裝置做風險測試,找出資安弱點;
。預先製訂 IoT 應變流程;
。數位上分隔 IoT 裝置以減低受襲範圍;
。以資安程式保護網絡與裝置;
。參考同業或權威的資安建議,例如 NIST;
。交換更新風險情報;
。定期掃描網絡、裝置與應用;
。定期更新網絡與裝置;
。安裝新裝置前要設定新密碼;
。為裝置與程式設定登入權限;
。以多重密碼認證登入網絡;
。IoT 溝通內容需加密,尤其涉個人資訊;
。使用強化防火牆;
。使用安全 WIFI;
。備份資料;
。起用 Cloud Security As A Service;
。考慮 Machine Learning 與 AI 資安工具;
。為所有員工提供定期資安培訓;
。不斷審核與即時分析資安風險;
。時常保持警覺。
的確,就算做足以上措施,金鋼罩依然有罩門,大家只能將其縮到最小。未來 IoT 資安執行與管理都會朝 Machine Learning 結合自動化方向發展,那天到臨前,大家要盡做。