物联网对阵僵尸物联网--物联网的安全问题不容忽视
令。
物联网已经为全世界许多国家所使用,并且有多数遭受殭尸网络感染而被利用着,中国及美国为全球主要的物联网设备制造及使用的国家,因此分占第一、二名;而位居第三的巴西则应与2016奥运有关。(图片来源/NexusGuard)
地下犯罪经济将助长物联网安全威胁
另一个物联网安全陷入重大危机的因素,则是近几年来的安全攻击,已经跟地下犯罪经济有着高度依存,而且,各类型的黑客工具,已经发展出专业化的黑客黑市交易平台,例如,提供DDoSaaS(DDoS服务)、以每小时5美元起跳的不同等级服务。
黑客也将攻击工具及服务,犹如军火演练一般,进行实际展示。以最近台湾证券业所遭受的DDoS勒索攻击事件,也是透过黑客黑市所致,先不论攻击的用意是否为了勒索或有其他目的,其结果已经反映出,我们对于DDoS攻击的应变能力及处理能量上,是不足的。
同时,黑客黑市也逐步将物联网IoT,转换成殭尸网BoT (BotNet of Things)。而且,除了Mirai之外,还有其他各类型的恶意软件,正悄悄运作中,不断吸纳殭尸魁儡军团,不仅可以针对指定的目标及产业,发起DDoS攻击,也可以施展分队游击或声东击西,抑或是采取连续技(瘫痪安全设备->攻击穿透->注入恶意软件)等等不同的战术。
就以近期状况而言,我们看到attackscape.com针对全球各国物联网殭尸网络行为分布,提出了2016年第四季侦测分析结果,里面谈到,全球至少有426,770台具弱点可利用的物联网设备,而且,基于Mirai感染机制下,将会有更多的殭尸网络设备增加。另外,从Nexusguard《DDoS Threat Report Q4 2016》报告中显示,中国及美国所占数量最多。
物联网的安全需求
首先,你必须先了解物联网的架构,以及对应的安全管控议题,并且,避免将长期受到训练的传统安全防护概念,直接套用在物联网,归零之后,再重新逐层建构你的物联网安全模型。
如前述提到,物联网可说是集合网络、应用程序、移动化、云端之大成的进化体,因此,其安全上的威胁议题,也变得比我们可以想象的还要更复杂。
对于物联网的研发过程,业者必须更应着重"安全的系统发展生命周期 (SSDLC)",在考虑系统功能性的同时,即导入安全性的思维──于系统开发之初,就要进行各项必要的安全防护措施。虽然这会拉长设计的时程,却降低了系统后续维护的成本,以及遭受到攻击行为的损失。
我们可参考几个近期实际案例,像是中国厂商"雄迈"所打造的机板,是Mirai殭尸网络的重要组成份子,而最近则再次被公布用于闭路监视设备(CCTV)的超级权限密钥,这些信息已然泄露于网络上,令人忧虑。
此外,于2017年初,美国联邦贸易委员会(FTC)也提出指控,认为台湾网络设备商友讯科技与其美国子公司,未能采取适当的安全措施,导致其无线路由器与网络摄影机易遭黑客攻击,进而危及美国消费者的隐私权;先前,FTC也曾对华硕提告,而华硕则已于2016年2月和FTC达成和解。
就产业的发展而言,对于物联网的安全规范及对策,也开始受到重视,目前已有相关的组织机构投入,并且着手制订。
例如,由英国国家微电子研究所主导,于近期成立的物联网安全基金会(IoTSF),已经获得了30家以上的厂商与机构的支持,其中,包括:Broadcom、Freescale、Imagination Technologies、Inside Secure,以及Tokyo Electron、Vodafone、u-blox等公司,同时,还有一些学术单位。
除此之外,OWASP组织也推动了"OWASP Internet of Things Project"。而这项计划的主要宗旨,在于帮助制造商、开发人员和使用者,能够更为了解物联网相关安全问题,并促使任何环境中的用户,在构建、部署或评估物联网技术时,能够做出更好的安全决策。
与其担心DDoS攻击,更应关注未来更多的勒索威胁
在台湾,我们仍旧习惯于消极被动的安全应对方式,如近期所发生的多家证券业者遭受DDoS勒索攻击的事件下,即引发一波DDoS防护方案的热潮,但也总是抱持寻求万灵丹的心态,不愿意正视检验自身不足之处,从"APT热潮"到去年"加密勒索热潮"都可见一班。
其实,安全防护能否健全的根基,始终来自于你对自身的弱点风险掌握,毕竟,黑客将施展的攻击手法,是不可预知的。
就以"破窗效应(Broken Windows Theory)"来比拟,环境中的不良现象,如果被放任存在,就可能会诱使人们仿效,甚至变本加厉,而所要采取的解决之道,除了"要有好窗"之外,还要"经常护窗",并且"及时补窗"。
因此,当前的安全保护方法就是"比快",快速掌握趋势、快速检测找出可趁之处、快速建立应变对策。
物联网架
- 桑锐研发出基于ZigBee技术的物联网无线数传模块(04-21)
- 中国移动发布9款物联网模块 TD三款GSM六款(04-28)
- 无锡物联网园区见闻-前景不乐观 (12-03)
- RFID应用直接带动物联网发展(02-27)
- 隐私是普及物联网的最大挑战 (03-05)
- IEEE物联网研讨会将于4月12日在深圳举办(04-09)