物联网对阵僵尸物联网--物联网的安全问题不容忽视

令。

物联网已经为全世界许多国家所使用，并且有多数遭受殭尸网络感染而被利用着，中国及美国为全球主要的物联网设备制造及使用的国家，因此分占第一、二名;而位居第三的巴西则应与2016奥运有关。(图片来源/NexusGuard)

地下犯罪经济将助长物联网安全威胁

另一个物联网安全陷入重大危机的因素，则是近几年来的安全攻击，已经跟地下犯罪经济有着高度依存，而且，各类型的黑客工具，已经发展出专业化的黑客黑市交易平台，例如，提供DDoSaaS(DDoS服务)、以每小时5美元起跳的不同等级服务。

黑客也将攻击工具及服务，犹如军火演练一般，进行实际展示。以最近台湾证券业所遭受的DDoS勒索攻击事件，也是透过黑客黑市所致，先不论攻击的用意是否为了勒索或有其他目的，其结果已经反映出，我们对于DDoS攻击的应变能力及处理能量上，是不足的。

同时，黑客黑市也逐步将物联网IoT，转换成殭尸网BoT (BotNet of Things)。而且，除了Mirai之外，还有其他各类型的恶意软件，正悄悄运作中，不断吸纳殭尸魁儡军团，不仅可以针对指定的目标及产业，发起DDoS攻击，也可以施展分队游击或声东击西，抑或是采取连续技(瘫痪安全设备->攻击穿透->注入恶意软件)等等不同的战术。

就以近期状况而言，我们看到attackscape.com针对全球各国物联网殭尸网络行为分布，提出了2016年第四季侦测分析结果，里面谈到，全球至少有426,770台具弱点可利用的物联网设备，而且，基于Mirai感染机制下，将会有更多的殭尸网络设备增加。另外，从Nexusguard《DDoS Threat Report Q4 2016》报告中显示，中国及美国所占数量最多。

物联网的安全需求

首先，你必须先了解物联网的架构，以及对应的安全管控议题，并且，避免将长期受到训练的传统安全防护概念，直接套用在物联网，归零之后，再重新逐层建构你的物联网安全模型。

如前述提到，物联网可说是集合网络、应用程序、移动化、云端之大成的进化体，因此，其安全上的威胁议题，也变得比我们可以想象的还要更复杂。

对于物联网的研发过程，业者必须更应着重"安全的系统发展生命周期 (SSDLC)"，在考虑系统功能性的同时，即导入安全性的思维──于系统开发之初，就要进行各项必要的安全防护措施。虽然这会拉长设计的时程，却降低了系统后续维护的成本，以及遭受到攻击行为的损失。

我们可参考几个近期实际案例，像是中国厂商"雄迈"所打造的机板，是Mirai殭尸网络的重要组成份子，而最近则再次被公布用于闭路监视设备(CCTV)的超级权限密钥，这些信息已然泄露于网络上，令人忧虑。

此外，于2017年初，美国联邦贸易委员会(FTC)也提出指控，认为台湾网络设备商友讯科技与其美国子公司，未能采取适当的安全措施，导致其无线路由器与网络摄影机易遭黑客攻击，进而危及美国消费者的隐私权;先前，FTC也曾对华硕提告，而华硕则已于2016年2月和FTC达成和解。

就产业的发展而言，对于物联网的安全规范及对策，也开始受到重视，目前已有相关的组织机构投入，并且着手制订。

例如，由英国国家微电子研究所主导，于近期成立的物联网安全基金会(IoTSF)，已经获得了30家以上的厂商与机构的支持，其中，包括：Broadcom、Freescale、Imagination Technologies、Inside Secure，以及Tokyo Electron、Vodafone、u-blox等公司，同时，还有一些学术单位。

除此之外，OWASP组织也推动了"OWASP Internet of Things Project"。而这项计划的主要宗旨，在于帮助制造商、开发人员和使用者，能够更为了解物联网相关安全问题，并促使任何环境中的用户，在构建、部署或评估物联网技术时，能够做出更好的安全决策。

与其担心DDoS攻击，更应关注未来更多的勒索威胁

在台湾，我们仍旧习惯于消极被动的安全应对方式，如近期所发生的多家证券业者遭受DDoS勒索攻击的事件下，即引发一波DDoS防护方案的热潮，但也总是抱持寻求万灵丹的心态，不愿意正视检验自身不足之处，从"APT热潮"到去年"加密勒索热潮"都可见一班。

其实，安全防护能否健全的根基，始终来自于你对自身的弱点风险掌握，毕竟，黑客将施展的攻击手法，是不可预知的。

就以"破窗效应(Broken Windows Theory)"来比拟，环境中的不良现象，如果被放任存在，就可能会诱使人们仿效，甚至变本加厉，而所要采取的解决之道，除了"要有好窗"之外，还要"经常护窗"，并且"及时补窗"。

因此，当前的安全保护方法就是"比快"，快速掌握趋势、快速检测找出可趁之处、快速建立应变对策。

物联网架