安防產業受到物聯網的影響,與資訊安全的關係因此變得愈加緊密重要,尤其去年發生網路攝影機、DVR、NVR等IoT裝置遭駭客發動DDoS攻擊事件,到今年仍陸續有相關IoT設備遭到入侵破壞,一旦遭到惡意利用,所造成的危險性與攻擊性已屬國安等級危機,安防的資安重要性已是刻不容緩。
在駭客攻擊下,所有安防業者都是受害者,甚至也可能在無意中成為加害者;面對未來無可避免的物聯網趨勢,廠商該如何因應,以進一步有效防範、將損害減至最低,將是本期新單元─「物聯網資安」的探討重點。
本文要從安防產業的製造商出發,以自身經驗為安防的資安問題提出專業見解。
自第一款網路攝影機面世後,安防產業成為物聯網中的一份子。近幾年來,網路攝影機結合大數據、人工智慧或雲端等技術,安防廠商積極跨越傳統監控角色,投入各種行業應用領域,然而也因為產品設備具連網功能,以往未曾注意過的網路資訊安全問題,成為埋藏在榮景中的未爆彈。
2014年發生的網路攝影機遭駭事件,當時主要是一些不設防的攝影機遭駭客入侵,將其即時影像公開在駭客網站上。或許是因為受到侵犯的只有攝影機物主的隱私權,所以雖然成為一時新聞,但網路攝影機的資安問題並沒有獲得重視。直到去年10月,名為「Mirai」的殭屍病毒入侵多達50萬台網路攝影機,除了造成設備當機,更被利用作為發動分散式阻斷服務攻擊(Distributed Denial of Service,DDos)的殭屍電腦,影響層面之大前所未見,包括亞馬遜、Twitter、Tumblr、Netflix、Airbnb、Paypal等相關網站服務都受到強烈攻擊被迫中斷。
由於這次的攻擊事件規模龐大、影響深遠,從廠商到各國政府都開始思考,物聯網為人們帶來便利生活的同時,背後所隱藏的資訊安全問題不再只是個人隱私的外洩,而是有可能做到癱瘓民生的恐怖攻擊行為。身為受害者的安防產業如何處理這次事件,不僅考驗廠商本身危機管理的智慧與反應,未來其他物聯網裝置若再發生類似事件,安防廠商的應對做法也能成為參考標準。
從設備製造商做起 提升防護等級
在DDoS攻擊事件中,網路攝影機被駭客所利用的癥結,主要是廠商預留為設備進行服務的網路端口遭到破解、用戶未更改的預設帳戶、密碼被輕易登入等。因此在事件爆發時,安防廠商即第一時間進行修正,並透過各種管道要求用戶儘速更新。
昇銳電子經理范明翔表示,由於既有模式已被駭客破解,因此必須將產品功能進行升級更新,若是太過老舊無法更新的機型,則直接關閉端口功能,確保無法再被駭客利用;台灣巨峰總經理楊俊哲指出,除了官網開放更新檔供用戶下載,並在商品加入開機嚮導提示客戶修改密碼,取消原本通用密碼,改成每塊主機板採用獨有密碼且每日更換。而完成更新的安控產品,都未再發生遭入侵利用的問題。
儘管危害已暫告一段落,但也啟發安防產業對於資安議題的重視,提高防護層級。台灣巨峰強化主機防火牆,作為惡意連續登入的保護機制,且對不同使用者的權限密碼組加密,並加入看門狗程式避免網路資源被占用造成當機;同步以雲端技術掃描旗下產品主動為機器升級,且加入因應新版iOS與安卓連線的更新功能;聘請第三方驗證單位持續對旗下網路主機、網路攝影機、家用無線系統等全系列商品的防火牆測試穩定度,確保商品穩定運作。此外,亦在全台設置誘餌觀測站,專門記錄駭客的攻擊方法加以追蹤防範,並針對各種網路通訊協定提出更好的加密技術。
昇銳電子的做法則是從現有的機制升級,首先取消過去單一帳號密碼的登入模式,加入多重驗證機制,將網路攝影機、DVR、NVR等網路產品增加多重帳戶密碼,並透過註冊程序,由伺服器連線驗證身分後,用戶才能登入獲得操作權限,並在下一層防護加入獨有規格的防火牆、資料加密等。除了預防外部入侵,同時也進行內部控管避免攻擊行為從內部發生。
AXIS香港/台灣通路業務經理游承岳強調,AXIS過去除了告知合作廠商與用戶有關帳戶密碼管理的重要性,另一方面也規劃一系列關於網路安全、基本防護做法、安全設定等網路安全強化說明手冊,讓合作廠商了解資訊安全的重要性與處置方案後,進而將觀念傳達給用戶,從上游供應端到最終使用者,共同重視資安問題,才能降低駭客入侵機率。
以成為「物聯網的眼睛」為目標的晶睿通訊品牌研發處協理鄭聖夫提到,透過攝影機收集分析的影像資料,必須獲得高規格的妥善保護,因此晶睿通訊從三個方向進行。首先推出產品資訊安全手冊,協助使用者依需求設定不同等級的防護程序,同時從硬體本身設計預防機制, 並同步開發自我診斷程式,最後與第三方資安廠商合作,為旗下產品規劃最縝密的保護措施。
雖然增加越多防禦機制, 用戶的操作程序也會變得更繁瑣,但范明翔認為,儘管安全與便利互斥,然而站在設備製造商的角度,仍要以保障客戶權益為重,取得兩者之間的平衡,並在產品設計階段就要考慮到資料保護、身分認證等各種機制,從源頭做到「始於安全的設計」(Security by Design)的目標,提升設備保護等級。
有網路就需要保護措施
除了預設帳戶、密碼,以及韌體未更新的問題之外,華電聯網資通產品及資安服務處副總經理鄭炤仁提醒,安防產業必須注意到,即使是從伺服器端下載韌體更新的過程,也可能成為駭客入侵的管道。所有和網路有關的服務功能,包含密碼管理、更新軟體、資料傳輸等動作,都需要資安保護的措施。
為了避免駭客利用系統漏洞入侵,除了設定防火牆、使用網路可視性和資安威脅的分析增強防禦能力,快速偵測已知及未知進階攻擊或是利用誘補系統(honeypot)做為誘餌吸引駭客發動攻擊模式,以蒐集攻擊者的來源與攻擊手法外,華電聯網特別提出「白名單」控管機制,其功能在於管控為物聯網裝置提供資料下載的伺服器名單及限制可執行的應用程式,阻擋到白名單外的伺服器或應用程式連線作業。以工業4.0的廠區設備為例,管理者可以在廠內設立專用伺服器,作為物聯網裝置更新使用,並還能依照需求為伺服器建置高安全性的防護措施,斷絕任何駭客可能利用的入侵途徑。
即使網路、裝置、資料庫等層面都設置完整的保護程序, 倘若整套作業系統沒有執行安全性更新及漏洞修補, 如先前的勒索病毒「Wannacry」新一代變種勒索蠕蟲,利用微軟作業系統的漏洞且未更新修補的Windows Server 2003、Windows XP、Windows 8等作業系統用戶進行攻擊,因此缺乏支援和不安全的設備,仍可能對整體物聯網環境造成危機。
除了防禦來自於外部駭客攻擊之外,近來企業機關亦開始重視潛藏於內部的威脅。如去年YouBike的全國大當機事件,最後追查出是內部員工挾怨報復。鄭炤仁提到,目前業界針對防範內部破壞的做法,主要採用「使用者行為分析」(UBA )偵測,運用大數據搜尋分析與機器學習技術,自動進行關聯性與進階分析,即系統會記錄相關人員的單位、資料與權限,從工作人員的日常行為發覺異常現象,若發現非屬相關業務內容的人員,卻頻繁接觸該類資料,便會回報相關所屬單位進行調查。
強化資安觀念為關鍵
位居第一線、協助用戶安裝設備的工程商,在安防產業面對資安議題建立防線時, 同樣扮演重要角色。慶哲電子經理林慶傑指出,DDoS事件後,每家業者已在資安議題上有所警覺。儘管工程商只能以被動模式與製造商配合,但製造商若能提供安全無虞的產品,工程商再透過與用戶端的互動過程中傳達資安觀念,同時亦可建議客戶額外添購硬體防護設備,或向網路電信業者申請流量異常通報等附加服務,協助建置多重保護,仍可達到強化用戶使用安全的目的。
隨著網路攝影機的應用層面越來越廣,涉及的影像內容除了個人隱私之外,現在更涵蓋國家安全、工商業機密、行車安全等事關重大的範疇。為維護資訊安全,除了政府正準備擬定的《影像監控系統網路攝影機資安標準》草案,不少安防廠商都在面對這門新課題。然而道高一尺、魔高一丈,即使結合設備製造商、系統整合商/工程商、通路商,甚至資安廠商的力量,都無法建立一座完全不會被駭客攻破的資安堡壘,因此產業界到使用者,都要從資安觀念的建立開始做起。當未來越來越多設備投入聯網應用之後,產業界都該意識到網路「水能載舟、亦能覆舟」的道理。