2017年4月,德州達拉斯(Dallas)的災難預警系統遭到駭客入侵,全市156個警報器持續作響近2小時。由於預警系統主要針對龍捲風和惡劣天氣所設置,加上鈴聲大作的時間正值深夜,因此引發居民的恐慌,緊急救助電話(911)在這段時間至少接到了4,400通的詢問電話,相當於平日8個小時的來電量,以致有緊急救助的居民必須等待長達6分鐘以上才能獲得協助。
美國國土安全部及聯邦調查局則於今年6月28日提出緊急聯合報告,指出自5月以來至少有12間核電廠與能源設備公司持續遭到駭客攻擊,包括堪薩斯州伯靈頓(Burlington)的狼溪核能發電廠(Wolf Creek Nuclear Operating Corporations)。由於核電廠的控制系統與公司外部網路完全分開,因此駭客僅能影響員工個人電腦,未能對核電廠本身造成危害,但美國能源部嚴肅看待此次事件,將其緊急程度判定為國家安全威脅第二級。由此可知,物聯網(IoT)時代的資安防護已是刻不容緩。
物聯網下的資安困境
由於傳統安防廠商在建構裝置時所預設的場景,多為特定範圍內的封閉式網路環境,而封閉式網路環境的操作性能並不是很好,加上封閉環境往往嚴重缺乏檢驗的意識,疏忽安全性的重要。互聯互通的網路能夠為設備進行有效的管理,藉由IoT對設備下達遠端遙控、搜尋或收集資料的指令時,過去封閉式網路環境甚少遭遇的資安問題卻在此時浮上檯面,這些缺乏防護的連網設備因此成為駭客的幫兇,可能使私密資訊外流,甚而造成生命危險。
瀚錸科技總經理許勝雄指出,目前駭客入侵事件所利用的癥結點有三點:一為物聯網設備多以Web介面登入,容易遭受駭客以自動化程式進行攻擊;二是受限於物聯網機體的記憶體資源不足,無法執行安全保護軟體的功能,因此成為駭客入侵途徑;三則是物聯網設備多利用雲端連線設定,更增加駭客利用雲端為跳板來攻擊。總結來說,IoT資安問題無法徹底解決的原因主要為以下兩點:
受限硬體規格 韌體更新不易
由於物聯網設備時有大量配置的情況,像是智慧城市中往往優先建置的智慧運輸,必須先使全市的交通號誌、攝影機與感測器都具備連網能力,才能將即時交通資訊回傳給整合一切的中央監控系統,並就現行交通狀況採取適宜的解決方案。
但也由於連網設備數量甚多,又與日常需求密切相關,帳戶安全性設定及韌體更新需要大量時間與人力,有時不是不為,而是無力可為;有時則是宥於設備本身的用途,硬體規格如記憶體的容量會漸漸無法充分支援韌體更新或資訊加密的功能。這就是為何會有大量防護能力不足的連網設備出現在物聯網,並成為駭客攻擊跳板的主要原因之一。
零時差攻擊 IoT設備成跳板
許勝雄表示,至今為止仍有99%的資訊安全技術是建立在已知的病毒與攻擊手法上,一旦駭客的攻擊方法發生變化,現有的防駭策略便無法在第一時間內發揮扼阻效果。在駭客攻擊之前,毫無方法阻止,只能被動地等待攻擊的發生,並就其損害進行修復,這正是資安最大的難處,也是一直無法有效解決的問題,而駭客便是利用未知到已知的時間差,進行零時差攻擊(Zero-Day Attack)。
IoT設備之所以成為跳板,是由於駭客利用分散全球的各個可連網設備進行DDoS攻擊,藉由這些連網設備持續向攻擊目標發送大量封包,占據頻寬或使防火牆超載,以致網站無法存取,導致伺服器當機或毀損。而IoT設備的特性是數量與種類繁雜且來源遍及世界各地,在區域及設備種類都更分散的情況下,資安人員便無法就其特徵(如特定裝置型號、特定國家)做出有效的阻擋與攔截,對網路安全帶來更加巨大的威脅。
藉駭客之力增強防護 移動目標防禦增加入侵難度
群暉科技資深安全分析師李宜謙認為,IoT正面臨過渡期,在這段期間一定會引起不少駭客的好奇與攻擊,但使用者唯一能做的就是設置防火牆,阻擋不被信任或未知的連線。連網裝備本身的系統安全性,只能仰賴廠商的持續精進,例如Amazon所建立的AWS雲端運算平台,便特地招攬有能力的駭客常駐團隊,為產品的安全性進行滲透測試(Penetration Test),並就其所發現的安全性問題進行修補。也就是在正式推出產品之前,先透過內部的白箱與黑箱測試(White Box text、Black Box text),進行軟體品質與安全性的測試及管理。但滲透測試的養成與招攬較一般人才來得困難,群暉遂以「懸賞計劃(Bounty Program)」的方式取代,藉著持續進行的合作方式主動邀請駭客協助測試產品的安全性,以補足欠缺內部攻擊測試的人力缺口。他又提到,除了盡力提高產品安全性,廠商內部應建立標準作業程序,並對每一起事件的發生進行檢討,持續改良內部作業流程,在攻擊發生時,才能迅速回應而不致混亂。
許勝雄則認為IoT有三大防護要點:雲端、閘道器(Gateway)與使用者,其中以使用者的種類最為多元,閘道器的防護最為重要。由於閘道器乃是智慧城市、智慧家庭的架構核心,所有裝置都必須藉此才能串連,一旦為駭客所入侵,受害的範圍與影響十分巨大;加上使用者所持有的連網設備因人而異,無法僅以一套系統同時為整個IoT提供完善的防護。如某些銀行發生過的資安事件,便是使用者與閘道器皆受到駭客侵犯的案例之一。駭客先藉著釣魚郵件潛伏在員工電腦並伺機流竄,感染控管作業系統的閘道器,造成銀行巨大損失。
瀚錸科技所代理的Forceshield IoT Web界面保護軟體,已成功導入數家網站及IoT設備商,其獨特的技術便是使用移動目標防禦(Moving Target Defense, MTD)方案,也就是藉著建立一個屬性多樣且不斷變化的網路閘道器系統,將網頁的原始碼數據以「不斷隨機變化」的方法隱藏起來,就像是一個持續變形的防護罩。這種防禦方式對於以正常方式如瀏覽器登入的使用者不會有任何影響,卻會使得企圖藉由網頁原始碼發動攻擊的駭客無法輕易找到進入點,也就無法利用自動攻擊程式對網站造成危害。
強化使用者的資安意識
李宜謙認為,即使廠商與SI做得再快、再好,若使用者的心態未能改變,對於系統更新或安全性維護漫不經心,則資訊安全只能流於口號。因此使用者的思維必須調整,將連網視為自身的重要資產,則保護並捍衛資產便是理所當然。如群暉採用定期發布更新的方式,提醒並協助使用者守護資產便是一種方法。
許勝雄也建議幾種IoT設備使用觀念,例如時常更換連網設備的密碼、定期進行韌體更新,以及避免使用開放式系統的連網設備。若是無法避免,則盡可能不要利用這些設備進行敏感性操作,例如網路銀行或機密資訊的處理等;對於擁有大量連網設備的場所如智慧建築,則可安裝防火牆,並且將不同的樓層或設備區隔為不同的子網路。而在設定這些設備時,也應避免使用開放式系統進行操作,以免成為病毒傳播的通路。他也提醒使用者,美國國會即將提出物聯網設備安全標準法案,建議IoT設備軟體不能在敏感國家開發,因此在選用連網設備時,軟體開發國也可作為選擇的依據之一。
結語
對傳統安防廠商而言,「連網」仍是有待更進一步學習的領域,如何顧及安全性(security)與使用者的友善體驗(usability),永遠是最困難的地方。但在這之前,唯有徹底落實「安全使用、選擇安全」的觀念,才能實現真正的資訊安全。
SI應當如何選擇原廠?
李宜謙建議,SI在選擇原廠時應注意:
• 是否從製作源頭就有資安專人或團隊負責對安全性進行檢視。
• 有無提供軟體的定期更新或安全性更新。
• 廠商所提供的實作功能,是否能對應至近期物聯網常見的攻擊手法。
• 提供可指定日期回溯的備份功能。
• 藉由外部稽核(如FIPS 140-2認證),確認廠商的專業能力。
• 觀察該廠商在過去遭逢重大事件時的修復能力與速度。