物聯網安全只是複雜性問題的一部份,包括軟體定義網路SDN(Software-defined Networking)、雲端運算,以及X-as-a-service的各種應用服務。這些因素所造就的總合,無疑將會是網路安全的未來所必須面對的挑戰。
近年來,資安長(CSO)似乎總是要看著資安系統上不停閃爍的警示訊息,提醒各種違規或入侵的可能風險。但是日復一日地,隨著每天都有如此多的安全事件發生,就很難去決定那些是需要優先處理的。也就是說,就全球的網路安全狀況來說,我們是持續處在不斷閃爍與警示的狀態中。
在不斷地被告知有攻擊將會來臨的情況下,就會漸漸地忽略它,然而那些看不到的攻擊才是真正的危險所在。最近的入侵案例顯示,惡意軟體都能躲開防禦機制,安穩地待在入侵的網路裡幾個月,竊取大量的各類資料。
事實上,每個月都有重大的網路安全事件,但隨著事件增多,除非是大規模的入侵事件,或遭受龐大的損失,否則這些安全事件漸漸地不會被報導出來。即使是像日前遠東銀行的遭駭事件,6千萬美元被轉走,也不再像以前會引起全世界的關注。因此,網路安全事件每天都在發生,似乎意味著:不安全已成為網路安全的常態。
這樣的常態,來自於複雜性,這將是網路安全未來最大的挑戰。以往網路安全要面對的複雜性在於IT架構、使用者行為、應用程式、內部安控和實體安全等等;如今,隨著企業開始運用各種移動式的物聯網設備,企業的受攻擊面就會不斷地擴大。就在約1年前,全球有2%的威脅攻擊是針對移動設備的;而今,這個數字已接近10%。
物聯網已成為駭客的下一個目標,他們瞄準各種應用需求的家用電視盒、IP攝影機、家用路由器或印表機。更糟的是,由於許多物聯網設備極其便利,因此這些設備的應用已逐漸從家庭轉移到小型企業,甚至是在大型企業網路之中。問題在於即使是商用級別的物聯網設備,例如監視器或庫存控制,安全性也不高。由於這些設備的本質各異,當發現漏洞時,許多設備甚至無法進行修補或更新。
物聯網只是複雜性問題的一部份。就許多方面而言,這個問題也是幾年前開始的BYOD(Bring Your Own Device)挑戰的延伸,從安全的角度來看,許多企業組織至今都還沒有完全解決這個問題。此外,很多組織都在要求其CSO和安全團隊考量一系列的新技術,包括軟體定義網路SDN(Software-defined Networking)、雲端運算,以及X-as-a-Service的各種應用服務。這些因素所造就的總合,無疑將會是網路安全的未來所必須面對的挑戰。
當企業組織面對複雜性挑戰的同時,網路罪犯和駭客卻將他們的工作做得愈來愈精巧。這些聽起來雖然都像是壞消息,但卻讓我們能有一些不同的方式來思考這些問題。以往,我們可能只需利用個別的安全設備或平台,來防禦特定的網路接入點;但現在,唯有安全工具都協同運作整合成一個系統,才能因應不斷轉移和演變的網路環境。
<本文作者:劉乙,Fortinet台灣區技術總監。>