Fortinet 安華聯網 IoT 物聯網 4G

保資料為主、從網路布防 謹慎面對IoT資安風險

2015-06-29
物聯網讓更多的資訊和活動上網,但是卻也大幅增加了網路曝光的頻率,更重要的是要駭入一個物聯網設備是一件非常容易的事。
被科技產業視為是下一件大事(Next Big Thing)的物聯網(Internet of things,IoT),近年來正迅速竄起,並且受到了熱烈的討論。這種將所有終端裝置配上一個UID(Unique ID),讓端與端之間能夠透過網路互相傳輸資料的作法,不僅被用來提升生活的便利性,也運用於許多商業應用中,諸如醫療保健、交通運輸、連鎖商場等等。更進一步的,這些連網設備還可以藉由與雲端上的系統或平台進行整合,構成完整的物聯網路。但是,這也加劇了資安防護的疑慮,萬一物聯網設備成為駭客的攻擊目標,如何確保資訊安全以及隱私保護也就成為一項挑戰。

安華聯網總經理洪光鈞指出,如今在物聯網的概念裡,所談及的不只是裝置、網路或使用者端,已經演變成為一種運用情境、一個流程或是一個架構。尤其是運用情境,「以4G為例,在行動網路通訊技術快速發展之下,任何裝置、任何時間、任何地點都可以連接上網,許多關鍵的重要系統或設備也如雨後春筍般連接至網際網路,正因為這些特性與發展趨勢,物聯網的資訊安全也變得更加重要。」

IoT是商機也是風險

藉由物聯網,不僅可帶來即時資訊情報、更自動化的便利機制,甚至還能降低成本、創新營運服務,這些潛在的好處也讓物聯網形成一股龐大的商機。根據市調機構Gartner預估,2020年將有約260億個物聯網設備,其產品和服務供應商在2020年將增加超過3,000億美元的營收。

▲Fortinet全球資安策略長Derek Manky認為,以網路為基礎的安全檢測,是現階段保護物聯網的唯一方法。
然而,物聯網同時也帶來了高安全風險。Fortinet全球資安策略長Derek Manky便撰文指出,物聯網讓更多的資訊和活動上網,但是卻也大幅增加了網路曝光的頻率,更重要的是要駭入一個物聯網設備是一件非常容易的事。「一方面,設備製造商經常採用開放源始碼所提供的模組及內建程式庫,而這些開源碼並不像商業軟體具備安全控管機制,例如定期發布修補與更新檔。再加上,設備業者在設計初期也沒有將安全問題納入考量,一旦設備被破壞或入侵,往往也沒有必要的回應機制可迅速處理。」

另外,採用更新的通訊協定,例如UPnP(Universal Plug and Play)也可能帶來更高的風險。UPnP雖然能夠讓設備彼此之間更有效率的溝通與資料分享,但是這個協定卻也存在不少安全漏洞,尤其IT人員會習慣打開UPnP藉以進行遠端設定與資料傳送,卻不知已經為駭客開啟一道方便之門。

他提到,Fortinet的威脅研究團隊FortiGuard Labs,已經偵測到全球駭客正在大舉探測非傳統的攻擊目標,例如物聯網,而且預估在未來的幾個月後將有增加的趨勢。物聯網的攻擊代表了一個最小抵抗阻力的路徑,同時也是駭客最好的機會,一旦入侵成功,物聯網設備甚至可以作為一個中介的攻擊跳板,在內部網路裡進行二次攻擊。

安全問題更見複雜

▲安華聯網總經理洪光鈞指出,物聯網的資安防護應該回歸到問題的本質與核心,讓有限的資源在對的位置發揮最大效益。
洪光鈞提到,物聯網所需要考量的資訊安全相關議是非常廣泛,而且有別於一般傳統的資安議題。「過去IT管理者可以針對不同的資安問題尋求相對應的產品解決方案,例如資訊洩露問題可採用DLP解決方案,或是針對來自電子郵件的APT攻擊也可以有偵測APT攻擊的產品或設備。但面對物聯網卻是一個非常多樣且可打破管理邊界的議題,就以近來討論熱烈的穿戴式裝置為例,倘若員工載上Google所開發的眼鏡,將在公司所目視的一切全都上傳至雲端,那麼,IT人員要如何限制或管理來自員工身上任何可以上網的裝置或設備?」

他提到,在物聯網之下,需要被納入管理考量的元素非常多,包括物聯網裝置、雲端、行動裝置或應用、網路介面、軟體以及加解密問題、認證與授權問題、實體安全以及可攜式儲存裝置接口等,如果要再在加上運用情境,物聯網所面向與帶來的資安威脅更是難以列舉。

從網路深入檢測

Derek Manky也認為,依據物聯網裝置的規模以及多樣性來看,就算有防護程序,也會複雜到不可能去管理。「因此,以網路為基礎的安全檢測,是現階段保護物聯網的唯一方法。每一個網路都需要建置具備足夠智能的安全設備,可深入檢測針對這些非傳統平台所撰寫的程式碼。我們稱此為與平台無關(platform agnostic)的檢測。」

這個安全設備必須有能力確認三個重要資訊:使用者是誰?要往那裡去?需要什麼資料?這意味網路將會需要整合傳統的網路防護技術,例如防火牆、入侵防護、網頁過濾和防惡意軟體解決方案,才能執行安全政策,控管應用程式,進而防止資料外洩。更重要的是,由於攻擊面逐漸擴大,內容的檢測也會成為必要的一環。現今網路威脅可以藏身在任何地方,若潛藏在合法的網路流量中,很容易就會被發現。

回歸防禦保護的目標

洪光鈞則建議資安人員,應該試著回歸到問題的本質與核心議題。在公司內,哪些資訊資產最為重要,或者哪些資訊資產應該要被保護?若上述這兩個問題的答案能夠被清楚明確定義出來,那麼物聯網所帶來的資安問題與管理議題,就已解決一半。

接下來則是定義保護等級的層級,最後再思考要用什麼方法能夠達到這個要求。企業內部的資源有限,IT部門的人力與預算更有限,IT資源必須投入到最關鍵的地方,並且盡可能將重要資訊資產安全等級提高,以做到最大限度的保護。

他提到,重要的數位資產放置於什麼位置或地點以及數量有多少,當然也會是要被納入考量的重點,因為,當前雲端化與巨量資料相關技術正不斷發展,有時雖然很快地規劃出相關的管理或保護措施,但結果發現系統或資料不在公司內部,而是被放在不知在何處何地的雲端上,即使系統或資料處於可掌握的範圍,但面對數百TB或數千TB的巨量資料,保護的時效性將會大打折扣,而這也將會是另一個安全的隱憂。

另外,洪光鈞也提醒IT人員,千萬不要陷入「全部都想要管制」或「完全依賴產品就可解決」的迷思,應該要更積極主動瞭解企業全面的運作情況,並識別出可能的威脅來源,才能在有限資源下制訂出合宜且精準的管制措施,而選購的資安產品,也才能在對的位置上發揮其最大效益。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!