free web design templates

落實辨識與可視化
新興IoT裝置安全看得見

洪羿漣

Mobirise

資安防護的規畫與建置,必須涵蓋人力、流程、工具技術,三者缺一不可,然而實際在營運場域卻經常會有所偏重。常見已經對工作流程中的潛在風險之處運用工具技術設置防護措施,卻仍舊發生資安事故,究其根源,往往來自於人員疏失。前不久美國太空總署(NASA)旗下噴氣推進實驗室(JPL)爆發的駭客入侵事件即是典型案例。

趨勢科技先進應用市場開發部資深經理鄭朱弘毅說明,遭受駭客入侵的NASA噴氣推進實驗室,由加州理工學院代管,主要研究火箭推進技術。從2018年至2023年代管預算高達150億美元,其中包含NASA所要求的IT轉型計畫。實驗室內部大約有二萬多台桌機、三千多台伺服器,運行操作的標準作業程序皆必須符合美國國家標準與技術研究所(NIST)提出的CSF資安規範。近期爆發的進階持續攻擊(APT)事件,導致500MB的火星計畫相關資料遭竊,經過事件調查還原真相後發現,該攻擊活動已潛伏超過十個月,最初滲透入侵的破口則是一台被設置在內部、未經批准的樹莓派(Raspberry Pi)嵌入式單板電腦。

就NASA監察長辦公室公開的調查報告來看,顯然是裝置控管方面出現遺漏、網段分割未能及時阻止橫向移動、樹莓派的系統漏洞未安裝修補更新遭利用,再加上對於事件應變的控管疏失,才讓APT攻擊有機可乘。制度上,噴氣推進實驗室對於資產的控管都有標準規範,針對外部可接入的系統逐一列管,可依據人事時地物進行記錄,成為CIO與各個系統管理者溝通的依據。然而,被攻擊者滲透的樹莓派卻未登錄,成為可被利用來執行滲透的破口。

近年來本土高科技製造業的研發團隊習慣採用樹莓派執行開發任務,此資安事件正可為借鏡。對於IT管理者而言,欲確保資安風險得以被控管,首要必須建立內部聯網裝置的可視性,才有能力依據工作流程配置相對應的控管措施。至於新興物聯網場域的實作,鄭朱弘毅建議可交給趨勢科技等專業資安廠商規畫與部署,運用端點安全防護、入侵偵測系統、應用程式白名單等機制來實施,並且在樹莓派的系統中安裝代理程式,以具備基本的保護能力。對於建置資安防護措施的評估則是關鍵,必須綜合考量組織文化、工作流程、資產重要程度、員工意識等面向,才能制定真正可行的政策。

© Copyright 2019 城邦媒體控股集團 All Rights Reserved

為達最佳瀏覽效果,本站建議使用Chrome瀏覽器,畫面解析度1024X768以上,若以舊版本或IE瀏覽器可能發生效果無法正確顯示之問題。