隨著物聯網蓬勃發展,5G將成為物聯網重要基礎網路,加以AI應用無所不在,同時促成更多創新智慧應用。但當聯網成為所有新興應用必備的功能,網通設備漏洞也將會成為服務不穩定的變數。物聯網安全戰線持續擴大,面對日益嚴峻的資安挑戰,企業在規劃各種5G與AI物聯網產品服務時,必須跳脫傳統框架,建立「Secure by Design」新思維,從源頭做好防禦工事。
2020年物聯網安全高峰論壇,在5G網路布建潮與新冠肺炎疫情中展開,5G網路一方面開創人們新生活願景,廿一世紀至今最嚴重的傳染病另一方面破壞人們的生活步調,物聯網資安隱患也像新型冠狀病毒一樣,在看不到、摸不著的地方默默發展,伺機造成大規模危害,因此在各個面向、流程建立資安防火牆重要性不言可喻,此次活動也從基礎架構與終端裝置兩端,更全面地探討物聯網安全議題。
網路應用無所不在突顯資安問題急迫性
在5G AIoT的趨勢下,技術發展包括高運算力、低耗能、演算法、資安等,在AI的應用上,蒐集資料、標註資料、訓練資料與運算AI模型成為普遍性的工作,若能將上述工作透過模組化的平台加以落實,可以創造更多價值;資策會系統所代理所長蒙以亨強調前提是AIoT雲端與終端的大量裝置都需要更安全的運作環境。
5G在架構上與4G相較做了大幅度的更動,除了雲化之外,也導入許多開源軟體,資策會資安所所長毛敬豪提到,5G基礎建設開放架構風潮興起,更是讓資安風險疑慮大增,如何在端、網、雲上做好完整的資安防護,是業界廠商未來幾年的重要課題。
資策會系統所代理所長蒙以亨表示,5G AIoT的技術發展趨勢包括高運算力、低耗能、演算法、資安等。
2020年疫情讓網路的重要性提升,台灣資通產業標準協會秘書長周勝鄰認為,網路與人們的生活關聯性更高,無形的網路病毒如果產生危害,破壞性也不亞於冠狀病毒,因此全球各國紛紛將資安問題提升到國家安全等級,在資安即國安的前提下,資安機構對於產品資安的認驗證就相當重要,強化所有聯網產品資安能力可以讓消費者使用時更加安心。
資策會資安所所長毛敬豪提到,5G基礎建設開放架構讓資安風險疑慮大增,未來幾年須在端、網、雲上做好資安防護。
零信任/主動式防禦 強化資安保護能力
物聯網資安防範範圍非常廣泛,行政院國家資通安全會報技術服務中心主任吳啟文指出,用戶端、接取端、核心端及應用服務,每個環節都需要注意資安問題。世界經濟論壇的2020年全球風險調查報告中,網路攻擊列名十大影響風險的第八名;而在十大可能風險中,資料詐欺或竊盜與網路攻擊更是分占六、七名,資安事件的嚴重性隨著科技與網路的發展持續升高。
5G技術帶動物聯網應用大幅成長,同時層出不窮的資安事件也引發產業界對物聯網安全的高度重視。吳啟文表示,美國國防創新委員會於2019年4月發布5G風險報告,指出5G之三大資安挑戰為供應鏈風險(Supply Chain Risks)、5G基礎設施與服務(5G Infrastructure and Services)、5G設備(5G Devices),並建議採用零信任與主動式防禦推動策略。
台灣資通產業標準協會秘書長周勝鄰認為,資安即國安,資安機構對於產品資安的認驗證相當重要。
零信任希望突破傳統網路模型的資安窘境,並能保護資料/應用存取,無具體邊界,使用者/設備與資料/應用無處不在,任何資料存取永不預設信任且必須驗證;而在主動式防禦策略上,吳啟文提及,主動式防禦推動策略可由攻擊前、攻擊中、攻擊後三階段執行。攻擊前可事先分析網路犯罪情報,進而加強部署防護機制。面對網路攻擊的當下,可提升弱點防護、加強SoC監控並建立零信任架構檢驗環境。同時模擬攻擊思維並建立控制平台,進行主動防制、掌握攻擊行為。
資安成企業信評指標IoT防護思維須升級
從近幾年國際間物聯網遭受攻擊的事件來看,國際知名的車廠、半導體業、鋼鐵業等,陸續爆發重大資安事故,台灣高科技製造業聞名全球,當然也是駭客組織覬覦的標的,IBM台灣資訊安全部資深技術顧問康凱雄解釋,背後目的不論是竊取商業機密、勒索高額贖金,抑或是政治手段,對產業而言皆可能影響到正常營運收入,使企業不得不正視外部威脅風險議題。
行政院國家資通安全會報技術服務中心主任吳啟文指出,面對5G與AIoT的資安挑戰,建議採用零信任與主動式防禦策略。
當前資安議題大致分為Cyber Security與Information Security,康凱雄說明,前者類似於軍隊或國家之間的對抗,主軸在打擊網路犯罪與惡意攻擊;後者範圍較廣泛,重點在於預防天災與人禍,以軟性的規勸與引導方式建立基礎防護。從數位韌性的角度來看,旨在評估企業遭遇資安事件時的存活率,IT管理者或資安長過去探討防護思維較傾向戰術面,必須轉換到戰略面,讓資安措施成為營運風險控管的一環。
至於實作方法,康凱雄歸納出三大原則,首要是掌握工業控制網路傳輸狀態;其次是持續監看連線存取行為;第三是設定配置合適的權限。IBM設計提供的安全維運與分析平台架構(SOAPA),整合了Security Resilient與Security QRadar,正可成為輔助落實,提升安全防護力。
安全防護軟硬兼施 提升企業產值
根據統計,IoT裝置產業規模在2025年將高達6.3兆美元,IoT應用將無所不在,但隨之而來的資安風險也相對提高。目前,大多數企業僅使用軟體式解決方案來提供IoT裝置安全,但仍有其不足之處,英飛凌(Infineon)提供了硬體式資安解決方案OPTIGA Trust M來彌補,協助企業提供完整的IoT資安防護,並提升企業價值。
過去幾年,資安危害事件有增無減,對此,江國揚指出,國外的保險公司會針對企業使用IoT設備的狀況,例如企業是否把IoT安全防護措施、安全防護晶片導入在IoT裝置,來評估理賠程度,不僅加速企業重建時程,也可以區隔與其他企業的形象。 OPTIGA Trust M開發了八項安全防護功能包括:身分認證(Authentication)、建立安全的傳輸管道(Secure Communication)、安全更新(Secure Update)、預配置密鑰(Key Provisioning)、生命週期管理(Lifecycle Management)、資料儲存防護(Data Store Protection)、電源管理(Power Management)、平台完整性(Platform Integrity)等。江國揚說明,OPTIGA Trust M取得了CC EAL 6+安全認證,其代表硬體符合了硬體最高認證安全標準,提高了企業安全信賴度,客戶也能取得企業品牌的認同度。
雲端原生打造多層防護連網安全再確保
隨著企業營運業務持續朝向數位化發展,IT基礎架構的樣貌也變得多元。逸盈科技Cato Networks產品協理石漢成觀察,現代企業網路架構變得分散,總部可能在台灣,工廠卻在東南亞、中國、歐美等地區,更加仰賴網路傳輸連結。另外,為了確保安全性,外部據點也可能得考慮部署資安設備,即使分公司的員工只有三人,抑或是只有連網功能的機器,安全防護仍不可輕忽。
網路傳輸服務與安全防護機制已是各式應用場景必備的功能要項,才可確保連線接取企業內部關鍵應用系統與雲端服務順暢運行。過去對於電腦節點大多採用防毒軟體保護,但現代化攻擊經常利用尚未被發現的零時差漏洞,連防毒軟體也無法偵測發現,更遑論無法安裝防毒軟體的連網裝置。因此現代安全防護架構不能再用過去思維來部署。
本土企業關鍵應用系統習慣部署在自家內部機房,需要搭配建置各種功能特性的防禦技術,同時得聘請資安專家因應攻擊威脅調整配置防堵措施,投入的成本費用並不低,若採用Cato Cloud則可省去部署與維運的複雜度。石漢成表示,這正是國際市調機構Gartner定義的SASE(Secure Access Service Edge)市場,利用雲端原生平台的優勢,讓安全防護無邊界限制,不論在全球各地發起的存取行為皆可達到安全與加速傳輸。
駭客攻擊轉向終端 鎖住機密檔案
物聯網技術在越來越多場景應用,許多裝置開始聯網,部份機密資料也都儲存其中,再加上駭客近年攻擊目標從IT轉向OT,促使IoT裝置處於高風險資安環境。為了防止IoT裝置資料外洩,芯科科技(Silicon Labs)提供了一套安全解決方案Secure Vault,透過PUF產生的加密鑰匙,鎖住企業機密檔案,維持資料的完整性,協助企業提高IoT裝置資料的保密性、真實性、完整性和不可否認性。
IoT資安威脅會從遠端(Remote)攻擊和本地端(Local)攻擊,Silicon Labs資深應用工程師林仕文指出,物理性攻擊常見手法是直接攻擊硬體本身,造成裝置毀損,例如駭客利用旁路攻擊來破解密鑰。另一個邏輯性攻擊則是在韌體的除錯介面(Debug Interface)竄改程式碼,例如駭客置入含有惡意程式的韌體,讓OTA(Over-the-Air)更新Node來攻擊此IoT裝置。
Silicon Labs開發一套針對IoT裝置的硬體式解決方案Secure Vault。林仕文說,該解決方案利用PUF產生的加密鑰匙,針對IoT裝置的鑰匙來加密,分開應用程式碼與機密資料,每次啟動裝置都會產生新的鑰匙。除此之外,Secure Vault也利用防竄改(Anti-Tamper)、隨機製造加密數字(Number Generator)和安全啟動機制(Secure Boot)等功能,防止駭客破解鑰匙來保持IoT資料完整性。林仕文表示,駭客最近攻擊方式都採取「垃圾攻擊法」,分析遭拋棄的IoT裝置來尋找鑰匙,可能在快閃記憶體或某晶片的記憶體取得,Secure Vault能夠避免駭客利用此手法來竊取鑰匙,造成機密資料外洩。