備受矚目的5G服務去年(2020)起由國內電信商相繼開通,預期將帶動智慧製造、車聯網等數位轉型新應用得以落實。從行動網路架構來看,資策會資安科技研究所創新通訊安全中心主任林志信說明,過去4G架構大致可區分為用戶端、接入網、核心網,如今的5G仍維持類似架構,較以往最大的差異在於軟硬體的脫鉤與開放,讓營運商也可自主提供創新應用服務。
在過去的行動網路架構中,電信營運商投資建置基地台、核心網路,應用服務則是由核心網骨幹後端的公有雲服務廠商提供,營運商的角色有限,僅提供上網通道,讓用戶得以存取雲端服務。如今5G世代主流的開放無線接取(O-RAN)架構正是運營商的新契機,可讓應用嵌入到自家行動網路一併提供,例如提供高畫質、低延遲的影像服務,拓展新商業模式。須留意的是,原本單純的封閉型網路一旦開放引進應用服務,讓使用者存取,勢必將成為攻擊標的,必須比以往更重視網路架構中各節點的安全性。
資策會資安科技研究所創新通訊安全中心主任林志信提醒,虛擬化環境須搭配嚴謹的風險控管才可消除安全疑慮。
林志信說明,4G網路核心網路為EPC(Evolved Packet Core)、基地台為LTE(Long-Term Evolution),目前營運商建置的5G偏重於前端基地台建設,後端控制系統仍是由4G核心網路負責,只要用戶端手機支援5G,資料即可經5G基地台進行交換,此建置模式稱之為非獨立組網(NSA),在公眾行動寬頻、智慧城市等場域基於4G核心網路提供5G應用服務。未來會進一步演進成為獨立組網(SA),亦即從端到端皆為5G,完整性能可滿足產業積極發展的車聯網、智慧製造、智慧醫療等新型態應用所需。
5G世代之所以興起O-RAN架構,主要是因為5G傳輸速度較4G增加多達上百倍,基地台部署密度也得擴增,但多數營運商在4G投入的建置成本尚未回收,導致沉重成本壓力,O-RAN架構可讓營運商以白牌設備建置,不再只能向少數品牌採購昂貴的電信設備。
其次是5G應用場景的網路要達到彈性配置,必須運用虛擬化來實現,藉此打造多接取邊緣運算(Multi-access Edge Computing,MEC)平台,原本位於雲端的應用服務亦可部署於此,以服務前端連網裝置。林志信提醒,虛擬化環境擁有高彈性配置資源的特性,但是頻繁的變更很容易產生新的弱點,必須搭配嚴謹的風險控管,才可消除安全疑慮。
釐清風險環境並制定控管政策
當所有元件都轉換為虛擬化,意味著不再是專用硬體,只要是x86伺服器,搭載虛擬化平台,即可部署多樣軟體建構垂直應用的物聯網平台。然而當今的開發模式大量採用開源技術,惡意人士亦得以取得程式原始碼,藉此挖掘出未知型漏洞執行滲透入侵。此時控管機制變得相當重要,只要有漏洞被揭露,必須有能力快速地安裝修補更新程式到應用服務,以及成千上百台的連網裝置。
Citrix技術顧問吳東霖強調,一筆白名單可抵過上萬筆特徵碼,只允許特定行為存取將可有效控管入侵風險。
資訊風險管理專家顏志仲指出,工業網際網路聯盟(IIC)公布的工業網際網路安全架構(IISF)開列了IT/OT可信任度的重點要求,在IT方面強調的是隱私、資安、可靠度,以及近年來經常被提及的韌性(Resilience);OT方面強調的也是資安、可靠度、韌性,而工業物聯網環境可說是IT/OT的整合,每個環節都得被照顧到。進入到新的萬物聯網時代,必須更關注資安課題,因為Safety已攸關生命財產安全,而非僅為傳統IT領域認知的資安風險。
依據安全風險控管程序進行風險評估時,可參考IIC提出的物聯網安全成熟度模型(SMM),從功能特性、設定配置等不同面向自行評估。若能預先制定一套資安事件回應標準作業流程,可在意外發生時快速地因應,最大程度降低損害。
顏志仲進一步說明,實作方式可藉由前端連網裝置蒐集彙整成大數據,運用日漸成熟的監督式學習技術建立演算分析模型,快速地計算出風險分數,讓IT/OT維運團隊有機會在資安事件爆發前先一步發現,以免造成難以彌補的災難。或是藉此找到弱點環節,盡速調整改善避免被惡意人士利用來滲透攻擊。
善用工具避免誤操作引發安全弱點
論及應用服務平台開發模式,Citrix Systems技術顧問吳東霖引述中國訊息通信研究院於2019年發布的調查報告中指出,開發技術主要是Docker(64.02%)與Kubernetes(25.91%)。敏捷式方法論已被廣泛應用到研發項目管理,其中排名前五的敏捷工程實踐分別是自動建構(佔71.21%)、單元測試(68.12%)、編程規範(59.48%)、持續整合(58.43%)、持續部署(42.01%)。然而在一年後(2020)更新發布的調查報告中,持續整合(74.17%)、持續部署(64.80%)已快速竄升。
隨著應用系統的演進,網路架構也變得相當複雜,加重既有IT人力維運負擔,直到近幾年歐美國家倡導的DevOps模式開始在台灣盛行,運用Jenkins等開源技術引進自動化的執行持續整合、持續部署、單元測試等程序來輔助,才有能力簡化複雜的執行程序。
資訊風險管理專家顏志仲指出,借助監督式學習演算分析模型計算風險值,可讓IT/OT團隊在事件發前先一步阻止。
吳東霖以某高科技製造業客戶舉例,目前在Citrix提供的網頁應用程式防火牆(WAF)上運行約3,200個網站,只需2人維運。過去面對系統版本必須快速地更迭的需求,基於人工部署已經無法滿足,且容易出現操作錯誤,恐導致產線因此停機或斷線,如今該客戶設置有自動化部署團隊,運用Kubernetes建構容器運行環境,透過API整合WAF、負載平衡等機制輔助實作持續整合、持續部署,採用的技術正是Citrix NetScaler NITRO RESTful API,基於支援各種開發語言能力,讓團隊能混用多種平台,藉此大幅減少時間成本、加快專案進度。 為了掌握Kubernetes打造的容器叢集中東西向運行狀態,Citrix亦提供ADM統一控管平台,釐清連線服務的延遲時間與處理回應速度,並且在異常狀況出現時追蹤根本原因,以便快速執行問題排除程序。
NEC台灣專業解決方案服務群協理何彥明強調,從使用者與連網裝置的行為模式來識別身分,可減少惡意冒用得逞。
針對2020年製造業爆發出多起遭受勒索軟體感染的事件,攻擊活動大多是從DMZ區域滲透入侵,再橫向擴散到Active Directory伺服器,繼而掌握企業內部帳號。吳東霖強調,現代攻擊手法防不勝防,採用黑名單方式已證實效益不高,實際上,一筆白名單可抵過上萬筆特徵碼,若只允許特定行為存取,其他都予以禁止,將可有效控管入侵風險。
裝置與人的身分認證趨勢
針對物聯網安全,提出「Secure by Design」設計方法的Thales強調在連網裝置設計初期就必須部署憑證,作為身分識別之用,在關鍵應用場域例如車聯網、智慧醫療、電力基礎設施等,亦可藉由裝置中內嵌安全元件(Secure Element)保護安全憑證,以免配置參數被惡意竄改或濫用。
Thales強調在連網裝置設計初期就必須部署憑證,藉由裝置中內嵌Secure Element保護安全憑證,以免配置參數被惡意竄改或濫用。
另一方面,發展生物辨識技術已近40年的NEC也將其投入物聯網應用安全,NEC台灣專業解決方案服務群協理何彥明指出,該公司過去較著重安防領域,近幾年開始從工控安全拓展到客戶關係管理服務,比如說金融科技發展專案項目之一是運用人臉辨識提款、零售業則有無人商店等等。 近十年來身份認證機制演進速度相當快,背後主要是美國國家標準與技術研究所(NIST)發布數位身份認證準則在推動,自2013年發布的白皮書800-63,2017年再發布更正版,推翻原先在2013年提及的強密碼認證方式,指出認證機制應該是要由服務端提供,以避免密碼被暴力手法竊取。此舉可說是顛覆以往認證技術發展思維,其中談到增強多因素認證、無密碼認證,以及成立於2012年FIDO(Fast Identity Online)聯盟推動的標準機制,受到國際知名IT大廠支持,著眼點即在於解決目前過多的App須帳密登入,反而造成用戶困擾。
「FIDO標準亦得到台灣政府支持,不僅在2020年年初,由臺灣網路認證(TWCA)推行台灣行動身分識別(TW FidO),預計2021年8月,金管會將提出F-FIDO,足以顯見身份認證機制開始走向國際統一標準。」何彥明說。
NEC設計研發的認證技術相當多元,包含FIDO聯盟推動的通用認證框架(UAF)與通用第二因素(U2F),持續至今亦增添FIDO2、Web Authentication(WebAuthn),逐步完善身分驗證的完整度。2021年開始NEC會更多著墨於動態認證,也就是Risk-based與行為生物識別技術,前者為依據標準作業程序追加證明機制,後者是目前NEC正積極發展的方向,從使用者與連網裝置的行為模式來識別身分,可進一步降低被惡意冒用的機率。