基於許多原因,IoT 一直是資安上的頭痛問題。那麼如何讓 IoT 成為零信任資安架構的一環呢?
基於許多原因,IoT 一直是資安上的頭痛問題。本質上,這些裝置本來就不能信任,因為它們通常無法安裝資安軟體,而且在設計之初也大多未考量到資安。還有,它們在網路上的存在感不高,因為看起來不像 IT 設備。之前,個人自備裝置 (BYOD) 也曾面臨類似的問題。不過,許多 BYOD 在外觀和運作上都很像企業 IT 設備,但 IoT 卻是一種截然不同且更難防護的設備。傳統的資安模型在面對 IoT 和 BYOD 時顯然力不從心。傳統的舊式架構擴充能力有限,所以才會讓一些新式的攻擊有機可乘,並且輕易地隨著 IT 向外拓展而移動。隨著越來越多 IT 和資安開始轉變成軟體定義的型態,零信任 (Zero Trust,簡稱 ZT) 被視為一種根本的解決之道,解決了資安上令企業困擾已久的問題。
乍看之下,ZT 與 IoT 似乎不相容,但是,這些本質上不能信任、所以也不安全的 IoT 裝置,卻是為何零信任架構對企業非常重要的最完美範例。
那麼如何讓 IoT 成為零信任資安架構的一環呢?
繼續閱讀
物聯網(IoT ,Internet of Thing)的應用已經變得相當廣泛,所以它安全性的發展也必須能夠跟上。本文裡探討了物聯網安全的基礎知識,有助於框定其範圍、為什麼必要以及該如何實現。
首先我們要定義物聯網裡的「物」,因為物聯網裝置的多樣性讓物聯網的範圍變得如此廣泛,其安全性也備受挑戰。物聯網裝置的主要特徵是能夠連接網路,並且透過資料的收集和交換與環境互動。裝置通常具備有限的運算能力並只有少數特定的功能。由於裝置如此的多樣性,有無數的方式可以將物聯網應用在各種不同的環境。
對一般使用者來說,智慧家庭展示了物聯網裝置是多麼容易使用。使用者只需要購買這類裝置,就可以更新家庭保全系統(藉由智慧安全鎖、IP攝影機和動作感測器)或改善娛樂系統(藉由智慧電視、智慧音箱和連網游戲機)。物聯網裝置通常也具備可攜性,能夠連接任何網路。一個典型例子是使用者可以將自己的裝置從家裡帶到辦公室(如智慧手錶和電子書閱讀器)。
雖然多樣性讓使用者有無數種裝置可選擇,但這也是物聯網碎片化的原因之一,並且帶來許多的安全問題。產業缺乏遠見和標準化導致了相容性問題,這也讓安全問題複雜化。裝置的可攜性讓惡意威脅更有可能侵害多個網路。除了這些問題以外,物聯網安全還有其他必須解決的問題。
雖然物聯網裝置在討論物聯網安全時佔了相當大的比重,但將所有焦點放在它身上並無法全面性地說明物聯網安全的必要性以及其所包含的內容。今日有許多因素使得物聯網安全變得至關重要。
德國即將成為自駕車立法的先驅,在更明確的國際及歐洲法律框架尚未形成之前,暫時彌補空窗期。
德國立法機構已通過一項有關自駕車上路的最新法案,預料不久之後,自駕車與無人駕駛巴士將首度出現在德國公路上。這項立法的目的是希望能讓美國汽車工程師協會 (Society of Automotive Engineers,簡稱 SAE) 所定義的第四級自駕車在 2022 年初左右開始正式營運。
SAE 對第四級 (Level 4) 駕駛自動化的定義是指自駕車在運作過程中不需人員介入,車輛會依照預定的程式運作,只有在系統故障時才需要介入。第四級自駕技術通常用於無人駕駛的大眾交通運輸工具,例如:計程車和巴士。這類交通工具有固定的停靠點,活動範圍也有所限制。
德國制定法律允許第四級自駕車上路,將使該國成為自駕車立法的先驅,在國際與歐盟法律框架尚未形成之前,暫時彌補空窗期。
根據德國運輸部表示,該法案在條款上盡可能保留彈性,且新的規範並不要求必須配備一名駕駛人員在旁邊待命。
但必須由技術人員負起監督的責任,確保車輛遵守道路交通安全規則。除此之外,他們還必須評估自駕車的狀況來啟動各種駕駛功能,並為乘客提供協助。
該部在聲明中表示:「一些個別的許可、例外及要求 (例如常態性配置一名負責確保安全的駕駛以便隨時介入) 並非必要。」
不過,第四級自駕車只能在主管機關核准的特定地點營運。
同時,新的自駕車法律也將要求企業建置一些資料防護措施以確保車輛及乘客的安全。
自駕車製造商還必須負起網路資安的責任,因此廠商的第四級自駕車還必須防範未來可能的資安威脅以保障車輛的使用及大眾的安全。
德國開創先例的自駕車法案,將為日後更嚴謹的法律框架鋪路,最終將改變人們的通勤方式。此外,也將促使廠商改進現有的技術。
不過,這也意味著廠商必須了解當前及未來可能影響自駕車的資安威脅,尤其是第四級自駕車。隨著自動化技術越來越進步,決策者最重要的就是隨時掌握產業動態,建立嚴格的網路資安措施來防範車輛未來可能的威脅,進而保障消費者的道路交通安全。
請參閱以下趨勢科技在這方面的獨家研究,來了解更多有關連網汽車威脅與企業可採納的車輛安全標準:
原文出處:Level 4 Autonomous Cars Allowed on German Roads 作者:Ericka Pingol
所謂的「IoT 殭屍網路」是由一群物聯網(IoT ,Internet of Thing)裝置所組成的網路,其中有些裝置是感染了惡意程式 (尤其是 IoT 殭屍網路惡意程式) 而被駭客集團操控的路由器。駭客利用 IoT 殭屍網路的方式之一,就是針對特定機構發動分散式阻斷服務攻擊 (DDoS),進而癱瘓其營運和服務。由於路由器在網路上扮演著關鍵的角色,因此也讓駭客有機會利用 IoT 殭屍網路發動更具破壞性的攻擊。目前地下市場上有許多出售 IoT 殭屍網路的廣告,顯示駭客集團要取得殭屍網路是多麼輕而易舉的事。
殭屍網路的威力大致上取決於它所曾操控的裝置數量。正因如此,這類惡意程式大都是專為不斷感染更多裝置而設計,而且還會清除競爭對手的殭屍網路。
一般來說,殭屍網路的背後是靠一台幕後操縱 (C&C) 伺服器來操控,所有被感染的裝置 (也就是殭屍) 都連上這台伺服器。不過,有些殭屍網路採用點對點 (P2P) 網路的設計,因此不需仰賴 C&C 伺服器,而這也讓這類殭屍網路更加難纏。
延伸閱讀: P2P物聯網殭屍網路興起,使得保護家用路由器與桌機/筆電一樣重要
目前我們已發現三套 IoT 殭屍網路惡意程式的基礎程式碼 (codebase),今日多數的 IoT 殭屍網路都是從這些程式碼衍生而來。這三套基礎程式碼之間都有一些共同的特質,我們可藉此觀察 IoT 殭屍網路的實際樣貌以及它們的運作方式。由於它們都是開放原始碼惡意程式,所以至今已衍生出非常多的變種,而這些變種就構成了今日的 IoT 殭屍網路版圖。
5G 技術的擴展性、速度和連接性為企業帶來了無數好處。但這些特性也會在惡意威脅入侵系統時放大所造成的損害。對使用5G 專網的企業來說,安全性應該是首要的關注重點。
正如常被引用的《蜘蛛人》(Spider-Man)電影台詞:「能力越大,責任越大」(With great power comes great responsibility.)。這句話也可以應用在資訊安全上:當一項技術的規模和「能力」越大,防護其安全的責任就越重和越必要。
防護 5G企業專網就是如此。5G 技術的擴展性、速度和連接性為企業帶來了無數好處。但這些特性也會在惡意威脅入侵系統時放大所造成的損害。這些威脅可能導致大規模的分散式阻斷服務攻擊 (DDoS)攻擊、服務劫持、隱私入侵,甚至導致工廠運作完全停擺。
與普遍的看法相反,5G 企業專網並無法倖免於惡意威脅。我們在最近的研究中檢視了可能影響 5G 核心網路的威脅。
因此對使用 5G 專網的企業來說,安全性應該是首要的關注重點。這可以透過對 5G 服務平台及其整合的其他技術、整個企業網路和用 5G 連接的元素建立點對點安全防護來解決。
繼續閱讀