< CTO 觀點 >防禦重要系統:它必須要「智慧化」嗎?

CTO

作者: Raimund Genes(趨勢科技技術長)

 

 

 

 

無論我到哪裡似乎都會聽到「重要」系統遭受攻擊。今年早些時候,人們在談論飛機是否可以被駭客攻破。我們也談過智慧化電網是否會被駭客攻擊。就在一周前LOT波蘭航空幾乎完全被分散式阻斷服務攻擊(DDoS)打趴。相關報導:LOT波蘭航空地面操作系統遭駭造成航班無法起飛

許多案例裡的重要系統都是用現成的開放原始碼軟體開發而成。我大約在十年前說過開放原始碼軟體比較安全。雖然這被證明在絕大部份時候是對的,但最近的問題(如HeartbleedShellshock)已經說明開放原始碼軟體也有其問題。

非技術人員可能會問:「為什麼之前沒有人注意到這些問題?難道我們軟體開發人員太懶了?難道開發人員忘記如何開發安全的應用程式?」基本上他們是想問軟體社群:我們為什麼會捅這麼大的婁子?

要開發安全的程式碼在大多數情況下都很困難,不幸的是許多開發人員都沒有將其視為優先。一個遊戲或瀏覽器並不安全是一回事,雖然已經夠糟糕的了。但如果電廠的部分SCADA設備出問題那就是另一回事了。而如果醫療設備被駭而危害到病人又是另外一回事。

隨著智慧型設備越來越普遍,而且被用在了重要用途上,軟體開發者必須明白他們對確保自己軟體安全負有更大的責任。或許相關產業的監管機構需要建立新法規來包含軟體安全!看看不良軟體會造成多嚴重的後果就知道了,這想法並不像聽起來那麼瘋狂。

同樣重要的是,我們需要決定什麼需要保護和什麼需要連網。比方說,人們不斷地說:智慧化電錶比較安全也對電力網有幫助。這可能沒錯,但會有什麼樣的後果?誰控制這些設備?誰有權存取這些數據?

如果真正重要的設備會被連上網路,就需要加以適當地防護。所用的軟體必須遵循最佳實作來開發,並且強化安全來防禦攻擊。也必須落實用「黑箱」方式加以測試,來確認這些重要系統可以對抗已知漏洞和攻擊。

越來越多重要系統會在不久的將來連上網路。軟體產業必須負責行事,確保我們不會重蹈過去的安全錯誤 – 帶給這世界大量的嚴重後果。


@原文出處:Defending Critical Systems: Does It Have To Be “Smart”?

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接