保護三類物聯網 (IoT) 裝置

物聯網（IoT ,Internet of Thing）的安全實在不易維持，原因之一是，物聯網 (IoT) 囊括了三類不同的技術，每一類都有截然不同的架構限制，每一類都需要截然不同的防護手段。

IoT 0.9：這一類屬於最原始的技術，包括所有傳統的營運技術 (Operational Technology，簡稱 OT) 與工業控制系統 (Industrial Control System，簡稱 ICS)。它們在某種程度上運用到網路，但並非採用 OSI 網路模型。這些技術的通訊協定很單純，因為系統並無太多電力、記憶體、頻寬或 CPU 效能。傳統的 ICS 裝置使用年限大約 15 至 25 年，而且很可能安裝在遙不可及的遠端。

有多遙遠？航海家一號 (Voyager 1) 太空船只有 70K 的儲存容量、三個處理器 (總運算效能每秒 13 萬個指令) 以及一個 22.4 瓦的無線電發射器。航海家一號目前剩餘的 249 瓦電力 (發射時攜帶了 470 瓦)，來自於三個鈽放射性同位素熱發電機。如需進一步認識這個最遙遠的 ICS 裝置，請參閱。航海家一號無法將電力或時間浪費在驗證收到的訊息，因為，無線電波從地球傳送至航海家一號大約需要 19 小時的時間。假使航海家一號採用 TCP/IP 通訊協定，光是建立一個 IPsec VPN 連線就需要花費五天的時間。

圖 1：航海家一號，目前距離太陽 130 億英哩。  

所以，要保護 IoT 0.9 裝置非常困難。而且很少人具備這項工作所需的技能。因為它需要很深的工程底子，對於裝置設計和操作條件以及網路通訊協定的功能和限制有深入研究，才能打造具備網路資安能力的裝置。由於運算效能上的限制，因此這類裝置無法內建傳統的認證、授權、加密或數位簽章等功能。傳統的 ICS 廠商通常缺乏內部資安團隊。ICS 的客戶或許有資安團隊的編制，但這些人只懂傳統的 IT 資安架構，對於 ICS 的架構限制不甚了解。

因此，針對 IoT 0.9 裝置最有效的資安防護就是將它們隔離，將裝置安裝在隔離的網路，不要與企業核心骨幹連接。但此一作法與萬物聯網的潮流背道而馳，使得企業無法掌握裝置的即時狀態。不過，雖然萬物聯網有助於提供更多、更優質的資訊 (也就是原始資料) 以便於管理，但卻也創造了一個扁平、毫無防備的開放網路，容易遭到攻擊。所以，為 IoT 0.9 裝置設置防火牆，或者將它們完全切割到另一個網路，至少可以提供一定的隔離作用。在這隔離的網路上安裝路徑外的感應器來偵測並通報可疑的網路流量，就能兼顧裝置的回應速度和安全。

IoT 1.0：第二類裝置我們稱之為「IoT 1.0」。這類混合裝置採用了 OSI 網路模型的某幾層，因此是最麻煩的一類。它們能妥善達成 OT 的需求 (通常為安全性和穩定性)，因為其基底架構設計就是如此。但其設計上卻通常缺乏網路資安能力，因其架構並不具備資安能力。

此外，混合裝置的運算能力也有限，IoT 1.0 裝置通常在頻寬、運算效能、電池續航力及記憶體方面都不算充裕。這些有限的資源只能用來提供即時的回應速度與高可用性，而非用來加密資料、認證收到的訊息、驗證存取權限、下載病毒碼，或是掃描惡意程式等等。

在 Shodan 或 Censys 等搜尋引擎上很容易找到連網的混合裝置。這些裝置缺乏防火牆或過濾能力，對於所有的網路請求都會迅速、有效、且天真地回應。這些早期裝置通常假設其所在的網路已具備安全和隱私保障，因此會假設任何收到的訊號都正確無誤且是它們該收到的。基本上，就是如同機械般運作：煞車踩下去，車子就該減速；開關一扳，燈泡就該亮。而且，認證需要花費時間，這樣一來，關鍵的功能就可能因而延誤。如同，IoT 0.9 一樣，網路切割、隔離以及路徑外監控，都能降低一定風險。除此之外，IoT 1.0 還可借助一些資安領域的網路分析技巧和工具。

IoT 2.0：最後一類是今日重新設計的 IoT 裝置，具備完整的網際網路能力。這類裝置的安全性最高 (如果有注重安全的話)。IoT 2.0 裝置或許在資源上較不受限。電池與充電技術的進步、低功耗運作、高效率處理器、先進的網路架構、更好的天線設計、充裕的記憶體等等，都使得 IoT 2.0 裝置在架構上更貼近 IT 系統。這類裝置越來越接近傳統可運用現代資安技術的 IT 裝置 (如果稍微修改一下)。例如，可以在不影響穩定性、反應速度和安全目標的情況下，將記錄檔登錄至非關鍵的管道或儲存裝置。此外，也可能在 IoT 2.0 裝置當中內建資安功能，只是無法保證可行。

IoT 2.0 裝置製造商可採用一些較成熟的資安模型。晶片設計商 ARM 最新的處理器即具備安全的核心，可執行一些安全相關的程序，包括：加密、系統更新、認證、授權及記錄檔登錄。有了充裕的效能，這些裝置就能同時提供即時反應速度與核心資安功能。不過，實作上仍須搭配妥善的架構和設計，並通過完整的測試。所幸，今日的裝置製造商多已具備優質的設計與開發流程，能掌握任何「系統發展生命週期」(SDLC) 的資安要素 (以及其他非功能性要求)。

資安對 IoT 來說確實不易，其本質上的困難以及解決之道，都決定在 IoT 裝置的源頭，因此只要從基本上加以掌握，情況就會變得容易。

• 原文出務：Securing the Three Families of IoT 作者：William “Bill” Malik (CISA 基礎架構策略副總裁)