物聯網(IoT ,Internet of Thing)正在徹底地改變我們的生活和工作方式。我們可以看到企業的運作變得更加敏捷、高效也更加節省成本,同時一般消費者也在驚嘆著智慧家居、健康管理和連網汽車的神奇。只有一個重要的問題:這新基礎架構的大部分都是開放的,容易遭到攻擊和濫用。想保護它會需要這生態系內的所有人的努力。
而起點就是產品製造。
這也是為什麼我們在最近推出了一項新計劃,將我們在漏洞研究領域領先的專業知識用來幫助物聯網(IoT ,Internet of Thing)廠商踏出應對安全威脅的第一步。
威脅無處不在
使用者感受到物聯網的安全問題最早是因為2016年的Mirai殭屍網路。駭客利用出廠預設帳密來進行掃描登入,輕鬆控制了數萬台裝置來形成殭屍網路,發動了有史以來最大的幾波分散式阻斷服務攻擊 (DDoS)攻擊,其中一起讓一些網路巨頭都暫時停止了運作。受害者仍然面臨著威脅,FBI最近發布警報通知關於路由器、無線電設備、Raspberry Pi、網路攝影機、監視攝影機、NAS設備甚至智慧車庫遙控器所會遭受到的威脅。
美國聯邦調查局的研究結果顯示這些裝置可能被加入殭屍網路用來進行強大的帳密填充(credential stuff)攻擊、點擊詐騙、垃圾郵件等惡意活動,同時也被用來模糊惡意流量的真正來源。而企業面臨著更多的威脅:不安全的端點可能被用來滲透企業網路,進行資料竊取或入侵破壞業務流程及工廠產出。
通常當我們發現產品漏洞時,我們會建議組織進行修補。但對物聯網裝置來說這會是個問題。一般的物聯網廠商可能並非軟體開發專家,甚至可能沒有適當的軟體更新機制。即便可以釋出修補程式,使用者也可能難以進行更新。對在關鍵環境內運行數千個物聯網端點且無法關閉的大型組織來說,這個問題變得更加嚴峻。而且企業可能是為了特定任務而購買這些物聯網裝置,所以在沒有IT知識的情況下運行。
趨勢科技研究帶來改變
在網絡安全方面,有一個很好理解的原則:在開發階段解決會比在離開工廠後解決更便宜、更有效。這一點對物聯網裝置來說尤為真實,因為物聯網裝置一旦離開生產線就無法再加強防護了。
這也是為什麼我們希望物聯網廠商可以來藉助趨勢科技研究及零時差計畫(ZDI)的專業知識和經驗。ZDI致力在提高安全性方面已經13年了,運行著今日全世界上最大與廠商無關的漏洞獎勵計劃,有超過3,500名外部研究人員參與這項計劃。ZDI可以在開發漏洞披露流程及修補軟體漏洞方面為廠商提供指導和最佳實作。畢竟,如果沒有明確的計劃來進行修復,就沒有必要收集這些漏洞。
除了ZDI外,我們也邀請物聯網廠商能夠送測他們的產品,讓趨勢科技研究中心的專家測試,從而進一步地提高安全性。通過這方式,我們可以協助評估物聯網廠商的產品,在它們進入市場前識別可能的漏洞。
這在保護物聯網所需要資安產業、製造商、電信商、開發商、標準組織甚至立法者的共同努力中只是一小步。但鼓勵生產具修復性、注重安全性的產品來達到基本要求是至關重要的。
@原文出處:Back to Basics: Why We Need to Encourage More Secure IoT Development 作者:Mile Gibson