當居心不良遇上貪婪
關於供應鏈資訊安全的討論,絕大部分重點都擺在如何偵測資料遭到竄改、如何防範後門程式,以及如何防範軟體和元件被植入不肖內容。不過現在卻出現了另一個可能比資料竄改更嚴重的問題:歹徒因貪婪而對裝置造假所衍生的資安問題。所謂假冒裝置是指與您購買時認知不符的裝置,或是經過刻意竄改讓舊款或不同款裝置變成更高價款式的裝置。這就好像偽鈔或面額差了一個零的鈔票一樣,全都不符您的期待。歹徒造假的動機當然是因為貪婪,但這卻很可能引發資安問題。
假冒裝置在醫療業已是個嚴重影響安全的問題
去年,趨勢科技針對醫療裝置市場的資安情況進行了一番研究。目前,合法的二手醫療裝置市場相當活絡。當然,新款的裝置價格肯定比舊款高。而醫療產業廣泛推行一種裝置通用條碼的制度,也就是獨一無二的裝置識別碼 (UDI),這讓裝置在資產盤點時相當方便,很容易追溯裝置擁有者以及相關資訊 (例如所在地點)。此外,UDI也是資安作業上的一項方便工具,可追蹤裝置的修補記錄。例如,假設某裝置的 UDI 顯示該裝置是 XYZ 廠牌 2014 年款式的監測裝置,那我們就可以確定它已經套用了最新的修補。
接下來談談貪婪所衍生的資安問題。有些不肖的經銷商可能會變造裝置的 UDI,讓一些老舊的機型搖身一變成為新的機型。例如,拿 XYZ 廠牌的 2014 年機型來冒充 2018 年機型可以大賺一票,但卻顯然會讓買方遇到產品維修上的問題或是支付過高的價格。更糟的是,如果將針對 2018 年機型的修補更新套用到 2014 年的機型上,很可能會導致不良後果,例如:裝置因而無法開機、漏洞未能修補或者導致裝置故障。桌上型電腦的作業系統通常不會遇到這種情況,因為更新套用前會先檢查版本,且會顯示對話方塊來告知使用者,以避免套用錯誤的版本。但幾乎所有物聯網(IoT ,Internet of Thing)裝置以及多數的醫療裝置都沒有這類防錯的設計。如果您曾經刷過裝置的韌體 (如路由器或數位相機),您就知道這過程其實像個黑箱作業,而且看不到任何畫面。竄改 UDI 只是問題之一,更大的問題是直接冒充另一款產品,而其內建的軟體也許相同,也許不同。
這類問題聽起來似乎相當罕見,但事實上不然。根據世界衛生組織 (World Health Organization) 的估計,大約有 8% 的醫療裝置是假冒的。
為假冒帶來更大誘因的企業 IT 趨勢
目前有多股趨勢互相激盪並逐漸引來上述問題,首先最大的趨勢就是 IoT 的不斷成長。有越來越多裝置開始連上企業網路,而且成長速度持續加快,這意味著有更多新的裝置加入網路,此外還有越來越多企業內的「非智慧型」裝置也開始連上網路或者「智慧化」。規模的擴大就是一種問題,IoT 規模的成長將為傳統網路資產盤點、資安事件管理 (SIEM) 以及修補管理帶來挑戰。資產盤點與修補管理將變得更難,使得多數企業出現管理漏洞,讓歹徒更容易得逞。
第二項趨勢是 IoT 裝置的智慧程度越來越高,意味著這些裝置的 IT 功能將變成一種核心能力,例如:幫浦經由無線通訊回報狀況的能力與幫浦原本的功能一樣重要,而車內顯示器的功能也不再只局限於提供娛樂,還提供一些車速和車輛操控等關鍵功能。
第三項趨勢是異質性。產品的品牌越來越多、網路的變化也越來越快。絕大多數企業的網路都不會只採用單一廠牌的交換器和路由器。而且,不同分行辦公室的網路也可能使用各種不同的品牌和機型。此外,機櫃內還有更多網路資安裝置,尤其是企業環境。供應鏈的改變也讓企業開始改變傳統的採購方式,使得 IT 裝置和元件的採購變得更加複雜。
這樣的情勢發展為何會讓問題惡化?
而這一切,包括規模的擴大、智慧化與複雜性,都會讓歹徒更想要從事假冒的生意,也因此更危及安全。規模擴大之後,企業很可能為了省錢而買到一些假冒的舊裝置,造成修補上的問題,或者根本無法修補。這些無法修補或安全不合格的假冒裝置,讓智慧型裝置比之前不能提供互動的裝置更影響企業安全。此外,元件與供應鏈的異質性讓假冒裝置更有機可乘,因為更難辨別假冒的元件,且當供應鏈涉及更多人時,也會讓造假的情況更容易發生。
網路與資安裝置是歹徒假冒的下一波目標
IT 和 IoT 元件被造假已經夠糟了,但目前還有一種更大的威脅正迎面而來。近來市場上出現了一些假冒的資安與網路裝置,換句話說,原本用來防衛假冒裝置的最佳防線,竟然成了歹徒假冒的目標。以假鈔的情況作比喻,這就好像用來分辨真鈔和偽鈔的掃瞄機本身遭到假冒一樣。
企業該怎麼做?
最徹底的作法就是讓供應鏈具備偵測假冒的能力來確保供應鏈的完整性。換句話說,雖然供應鏈完整性最重要的是確保所有環節都在,但企業應進一步強調供應鏈各環節的真實性。這一點,有能力的企業可能已經開始在做,但坦白說,情況並不普遍。此外,採購的作法也需要改變,包括要求廠商提出他們採取哪些步驟來確保供應鏈完整性。而過去只看價格的作法也應修正,與其追求最低價格,貨真價實反而更為重要。
漏洞管理大致上都包含資產盤點與修補管理。所以,從提升資產盤點的正確性下手,會是個不錯的第一步。例如,若資產盤點是依據採購資料,那就必須設置一道確認機制,比方說,若企業的帳面上有 20 台 X 型 v2 版本的路由器,那企業應確認一下這些路由器是否真的都是 X 型而且是 v2 版本。
儘管假冒裝置影響的不單只有資安層面 (例如故障的醫療裝置),但資安廠商卻最有能力帶頭反制。
原文出處:Cybersecurity Leaders Are Talking A Lot About Counterfeit Devices 作者:Greg Young (網路資安副總裁)