物聯網 - 資安趨勢部落格

家庭物聯網是否會危及企業安全？

2021 年 11 月 09 日2021 年 11 月 08 日趨勢科技 TrendMicro

最近一次的Pwn2Own（2021年秋季在奧斯丁）包含了比以往更多的物聯網（IoT ,Internet of Thing）項目。讓我們有機會探究現今最大、最新的企業攻擊面：家庭辦公室。

員工參與的混合模式（即大部分時間在家工作）已經不再是一種臨時模式。根據蓋洛普2021年5月發表的研究報告，有十分之七的白領在家工作，這數字並沒有太大變化。（更多資訊請參考蓋洛普：十分之七的美國白領仍遠端工作。）員工們更加喜歡這模式，有著更高的工作滿意度 – 且根據主管的說法，生產力有著顯著提高。許多企業計劃繼續使用遠端工作者，而強制要求回到辦公室的企業則發現員工有很大的反對聲浪。

遠端工作者依靠家庭辦公設備與企業連線。這些裝置很多樣化：沒有兩個家庭有相同的IT和IoT配置。從我們的研究可以看出家庭網路在面對攻擊時有多麽脆弱。資安長（CISO）現在需要處理這種新工作模式對企業攻擊面所帶來的根本性擴張。企業已經為員工提供了用來連線的電腦或智慧型裝置；但這些裝置可能使用在有漏洞的環境。許多家庭物聯網裝置會持續監測家庭環境 – 智慧型恆溫器、門鈴、電視、照明設備和語音助手（Alexa、Siri 等），並將資料回傳給企業所有者。這些裝置往往只用了基本安全功能，讓駭客有辦法入侵這些裝置為自己所用。還記得2019年駭客接管嬰兒監視器的問題嗎？只需採用更長的密碼且保持軟體更新，就可以解決許多這類攻擊。有些家庭使用者願意且有辦法自己採取行動，將其視為家庭經營的一環。但許多人並沒有。

繼續閱讀

什麼是零信任? IoT 與零信任 (Zero Trust) 不相容嗎？正好相反

2021 年 10 月 07 日2021 年 10 月 05 日趨勢科技 TrendMicro

基於許多原因，IoT 一直是資安上的頭痛問題。那麼如何讓 IoT 成為零信任資安架構的一環呢？

基於許多原因，IoT 一直是資安上的頭痛問題。本質上，這些裝置本來就不能信任，因為它們通常無法安裝資安軟體，而且在設計之初也大多未考量到資安。還有，它們在網路上的存在感不高，因為看起來不像 IT 設備。之前，個人自備裝置 (BYOD) 也曾面臨類似的問題。不過，許多 BYOD 在外觀和運作上都很像企業 IT 設備，但 IoT 卻是一種截然不同且更難防護的設備。傳統的資安模型在面對 IoT 和 BYOD 時顯然力不從心。傳統的舊式架構擴充能力有限，所以才會讓一些新式的攻擊有機可乘，並且輕易地隨著 IT 向外拓展而移動。隨著越來越多 IT 和資安開始轉變成軟體定義的型態，零信任 (Zero Trust，簡稱 ZT) 被視為一種根本的解決之道，解決了資安上令企業困擾已久的問題。

乍看之下，ZT 與 IoT 似乎不相容，但是，這些本質上不能信任、所以也不安全的 IoT 裝置，卻是為何零信任架構對企業非常重要的最完美範例。

那麼如何讓 IoT 成為零信任資安架構的一環呢？

繼續閱讀

物聯網的安全問題，威脅和防禦

2021 年 09 月 22 日2021 年 09 月 08 日趨勢科技 TrendMicro

物聯網（IoT ,Internet of Thing）的應用已經變得相當廣泛，所以它安全性的發展也必須能夠跟上。本文裡探討了物聯網安全的基礎知識，有助於框定其範圍、為什麼必要以及該如何實現。

什麼是物聯網裝置？

首先我們要定義物聯網裡的「物」，因為物聯網裝置的多樣性讓物聯網的範圍變得如此廣泛，其安全性也備受挑戰。物聯網裝置的主要特徵是能夠連接網路，並且透過資料的收集和交換與環境互動。裝置通常具備有限的運算能力並只有少數特定的功能。由於裝置如此的多樣性，有無數的方式可以將物聯網應用在各種不同的環境。

對一般使用者來說，智慧家庭展示了物聯網裝置是多麼容易使用。使用者只需要購買這類裝置，就可以更新家庭保全系統（藉由智慧安全鎖、IP攝影機和動作感測器）或改善娛樂系統（藉由智慧電視、智慧音箱和連網游戲機）。物聯網裝置通常也具備可攜性，能夠連接任何網路。一個典型例子是使用者可以將自己的裝置從家裡帶到辦公室（如智慧手錶和電子書閱讀器）。

雖然多樣性讓使用者有無數種裝置可選擇，但這也是物聯網碎片化的原因之一，並且帶來許多的安全問題。產業缺乏遠見和標準化導致了相容性問題，這也讓安全問題複雜化。裝置的可攜性讓惡意威脅更有可能侵害多個網路。除了這些問題以外，物聯網安全還有其他必須解決的問題。

物聯網存在哪些安全問題？

雖然物聯網裝置在討論物聯網安全時佔了相當大的比重，但將所有焦點放在它身上並無法全面性地說明物聯網安全的必要性以及其所包含的內容。今日有許多因素使得物聯網安全變得至關重要。

繼續閱讀

5G企業專網更需要加強資安防護

2021 年 08 月 17 日2021 年 07 月 20 日趨勢科技 TrendMicro

5G 技術的擴展性、速度和連接性為企業帶來了無數好處。但這些特性也會在惡意威脅入侵系統時放大所造成的損害。對使用5G 專網的企業來說，安全性應該是首要的關注重點。
正如常被引用的《蜘蛛人》（Spider-Man）電影台詞：「能力越大，責任越大」（With great power comes great responsibility.）。這句話也可以應用在資訊安全上：當一項技術的規模和「能力」越大，防護其安全的責任就越重和越必要。

防護 5G企業專網就是如此。5G 技術的擴展性、速度和連接性為企業帶來了無數好處。但這些特性也會在惡意威脅入侵系統時放大所造成的損害。這些威脅可能導致大規模的分散式阻斷服務攻擊 (DDoS)攻擊、服務劫持、隱私入侵，甚至導致工廠運作完全停擺。

與普遍的看法相反，5G 企業專網並無法倖免於惡意威脅。我們在最近的研究中檢視了可能影響 5G 核心網路的威脅。

因此對使用 5G 專網的企業來說，安全性應該是首要的關注重點。這可以透過對 5G 服務平台及其整合的其他技術、整個企業網路和用 5G 連接的元素建立點對點安全防護來解決。

繼續閱讀

邁向 5G 企業專用網路的資安問題

2021 年 08 月 10 日2021 年 07 月 20 日趨勢科技 TrendMicro

The Transition to 5G: Security Implications of Campus Networks — 下載:「來自 4G/5G 核心網路的攻擊：工業物聯網在已遭入侵的企業專網內的風險」

4G/5G 企業專用網路(以下稱企業專網)的出現，象徵電信技術在各產業逐漸扮演重要角色。而全球的企業機構，即使尚未開始導入 5G 技術，也都在期待 5G 將帶來的效益。無可避免地，在未來幾年之內，5G 必將帶動產業及商業轉型。無論是向電信業者租用 5G 網路或是架設自己專用的 5G 企業專網。企業機構與 IT/OT 專家皆應同時思考新技術、新應用可能伴隨而來的資安挑戰。

趨勢科技研究團隊深入探討了負責營運及維護工廠、基礎建設及其他類似環境的 IT 與 OT 專家在建置 4G/5G 企業專網時可能遭遇的問題。我們測試了幾種經由已遭駭入的企業專網 (尤其是當中的核心網路) 發動的駭客攻擊情境。接下來將概略討論這些威脅並提出應對之道。