就在上週,Facebook宣布將公司名稱改為Meta。
改名是在Facebook的年度Connect大會上宣布的。這項改變也強調了Facebook對發展所謂「元宇宙(metaverse)」的決心,這是種透過全像投影和3D虛擬影像打造的超現實虛擬實境,讓人們能夠在裡面工作和社交。
繼續閱讀Facebook 改名成Meta – 這裡有你所想知道的答案!元宇宙(Metaverse)將改變你的社交生活嗎?
標籤: IOT
什麼是零信任? IoT 與零信任 (Zero Trust) 不相容嗎?正好相反
基於許多原因,IoT 一直是資安上的頭痛問題。那麼如何讓 IoT 成為零信任資安架構的一環呢?
基於許多原因,IoT 一直是資安上的頭痛問題。本質上,這些裝置本來就不能信任,因為它們通常無法安裝資安軟體,而且在設計之初也大多未考量到資安。還有,它們在網路上的存在感不高,因為看起來不像 IT 設備。之前,個人自備裝置 (BYOD) 也曾面臨類似的問題。不過,許多 BYOD 在外觀和運作上都很像企業 IT 設備,但 IoT 卻是一種截然不同且更難防護的設備。傳統的資安模型在面對 IoT 和 BYOD 時顯然力不從心。傳統的舊式架構擴充能力有限,所以才會讓一些新式的攻擊有機可乘,並且輕易地隨著 IT 向外拓展而移動。隨著越來越多 IT 和資安開始轉變成軟體定義的型態,零信任 (Zero Trust,簡稱 ZT) 被視為一種根本的解決之道,解決了資安上令企業困擾已久的問題。
乍看之下,ZT 與 IoT 似乎不相容,但是,這些本質上不能信任、所以也不安全的 IoT 裝置,卻是為何零信任架構對企業非常重要的最完美範例。
那麼如何讓 IoT 成為零信任資安架構的一環呢?
繼續閱讀物聯網的安全問題,威脅和防禦
物聯網(IoT ,Internet of Thing)的應用已經變得相當廣泛,所以它安全性的發展也必須能夠跟上。本文裡探討了物聯網安全的基礎知識,有助於框定其範圍、為什麼必要以及該如何實現。
什麼是物聯網裝置?
首先我們要定義物聯網裡的「物」,因為物聯網裝置的多樣性讓物聯網的範圍變得如此廣泛,其安全性也備受挑戰。物聯網裝置的主要特徵是能夠連接網路,並且透過資料的收集和交換與環境互動。裝置通常具備有限的運算能力並只有少數特定的功能。由於裝置如此的多樣性,有無數的方式可以將物聯網應用在各種不同的環境。
對一般使用者來說,智慧家庭展示了物聯網裝置是多麼容易使用。使用者只需要購買這類裝置,就可以更新家庭保全系統(藉由智慧安全鎖、IP攝影機和動作感測器)或改善娛樂系統(藉由智慧電視、智慧音箱和連網游戲機)。物聯網裝置通常也具備可攜性,能夠連接任何網路。一個典型例子是使用者可以將自己的裝置從家裡帶到辦公室(如智慧手錶和電子書閱讀器)。
雖然多樣性讓使用者有無數種裝置可選擇,但這也是物聯網碎片化的原因之一,並且帶來許多的安全問題。產業缺乏遠見和標準化導致了相容性問題,這也讓安全問題複雜化。裝置的可攜性讓惡意威脅更有可能侵害多個網路。除了這些問題以外,物聯網安全還有其他必須解決的問題。
物聯網存在哪些安全問題?
雖然物聯網裝置在討論物聯網安全時佔了相當大的比重,但將所有焦點放在它身上並無法全面性地說明物聯網安全的必要性以及其所包含的內容。今日有許多因素使得物聯網安全變得至關重要。
什麼是 IoT 殭屍網路?
所謂的「IoT 殭屍網路」是由一群物聯網(IoT ,Internet of Thing)裝置所組成的網路,其中有些裝置是感染了惡意程式 (尤其是 IoT 殭屍網路惡意程式) 而被駭客集團操控的路由器。駭客利用 IoT 殭屍網路的方式之一,就是針對特定機構發動分散式阻斷服務攻擊 (DDoS),進而癱瘓其營運和服務。由於路由器在網路上扮演著關鍵的角色,因此也讓駭客有機會利用 IoT 殭屍網路發動更具破壞性的攻擊。目前地下市場上有許多出售 IoT 殭屍網路的廣告,顯示駭客集團要取得殭屍網路是多麼輕而易舉的事。
殭屍網路的威力大致上取決於它所曾操控的裝置數量。正因如此,這類惡意程式大都是專為不斷感染更多裝置而設計,而且還會清除競爭對手的殭屍網路。
一般來說,殭屍網路的背後是靠一台幕後操縱 (C&C) 伺服器來操控,所有被感染的裝置 (也就是殭屍) 都連上這台伺服器。不過,有些殭屍網路採用點對點 (P2P) 網路的設計,因此不需仰賴 C&C 伺服器,而這也讓這類殭屍網路更加難纏。
延伸閱讀: P2P物聯網殭屍網路興起,使得保護家用路由器與桌機/筆電一樣重要
IoT 殭屍網路惡意程式基礎程式碼
目前我們已發現三套 IoT 殭屍網路惡意程式的基礎程式碼 (codebase),今日多數的 IoT 殭屍網路都是從這些程式碼衍生而來。這三套基礎程式碼之間都有一些共同的特質,我們可藉此觀察 IoT 殭屍網路的實際樣貌以及它們的運作方式。由於它們都是開放原始碼惡意程式,所以至今已衍生出非常多的變種,而這些變種就構成了今日的 IoT 殭屍網路版圖。
5G企業專網更需要加強資安防護
5G 技術的擴展性、速度和連接性為企業帶來了無數好處。但這些特性也會在惡意威脅入侵系統時放大所造成的損害。對使用5G 專網的企業來說,安全性應該是首要的關注重點。
正如常被引用的《蜘蛛人》(Spider-Man)電影台詞:「能力越大,責任越大」(With great power comes great responsibility.)。這句話也可以應用在資訊安全上:當一項技術的規模和「能力」越大,防護其安全的責任就越重和越必要。
防護 5G企業專網就是如此。5G 技術的擴展性、速度和連接性為企業帶來了無數好處。但這些特性也會在惡意威脅入侵系統時放大所造成的損害。這些威脅可能導致大規模的分散式阻斷服務攻擊 (DDoS)攻擊、服務劫持、隱私入侵,甚至導致工廠運作完全停擺。
與普遍的看法相反,5G 企業專網並無法倖免於惡意威脅。我們在最近的研究中檢視了可能影響 5G 核心網路的威脅。
因此對使用 5G 專網的企業來說,安全性應該是首要的關注重點。這可以透過對 5G 服務平台及其整合的其他技術、整個企業網路和用 5G 連接的元素建立點對點安全防護來解決。
繼續閱讀