伴隨物聯網(IoT ,Internet of Thing)技術發燒、聯網裝置數量攀升,現今人人皆已身處萬物聯網之應用情境。儘管IoT應用普及度激增,但相關資安防護措施,並未出現同等幅度進化,加上聯網裝置製造商、使用者普遍缺乏防範意識,導致IoT成為駭客攻擊的大好題材。
當前不管是涵蓋眾多子系統的智慧城市,或貼近民眾日常生活的智慧家庭網路、車聯網,都淪於駭客攻擊目標,潛藏著前所未見的風險;譬如向來採取實體隔離的工業網路,都曾在Web連線過程出現破口,導致PLC與SCADA慘遭入侵,甚至感染勒索病毒,釀成巨大災損,突顯IoT確實危機四伏。
建立防禦模型,力抗智慧城市資安危機
不可諱言,容納各式感測器、致動器、異質網路的智慧城市,堪稱最複雜的IoT應用場域,風險指數相對較高,是亟需加強防禦的一環。
趨勢科技資深研究員Philippe Lin說,有不少人利用IFTTT APP自行設定各種服務之間關聯性,智慧城市彷彿是大量IFTTT的集合體,是內含大量系統的複雜系統,可能潛伏許多系統風險。有人認為智慧城市網路有實體隔離措施,縱使駭客入侵,也只能上去看看、製造一些隱私權侵犯話題,不足以做出致命舉動,但事實並非如此。
去年底一場歐洲的工業自動化展,某專家將多廠牌SCADA設備一字排開,眾目睽睽下展開「Gateway to (S)hell」駭人演繹,只見他透過這些設備的Web介面,成功存取Shell、掌握Root權限,此情景若發生在現實世界,後果著實不堪設想。
Philippe Lin指出,趨勢科技已提出智慧城市防禦模型,透過「Sensor的Sensor」嚴謹方式,隨時偵測各種感測器、功能與服務的狀態,以提高城市遭攻擊後的復原能力,另彙整十大要點,幫助政府與承包商共創安全智慧城市,它們包括:執行品質檢驗與滲透測試;建立服務層級協議(SLA);建立縣市政府下轄的電腦緊急應變小組;確保軟體完整性,並定期更新;考量智慧基礎建設的使用年限;時時謹記隱私資料處理規範;通訊管道必須認證、加密且做好管制;準備手動操作備案;設計容錯的系統;及確保基礎服務永續運作。
強化閘道防禦,遏阻駭客入侵家庭網路 繼續閱讀
