儘管物聯網應用場域規模大小不盡相同,但多數裝置原始功能較為單純,運算能力亦有其限制,無法承載複雜的資訊安全防護機制,若能搭配雲端平台則將有機會補強,可經由統一介面遠端控管,保障裝置通訊能力,同時增添身分認證機制,防範各式攻擊手法趁虛而入。
隨著物聯網採用雲端平台,相關的安全議題也浮上檯面。工研院資通所資通系統與資料安全組副組長卓傳育觀察,除了持續監看、定期漏洞檢查、及時更新與修補程式等常見的作為,對於IT/OT維運團隊而言,較特別的是雲端平台資安責任為企業與服務供應商共同分擔,採用前須先釐清才得以掌控。他認為可參考2018年歐洲網路與資安機構(ENISA)提出之建議,雲端與物聯網結合後,企業IT/OT管理者可從連接性、分析性、整合性來看待安全挑戰與控管方法,例如網路傳輸通道須加密、邊緣端處理與分析資料的防護等,整體運行環境的設計須建構端到端安全防護。
目前零組件業者供應的物聯網相關方案,通常會提供App控管工具,經過註冊即可啟用,例如恩智浦(NXP)推出EdgeLock 2GO服務平台,部署在公有雲環境,藉此實現連網裝置得以零接觸、安全部署與維運。又如記憶體解決方案廠商華邦電子、微控制器(MCU)製造商新唐科技、物聯網安全軟體開發商青蓮雲,共同攜手發展雲到端解決方案,讓物聯網裝置無論即時線上(OTA)韌體更新、快閃記憶體程式碼儲存,皆能增添安全保障。OEM製造商可藉由具安全認證的軟體及硬體解決方案,減少開發裝置所需耗費的時間,讓產品快速推出市場。
由國內外技術供應商發展的趨勢來看,組成物聯網安全生態系來提供立即可用的方案,市場接受度更高,亦可讓安全措施涵蓋範疇擴及整體應用場域。日前由工研院機械與機電系統研究所建構的「智慧機械雲」平台正式上線營運,可說是特別針對機械產業打造的雲市集,讓過去著重於加工的工廠,逐步增進數位化能力,達到智慧工廠的目標。卓傳育強調,上架到智慧機械雲平台的App,提出申請時皆須提交源碼掃描與弱點檢測報告,經工研院機械所審查通過才可發布到智慧機械雲平台,為企業用戶先行把關安全性。
隨著物聯網應用架構複雜度增加,近幾年的調查顯示,組態配置錯誤逐漸成為資安首要弱點。卓傳育認為,以零信任的思維為核心,為網路、端點、作業系統、應用程式以及機敏資料,建立多層次白名單管控策略,將有助於在不同環節控管資安風險。
卓傳育分享實際開發應用程式白名單的經驗,最主要門檻在於撰寫控管規則,以便在作業系統環境定義可執行的應用程式及通訊連接埠,若能採用合適的工具或技巧來輔助制定白名單策略與規則,甚至是分析應用場域後建立標準行為模式,可讓白名單的制定更加準確。只要改以正面表列白名單,並僅開放最小權限運行,日後即便是遇到未知型病毒發動攻擊,也無法繞過白名單管制,可有效地防範變換莫測的攻擊威脅。