資訊安全 物聯網 IoT 資安

資安攻擊事件頻傳 物聯網安全防護湧現商機

2019-03-05
隨著物聯網進入工業與家庭應用的各個層面,資訊安全也成為重要的議題。近幾年,物聯網資安攻擊事件頻傳,帶來的威脅也不斷增加,卻也因而帶動物聯網安全防護的市場商機。

當物聯網開始進入到交通、家庭、工業等應用後,物聯網的資訊安全愈來愈重要。根據IoT Analystics估計,全球物聯網資訊安全市場規模在2017年可達7.03億美元,2022年則達43.89億美元,年複合成長率高達44%(圖1)。探究其市場驅動力主要有二:物聯網資安威脅增加及物聯網資安攻擊頻傳。

圖1  全球物聯網資安市場規模
資料來源:IoT Analystics,資策會MIC整理(10/2018)

物聯網資安發展快速是因物聯網應用深入到汽車、工業控制、家庭自動化等環境中,讓相關感測、控制設備暴露在危險的數位網路環境之中,資安威脅也隨之增加。具體而言,物聯網資安威脅主要包括:

1. 更多接觸點的暴露:物聯網應用使得載具、應用程式、系統及使用者等多個接觸點暴露在網路環境中,形成多重風險。

2. 物聯網設備風險:由於物聯網設備的運算能力提高,開始結合多種功能的硬體元件及軟體應用程式,當物聯網設備愈複雜、疊加應用愈多,風險也隨之提高。

3. 資安威脅影響層面擴大:當物聯網深入到重要的應用中,例如:交通號誌、工業控制設備、汽車元件、金融設備等,一旦發生資安攻擊,所衍生的人身安全影響程度也隨之提高。對於資安攻擊者而言,重要物聯網設備更是其覬覦、勒索的對象。

4. 異質系統風險增加:物聯網應用包括物聯網設備、通訊、應用系統等各種異質系統,透過不同網路連結,複雜的異質系統使得專業人員更不容易進行整體防護。此外,物聯網的資安標準及法規仍在發展中,也使得資安攻擊者有機可趁。

物聯網資安攻擊頻傳

自2009年開始,陸續發生許多物聯網資安攻擊事件。2009年,美國FBI指出Puerto Rico地區的一家電力公司,因採用智慧電表而遭到竊電。FBI調查指出嫌犯是該電力公司的離職員工,透過光學轉換裝置,從中攔截智慧電表傳輸信號,進而運用軟體進行修改智慧電表數據。嫌犯向家戶收取300至1,000美元竄改費用,商業用戶則收取3,000美元。

2013年,Foscam無線IP攝影機陸續被入侵,歹徒藉此監視幼兒並與之說話。Foscam公司稱這些攝影機是未上網更新韌體版本而被入侵。2015年,提供孩童電子遊戲產品的香港玩具公司Vtech,其Learning Lodge雲端資料庫被侵入,造成客戶住家地址、Email、相片及下載紀錄被盜。Learning Lodge雲端資料庫是讓孩童透過電子遊戲載具進行下載App、遊戲、電子書、影片及音樂的資料庫所在。Vtech也在2018年被美國政府以洩漏個人隱私權罰款65萬美元。

2015年,芬蘭Valtia公司管理的集合公寓的電熱系統,受到名為Mirai Botnet的殭屍病毒進行分散式服務阻斷攻擊(Distributed Denial-of-Service, DDoS)而無法啟動。Valtia公司緊急啟動手動控制,仍然無法成功,花費一星期才讓系統恢復正常。此外,2016年,台灣第一銀行ATM提款系統,因為倫敦的電話錄音主機被侵入,而被歹徒在各ATM共提取約8,000萬新台幣。

2017年,奧地利知名4星飯店Romantik Seehotel Jägerwirt,被駭客侵入電子鑰匙系統,造成旅客無法進出房門,飯店也無法產生新的數位鑰匙。最後,飯店付出1,500歐元贖金以化解這場危機。

物聯網資安攻擊類型

根據歐盟的分類,物聯網資安攻擊可分為以下數個類型:

1. 停止或服務拒絕:駭客運用分散式服務阻斷攻擊、殭屍病毒、特洛伊木馬、勒索病毒、獲取隱私、修改資訊等作法。主要入侵方式包含從物聯網設備、物聯網雲端系統等侵入。如芬蘭Valtia公司管理的公寓電熱系統被入侵即是這種手法。

2. 竊聽或中間攔截:駭客假扮通訊標的、透過通訊進行資料讀取、不被授權的讀取、內部通訊竊取及假造合法標的等。主要入侵方式包含從物聯網設備、通訊網路等侵入。如Foscam無線IP攝影機被入侵、Vtech Learning Lodge雲端資料庫被入侵即是這種手法。

3. 資源損耗:駭客損耗的作法可以透過中斷網路、中斷載具設備、中斷系統、中斷服務等造成損失。主要入侵方式包含從物聯網設備、通訊網路系統等侵入。如Romantik Seehotel Jägerwirt飯店被駭客停止電子鑰匙系統功能。

4. 環境災害:駭客也可以利用水災、風災、火災等造成目標物聯網系統及網路的毀損等,從中進行勒索。

5. 實體攻擊:駭客可透過對物聯網實體設備的攻擊或資訊修改來威脅受害者。如波多黎各電力公司電表遭駭客入侵,修改設備中的數據。

物聯網資安防護

物聯網牽涉到多種異質系統的整合,使得資安防護更為複雜。其資訊安全的防護範疇可從設備、通訊、雲端等三個體系來看:

1. 設備安全:物聯網設備包括感測器、致動器、微處理器、微控制器、通訊元件等硬體及作業系統、應用程式、儲存資料等。由於物聯網資安的重要性,許多軟硬體廠商協助在設備上增加其安全功能,如晶片認證與安全防護、設備授權與認證等。這也使得物聯網資安加入了晶片廠商、設備廠商等之參與。然而,許多老舊設備無法植入新安全功能成了物聯網資安的一項隱憂。

2. 通訊安全:物聯網通訊組成包含通訊網路、異質網路連結閘道器、通訊協定、網路設備等。物聯網的通訊可能包含有線/無線或者開放/封閉以及不同協定的網路,使得通訊資安保護更顯得複雜。不安全的網路通訊會讓攻擊者從中擷取、進而進行竊聽或造假。物聯網通訊網路的防護包括存取控制、防火牆/入侵偵測、通訊加密等。

3. 雲端安全:許多物聯網應用會連結雲端服務上的應用軟體或服務進行。物聯網應用必須確保雲端服務之應用安全及資料安全等。此外,安全生命週期管理(即整體物聯網體系的資訊安全)也極為重要,包括設備的驅動程式管理、補丁的更新、政策與稽核管理、活動監視及安全地移除軟體等。

由於物聯網資安牽涉諸多體系的整體防護,使得物聯網資安相對傳統電腦資安更為複雜,並更需要軟硬體生態系的合作。

物聯網資安技術

物聯網資安的複雜性及相關標準未成熟,使其成為資訊安全技術與產品發展的新興重點。特別是傳統資訊安全無法保護到的地方,物聯網資安技術與產品補強更顯重要。例如:物聯網設備資產的安全保護、設備產品中的感測器或晶片安全確保、物聯網設備與閘道器溝通的網路保護等。目前物聯網資安有六大熱門技術:

1. 物聯網網路安全:物聯網的網路安全保護相較傳統資訊安全更為困難,原因在於物聯網具備多種通訊協定、工業標準以及各種設備運算能力等,使得傳統的端點保護、病毒防護、防火牆或入侵偵測產品,必須進行功能強化。此外,運算能力不足的物聯網設備,無法載入軟體進行保護,則須仰賴防火牆或網路行為偵測,以補強整體資安防護的弱點。

2. 物聯網設備認證:物聯網設備認證提供使用者認證合法的物聯網設備,包括多人共用相同設備的狀況,如聯網汽車。物聯網設備認證範疇包括靜態密碼、動態雙因子認證、數位憑證及身份辨識等。此外,物聯網設備或感測器之間也可能彼此進行通訊而不透過人為干涉,因此,物與物之間的認證成為物聯網資安的重點。

3. 物聯網資料加密:儲存在物聯網設備中的資料或是傳輸資料過程,都須要進行加密。特別是許多物聯網設備的運算能力不足,無法採用傳統資安的資料加密方式。此外,加密鑰匙的生命週期管理亦相當重要。

4. 物聯網加密鑰匙管理:包含公開鑰匙/私密鑰匙的產生、配送、管理與重申請等,必須妥善處理。特別是許多物聯網設備的硬體規格無法使用公開鑰匙管理,則需要製造商在製造時就把相關數位憑證放入,一旦設備使用時,透過其他軟體進行啟動、認證等。

5. 物聯網安全分析:蒐集、彙整、監視物聯網設備,並產生行動建議、警訊等,是物聯網資安重要的技術方案。許多方案運用機器學習、人工智慧或大數據的技術,進行異常偵測、預測等,以確保物聯網設備的安全。

6. 物聯網API安全:物聯網應用程式介面(API)安全也是重要發展技術領域。原因是物聯網會透過API介面,讓閘道器、應用程式或其他物聯網設備進行資料交換乃至於命令下達。應用程式介面在開發及使用階段,如果沒有進行良好的資安確保動作,有可能會被入侵而被盜取資料甚至下達命令。

雖國際大廠已布局物聯網資安領域,但物聯網之複雜與多樣性,亦提供資安新創公司相當大的發展機會。

物聯網資安應用範疇涵蓋多元的垂直領域,如汽車、醫療、工業、家庭設備等,大廠未必能夠全面布局,從而提供新創廠商發展空間。資安新創廠商可鎖定特定領域,如Karamba Security專注在汽車領域、ASIMILY專注在醫療領域等,並與領域專家、領域設備商進行合作,並由場域資安風險、領域特殊設備特性及領域特殊網路行為等議題,發展相關解決方案,以利商機掌握市場商機。

(本文作者為資策會MIC資深產業分析師)

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!