5G巨量連接能力將促使IoT裝置更蓬勃發展,隨之帶來資安風險相對提高,資策會資安科技研究所所長毛敬豪指出,5G資安是「垂直整合的資安」,IoT裝置也需要打造一條乾淨的供應鏈
風起雲湧的5G帶來巨量連接能力,為快速激增的物聯網(IoT)裝置提供了進一步的成長條件。資策會資安科技研究所所長毛敬豪(圖1)認為,5G時代下的IoT資安風險是量級(Scale)問題,大量且多樣化的IoT裝置會被應用在各種關鍵場域,必須自始便全程降低IoT的資安風險。因此他指出,5G資安是「垂直整合的資安」,IoT裝置也需要打造一條乾淨的供應鏈,資策會資安所致力引進的IEC 62443工控資安標準,便是確保IoT裝置在開發過程落實資安檢測,來降低資安威脅。
自從2016年爆發數十萬台IP攝影機、監視器、路由器等IoT裝置遭惡意軟體Mirai感染,被駭客利用轉為殭屍網路(Botnet)的火力來發動DDoS攻擊,IoT裝置安全性逐漸受到重視。
毛敬豪指出,降低IoT資安風險最重要的是乾淨供應鏈,過去IoT裝置檢測只鎖定在作業系統和應用層,近年來則開始重視晶片的溯源,也就是揭露晶片的製造商,以及晶片內使用的函式庫(Library)經過哪些IC設計公司等資訊,以便確保晶片內所有的函式庫都是乾淨的。這是最難處理的部分,也是技術須突破的重點。
現今物聯網惡意程式已經是跨平台,一個惡意程式編譯完大概10幾個平台都可以跑。隨著5G發展,未來IoT邊緣(Edge)裝置可能面臨更巨量的網路攻擊,影響程度更劇烈。毛敬豪指出,輕量化嵌入系統的IoT裝置難以安裝代理程式(Agent)或防毒軟體來抵擋威脅,因此透過網路偵測與回應(Network Detection and Response, NDR)系統來防禦更為重要,將扮演未來IoT裝置主要資安防護角色。
除了邊緣裝置的安全問題日益嚴重外,基礎設施的資安挑戰也不容忽視。毛敬豪進一步分析,5G背後的基礎設施就是迷你版的資料中心(Data Center),全部都是虛擬化,因此API的資安就非常重要;再者,每個微服務作業系統(OS)的合規性(Compliance)要如何管理也是一大問題;第三則是要確保雲的可用性(Availability),不能讓駭客攻入時癱瘓效能。另一方面,5G網路正朝向開放式架構發展,資訊安全亦將是必須面對的重要課題。
為協助台灣業者克服物聯網安全設計挑戰,資安所除已開始協助晶片商導入韌體層次或晶片等級的檢測工具,並設法將檢測工具白牌化,以進一步降低檢測成本外,更積極將工控安全標準IEC 62443引進台灣,同時爭取成為IEC 62443認證實驗室,讓台灣ICT廠商能開發符合國際標準的產品,且毋須至國外認證,省下可觀的金錢與時間成本,快速搶進國外市場。