物聯網應用商機相當龐大,無論晶片、軟硬體或雲端業者皆有機會分食這塊大餅,然而,隨著各領域應用發展日益蓬勃,資訊安全問題也開始浮上檯面,再加上GDPR法規催化,不僅為相關業者帶來開發上的挑戰,同時也衍生出各種資安防護商機。
低功耗廣域聯網技術(LPWA)與AIoT風潮,驅動物聯網應用商機加速起飛,但也敲響聯網裝置與應用服務的安全警鐘,如何轉危為安成了所有生態圈業者的必修課題。
有鑑於此,新電子科技雜誌、新通訊元件雜誌及網管人雜誌首度攜手合作,於2018年12月中旬共同舉辦專門探討物聯網安全技術與防禦對策的科技盛會--「眺望2019 物聯網安全高峰論壇」,並邀請到長期投入物聯網技術研發的資策會智慧系統研究所,以及致力推動台灣產業標準走向國際化的台灣資通產業標準協會(TAICS)共同協辦;此外,趨勢科技、Micro Focus、恩智浦(NXP)半導體、優力國際安全認證(UL)、Aruba、Citrix、銓安智慧科技(IKV),以及合勤科技等業界專家,也與會分享最新資安技術與防護對策,吸引近三百位產業人士到場參加。
物聯網安全更受重視 有挑戰也有機會
資策會智慧系統研究所所長馮明惠(圖1)在致詞時表示,隨著資通訊科技的普及,萬物聯網的時代已然來臨,人們所使用的聯網裝置已愈來愈多,包括電腦、手機,甚至眼鏡、衣服、鞋子等穿戴物品未來都會聯網,而這些又將形成新的資通訊基礎建設,進而帶動新的服務、市場與商機。市場研究單位預估,到2021年全球的聯網裝置將達到數十億,甚至數兆規模,相當可觀。而當聯網裝置愈來愈多,安全議題就必須更加重視;另一方面,透過新的資通訊基礎建設,也可以帶動新的安全或安控的服務。
馮明惠進一步指出,資策會智慧系統研究所在經濟部技術處的支持下,近兩年積極投入窄頻物聯網(NB-IoT)技術的研究與發展,這是一種介於4G與5G之間的電信等級物聯網技術,具有低功耗、長距離、覆蓋廣、可靠度高等優勢特性,而該單位在發展這項技術的同時,也很重視在此技術之上的安全問題,希望能協助產業界將物聯網的基礎建設架構起來,引領、帶動萬物聯網的商機與市場。
事實上,隨著各種消費性與商用物聯網產品服務不斷推出,駭客攻擊事件也愈來愈猖獗,對於相關業者而言,維護物聯網安全已成為迫切的要務。台灣資通產業標準協會技術管理委員會召集人陳逸萍(圖2)指出,各種資安意外的新聞陸續出現,各大企業在資安防護上的預算也將逐漸提高,預計到2021年,全球企業在資訊安全防護上的投資將比2017年增長28%。
陳逸萍也提到,物聯網架構分為感知層、平台層與網路層,涉及範圍相當廣泛,因此資訊安全也將會是涉及晶片、系統與應用,到雲端,每一個環節都必須考量到,資安防護必須整個生態系的廠商共同維護,因而衍生出的商機也將相當龐大。
掌握資安漏洞/攻擊手法 避免因小失大
物聯網話題正熱,如今任何設備都標榜可以連上網路。Aruba(HPE子公司)資深技術經理王傑鋒表示,當今無論是智慧家庭、智慧辦公室的應用中,都在驅動著我們的環境導入越來越多的聯網攝影機、感測器,而所有聯網的設備也都將成為資安的威脅所在,任何聯網設備都可能成為駭客入侵的目標。
Citrix技術顧問張晉瑞指出,多年前就有資安專家提出,每個連網裝置平均約有25個漏洞,最大問題是傳輸未加密保存、不安全的操作介面、身份認證機制不夠嚴謹,才被駭客組織利用成為跳板,進而感染更高商業價值利益的系統。
此外,2018年5月,歐盟的GDPR法規上路亦是推升物聯網資安熱度的重要大事。以台灣業者來看,只要有處理到或保存歐盟居民的個資便須要符合GDPR的規定;否則公司將受到全球營業額2%~4%不等的罰款。
在此趨勢之下,恩智浦(NXP)半導體市場行銷經理蘇士維認為,物聯網應用產品的數據資料必須達到完整性、真實性、可用性以及保密性等四項要求,才能確保資訊安全。
趨勢科技先進應用市場開發部資深經理鄭朱弘毅則透露,趨勢科技目前已投入自駕車、智慧家庭與工業4.0等三大物聯網應用領域。其中,工業物聯網應用領域跨界資訊科技(IT)與營運科技(OT),所以其中的資安部署更顯重要;在該應用領域中,分層式的資安部署依然是目前的主流趨勢。
資策會智慧系統研究所正工程師林奕廷指出,不同的物聯網場域會使用到不同的安全技術,以NB-IoT為例,在該技術的資料傳輸程序中,各有不同的風險,因此必須符合不同的安全機制,必須根據該技術的資料傳輸步驟一一拆解並符合標準,才能確保物聯網終端產品資料傳輸的安全。
至於駭客攻擊的方式有許多種,詮安智慧科技(IKV)總經理鄭嘉信分析,在眾多攻擊方式之中,最有效的大量攻擊方式就是實體攻擊。也就是透過設備的訊號、實體的晶片取得資訊。在硬體設備之中,處理器、非揮發性記憶體都是容易受到攻擊的元件。也正因如此,透過純軟體的方式其實並不能夠保護所有的資訊安全,也必須同時透過硬體的形式來加強保護。
合勤科技(Zyxel)台灣暨香港區營運總部資深經理薄榮鋼則提到,由企業內部的IT與OT架構來看,皆存在著不少網路資安弱點。在IT層面,可能有邊界弱點攻擊;在OT層面,則包含了偽造登入身分、遠端登入攻擊與實體登入攻擊。要如何貫穿IT與OT,並把相關的資安概念落實到應用方案中是最大的考驗。他強調,欲對抗現代已知或未知型惡意程式,甚至是針對性的攻擊活動,打造零信任網路已是全球發展趨勢。
從研發到上市 安全性檢測/認證不容輕忽
Micro Focus企業資訊安全資深技術顧問李柏厚指出,很多人認為維護物聯網安全就如同在建置網路設備一般,必須不斷加裝各種安全設備;結果在採購多樣設備之後發現資安問題還是發生了。因此,重點應該在於必須回頭去看各項產品的安全性檢測是否完善。如果有一個資訊安全標準驗證可以遵循,便不需要在設備採購上耗費多餘的心力。
優力國際安全認證(UL)身分識別管理安全部業務發展經理薛正分享,物聯網設備安全與終端消費者的安全有很大的關係,其中最受到關注的設備為智慧音箱、IP Cam以及智慧手表。物聯網設備所涉及到的層面也相當廣泛,更會由於駭客攻擊的手法每天都在進步,因此設備的弱點將一直不斷被發掘出來,也許這個月通過了相關的安全規範,下個月便已不再適用。這是物聯網安規與傳統安規認證之間最大的差異。
總結來說,物聯網已成了各行各業當前重要的發展主軸,其引發的資安危機已使各界高度關注,唯有深入掌握各種駭客手法與防禦技術,才能克服相關挑戰,創造最大獲利契機。