free css templates

強化物聯網裝置管理性
及早因應潛在漏洞攻擊

洪羿漣

在數位轉型的浪潮下,區塊鏈、物聯網(IoT)、人工智慧與機器學習等新興趨勢,幾乎成了各行各業當前重要的發展主軸。台灣身為全球製造重鎮,半導體、晶片設計、連網裝置等具競爭優勢的科技業,正積極地佈局物聯網應用需求,在數位化時代中站穩腳步,而安全性更是其中的關鍵議題。


資策會智慧系統研究所所長馮明惠指出,隨著資通訊技術普及,進入到萬物聯網時代,身上穿戴式連網裝置愈來愈多,衍生出新型態資通訊基礎建設,根據多家市場調查單位預估,發展到2021年會有數百萬甚至上兆台的裝置數量,藉此帶動更多新型態應用模式。

Mobirise

「在經濟部技術處的大力支持下,資策會智慧系統研究所著手發展NB-IoT(窄頻物聯網),創新、非傳統電信規格,卻可沿用於電信環境的技術。優勢是低功耗、長距離、覆蓋率高,相較於其他窄頻連網技術,通訊的可靠度與效能更好。因此我們投入研發NB-IoT,同時也關注應用場域中相關的資安問題,讓萬物連網新世代的應用得以降低風險,發揮真實價值。」馮明惠說。

本土高科技製造正在如火如荼邁向未來物聯網時代之際,2018年台積電全台廠區遭受WannaCry蠕蟲大肆感染,損失超過50億的重大資安事件,讓原本對於資安相關議題仍抱持觀望的台灣高科技製造業改變態度,開始積極正視可能導致營運損失的攻擊威脅。

就整體物聯網應用架構來看,台灣資通產業標準協會(TAICS)技術管理委員會召集人陳逸萍說明,大致區分為感知層、網路層、平台層。在物聯網架構的環境中欲提升資安能力,必須跨領域地串連整個生態鏈共同實踐,不論是晶片、軟體系統、雲端平台,各個環節皆須納入安全性,而非仰賴單一環節來提供保護。 以台灣正在發展中的智慧工廠為例,包含工廠人員、生產設備、資訊串流,以及製程參數交換,基本應建立高風險設備接入與異常無線設備偵測,建立白名單以防範惡意程式執行滲透,進而架構聯防機制,萬一發生資安事故時得以降低災情擴散。


Mobirise

陳逸萍進一步說明,配合行政院國家資通安全會報之「國家資通安全發展方案(106-109年)」與行政院資安處提出之「資安產業發展行動計畫」,研擬相關落實的作法,預計未來每年將推動新增兩項物聯網資安標準,涵蓋範疇包括智慧交通、智慧金融、智慧工廠等七種應用模式。為了實測資安能力,現階段已經建立智慧安防系統CityEyes(新北市警局)、台中智慧製造試營運場域(工研院智機中心)、數位無人分行(互聯安睿)等檢測場域,除了整合應用程式白名單與進行功能性驗證,亦藉由弱點掃描、滲透測試來檢視安全程度。

台灣資通產業標準協會於2015年在經濟部的支持下成立,以評估未來發展趨勢,選定台灣適當領域制定產業標準,進而推廣到國際市場,目前已提出影像監控系統、智慧巴士資通訊系統等資安標準。陳逸萍表示,後續的推廣規畫,則是成立物聯網資安測試實驗室,並通過ISO/IEC 17025國際標準認證,協助產業提升各式連網裝置的資安水準。

本土自主研發NB-IoT基站平台

在物聯網中主要扮演廣域傳輸角色的NB-IoT,為國際電信標準機構3GPP制定的物聯網技術標準,最初從2010年的R10(Release 10)版本標準開始討論機器彼此之間的通訊。資策會智慧系統研究所工程師林奕廷說明,演進到R12版本時,以MTC(Machine-Type Communication)奠定低成本、低傳輸率的形式,當時定義的Cat-0頻寬為1.4MHz。


Mobirise

自R13版開始分成Cat-M1與Cat-NB1,前者為LTE-M又稱eMTC(enhanced Machine Type Communication),維持1.4MHz的頻寬;後者即是NB-IoT(窄頻物聯網),頻寬為200kHz。此後的R14版仍維持兩種不同技術標準,直到2018年6月,3GPP提出R15版本,讓市場上的通訊模組可支援雙模架構。同時也在8月份開始著手制定下一個R16版。

NB-IoT的特性可提供覆蓋範圍(MCL值)是164dB,相較於eMTC的155dB來得更廣。就應用情境來看兩者的區隔,NB-IoT較多被實作在不具移動特性的裝置,例如智慧電表、基礎設施感測等。相對的eMTC則適用於行動化環境。

前述的技術可用於解決5G通訊環境中的機器類型(Machine Type)通訊問題。如今的5G,已不僅是手機連網傳輸,同時也涵蓋eMTC與NB-IoT物聯網應用傳輸,只是5G需要更低延遲率、更高可靠度,才得以部署在智慧工廠、智慧醫院等執行關鍵任務的應用場景。

「由資策會智通所自主研發符合3GPP國際標準的NB-IoT解決方案,可透過NB-IoT基站平台傳送與接收來自農場、魚塭、電表等應用場景中連網裝置所蒐集的監控數據,遞送到後端核心網路及應用伺服器進行即時監控與分析。」林奕廷說。

只是大量部署的NB-IoT環境,須思考如何避免節點被注入偽造訊息;在無線網路環境,還要避免攻擊者利用干擾訊號造成通訊中斷;至於加密機制,雖可增添安全等級但也加重訊令的負載,因此須留意頻繁更新金鑰可能造成的功耗問題。

強化IT與OT協同工作 降低資安盲點  

近年來在各行業持續發酵中的數位轉型,本質上可說是IT演進的結果。趨勢科技先進應用市場開發部資深經理鄭朱弘毅觀察,回顧過去IT的發展歷史,首度發生在網際網路起飛時期,溝通模式從電話、傳真,進化到電子郵件。接下來,則是行動裝置興起後顛覆了人們的生活與工作方法,當時喊出的口號是SoLoMo(Social、Local、Mobile),現階段國際主流的IT企業確實已彰顯出SoLoMo的價值。

如今再次面對數位轉型,則是由物聯網驅動。以感知裝置為起點的物聯網科技,開始蒐集龐大資料量存放在雲端平台,經過歸納分析後產生商業智慧,進而帶動時下最夯的人工智慧應用興起。政府也跟進提出AIoT與ABCDE(AI、Big data、Cloud、open Data、Edge computing)物聯網模式,引領本土產業以新世代應用為方向發展。

物聯網應用情境相當多元,驅動企業邁向數位轉型的動機也不盡相同。例如部分企業產品的原生設計並非為了應用在物聯網環境,若得以稍加改良增添關聯性,則可讓產品更具市場競爭力;抑或是本土製造產業在全球的競爭力逐漸落後於中國,因此對於數位轉型有急迫的需求,藉此贏回市場競爭力。不同物聯網應用發展下所衍生的資安挑戰難以一概而論,當工廠轉型為智慧製造,意味著勢必得具備連網能力,必須打破原本封閉的環境,讓資料得以彼此交換學習與統整分析,才會產生出智慧。

只是對於維運管理團隊而言,恐無法立即銜接上手。畢竟IT管理者原本的職責是基礎架構穩定性與安全性,而廠長被賦予的使命是最大化產能效率、掌握製程準確的數據,原本各自負責的範疇已駕輕就熟,如今開始必須彼此協同工作,可能IT管理者認為廠區的資訊系統需要部署安全控管措施,但產線卻必須24小時不停機的運行,實作上確實有難度。即使有機會部署建置資安措施,卻因此影響產線運行效能,使得防護機制無法發揮效益。因此,轉型過程中,跨部門的協同工作往往會經歷一段時間磨合與調整工作方法。

不久前重創台灣半導體業者的WannaCry蠕蟲,幾乎已成為資安業廣為引用的參考案例。鄭朱弘毅指出,事實上,台灣並非為個案,日前美國波音公司的生產線同樣也遭受WannaCry襲擊。這些產業巨擘接連發生類似資安事故,足以顯見企業資安環境嚴峻程度。駭客組織為了圖謀利益的最大化,勢必處心積慮計算攻擊成本與效益,設法讓相同攻擊手法得以複製到不同場景。 「不論嵌入式系統是Linux或Windows環境,駭客都有能力滲透入侵,更何況企業運行關鍵任務的環境,僅是遭受蠕蟲程式感染的損失金額竟可超過50億台幣。萬一駭客勒索1億台幣,難保不會有企業考慮支付以免鉅額損失。」鄭朱弘毅說。

當然,誰都不願意被駭客組織盯上,紛紛詢問資安業者,盼能找到一站式解決方案。但是鄭朱弘毅強調,資安領域根本不存在一次到位的作法,即便是發展至今已屆30年的趨勢科技也不例外,必須協同各領域的技術供應商共同建構連網環境安全。比如說,連網裝置中的韌體必須建立安全措施,這本就是趨勢科技所擅長,但是對於工廠自動化監控、上下游供應鏈介接控管,則是由該領域的專家來提供,趨勢科技可透過SOC(Security Operation Center)服務,運用進階機器學習技術,以主動地判斷偽裝趨近於正常行為的惡意活動,降低資安風險。