過去五年來,物聯網(IoT)已在各行業廣泛應用,但其安全性是否同步提升?資安專家們指出,雖然有所進展,但改善速度仍然不夠快。
根本問題依然存在
儘管組織越來越依賴 IoT 設備和應用程式來提升營運效率或降低成本,這些技術本質上仍存在資安缺陷。IoT 實現了萬物互聯,同時也使大量資料暴露於網際網路。更令人擔憂的是,許多 IoT 設備缺乏便於修補弱點的更新機制,有些甚至無法提醒使用者需要進行更新。
製造商常以簡易的預設密碼出貨設備,例如「admin/admin」,但許多用戶不知道需要重設這些密碼來強化資安防護。隨著攻擊者在物聯網領域的手法越來越精進,這個問題變得更加嚴重。
攻擊與防禦之間的拉鋸
2018 年,美國加州立法推動提升連網裝置的安全性,強制製造商採用更獨特的預設密碼。runZero 資安研究副總裁 Tod Beardsley 表示,這項法案為物聯網安全帶來進展,但後續改善仍然有限。
科技產業面臨的一個共同挑戰是在強化資安防護與維持良好使用者體驗之間取得平衡。Beardsley 指出,製造商和供應商擔憂過於嚴格的安全措施可能會降低裝置的易用性。
Beardsley 提到,DEF CON 資安會議中觀察到物聯網安全主題館明顯擴大,顯示人們對此議題的關注度提高。他認為,過去五年來,變化主要集中在攻擊方與研究領域,而防禦方面則幾乎維持原狀。由於成本因素,製造商的改變通常較為緩慢,但物聯網的研究與公眾意識卻持續增長。
新進廠商成為隱憂
儘管問題意識日益提升,製造商仍需採取更積極的行動。目前物聯網資安防護透過更有效的實務做法已有所進步,但資安專家 Beau Woods警告,市場上的新進企業可能阻礙這種發展。
隨著從新創公司到資金充裕的大型組織紛紛投入物聯網市場,一個令人憂慮的問題是:這些新公司常常未能汲取過去的教訓。Woods 指出,現
階段很難評估物聯網安全是否確實進步。一方面安全措施在改善,但另一方面,設備供應商大量湧入、程式碼基礎急速擴張,加上連網程度持續攀升,這些因素都讓攻擊風險隨之增加。
若沒有「外部強制性」要求,這些安全問題將持續存在。政策導向的解決方案,可能是改善整個物聯網生態系統的有效途徑。
從殭屍網路到系統性威脅
2016 年Mirai 殭屍網路癱瘓了 Netflix 和 X 等大型企業的網路服務,成為物聯網資安領域的重大警訊。Veracode 共同創辦人兼資安技術布道師 Chris Wysopal 指出,過去五年來市場已透過新法規應對 Mirai 類型的殭屍網路威脅。
相關文章:新型 Mirai 殭屍網路利用零時差漏洞攻擊知名品牌路由器、智慧家庭設備
英國的「產品安全與電信基礎設施法」於 2024 年生效,禁止使用預設密碼,並要求廠商公開揭露漏洞與更新支援期限。隨著 2024 年 12 月即將實施的歐盟「網路韌性法案」,2024 年後推出的新設備應會有明顯的資安強化。
然而,攻擊者現已不僅利用脆弱的物聯網裝置建立殭屍網路。Wysopal 表示,這些設備如今成為勒索軟體攻擊的入侵點及進行間諜活動的跳板。中國國家級駭客如何利用過時的 SOHO 路由器進行攻擊,就是一個典型例子。隨著越來越多老舊設備持續在網路上運作,設備生命週期結束後的資安問題將變得更為嚴峻。
未來挑戰
物聯網風險已明顯從預設密碼和殭屍網路問題,轉變為系統性的高影響力資安漏洞。
物聯網的資安弱點現已與一般電腦的弱點相似,但風險更高,原因在於物聯網設備通常屬於「設定後即忘」的類型,且難以進行安全性更新。
資安人員必須認知到,物聯網安全不僅是技術問題,更需要產業政策、法規制度與使用者教育的全面配合,才能真正提升整體防護水準。
相關文章:“7777” 殭屍網路鎖定Asus、D-Link、Netgear、Zyxel及其他多牌家用路由器與VPN設備
本文轉載自 DarkReading。