新聞

多面向資安防護 打造IoT安全織網

2018 / 11 / 22
編輯部
多面向資安防護 打造IoT安全織網

IoT改變了企業的經營模式,但也為網路安全帶來隱憂。在創新服務之前,應有更堅強的安全機制作為後盾,而這有賴於多面向的防護部署與即時反應,才能保護日漸擴大的網路威脅。

大前研一在《科技4.0》一書中提到:「科技4.0時代,網際網路無所不在,不只連結人與人,也連結人與物、物與物;由萬物聯網而生的『串聯經濟』,將進一步改變全球的商業模式。」企業面臨這一波數位化浪潮,紛紛將商業經營架構導入數位化,以提升整個生產過程與營運價值。然而,市場的改變也引發了新型態的資安危機,資訊安全成為數位轉型的重要關鍵。

以製造業來說,OT(操作科技)與IT(資訊科技)的融合是影響企業數位轉型的主要因素,但大部分企業在積極整合兩者時,卻未審慎思考如何將OT的網路架構納入IT管理平台中;封閉式網路的OT遇上開放性的IT,機台IT化將帶來過去不曾出現的安全弱點,而OT的環境又不像IT有太多各式元件裝置存在,無法以單一系統有效解決,勢必需要用不同方式交叉防護。

建構安全堅固的IoT環境
防特網(Fortinet)公司技術總監吳章銘表示,過去的攻擊是無所不能,現在的攻擊則是無所不在。在過去整個資安發展史中,最早是電腦防毒軟體與公司防火牆,只需完善兩者的防護;後來有不同的入侵偵測、滲透測試、病毒變種等,整合性的UTM(Unified Threat Management,統一威脅管理)便應運而生;第三個階段為現在的BYOD(Bring Your Own Device,自帶設備)與IoT及雲端服務(Cloud Service)。企業實施BYOD政策,讓員工可透過個人行動裝置收發公司email、連入公司內部系統以提升工作效率,但也讓行動裝置的安全性浮上檯面,成為企業資訊安全與設備管控的兩難。而IoT裝置如網路攝影機、無人機、無人車、智慧電表等,不像個人設備(smart device)還可以透過鍵盤輸入(input)、螢幕端輸出(output),每個IoT裝置都有可能在防護網上鑿出一個大洞。 

如何建立安全堅固的IoT環境應從多面向考量,像棉線織網愈密愈好。吳章銘建議可以從下列幾點著手:
1. 有線與無線存取安全(Secure Wired and Wireless Access):針對有線與無線網路所介接的交換器或AP(Access Point,無線網路基地台)就要開始建立防護,打造安全閘道的管理能力,而不是進到資料中心(Data Center)防火牆才來做安全防護。與其讓駭客走到家門口攻擊,還不如有效防止任何未獲授權者連線的機會。

2. 隔離與加密(Segmentation and Encrypted Communication):在作業環境中適當設置防火牆進行隔離,可阻絕不必要的網路流量或病毒利用內網橫向擴散感染;甚至可在電信網路中將端點與端點之間做加密,避免傳輸過程中發生資料竄改與洩漏等情事。把觸角進一步延伸至IoT設備或個人電腦設備,感染時便能降低入侵者擴散到其他裝置的可能,並透過資料加密技術確保其安全性。

3. 角色存取控制(Role-Based Access Control):當進入系統環境連接特定的主機進行操作或檢視、擷取相關資料時,使用者身分為何?是使用電腦或手機平板?在會議室、辦公室或自己家中?於何時做了什麼樣的應用、存取什麼資料?等皆要有相對應的安全控管。因此會關係到人員身分、所用設備、地點、時間、存取應用或資源等五個因素,針對其角色賦予存取權限。

4. 漏洞修補(Vulnerability & Patch):由於大部分的資訊安全技術建立在已知的病毒與攻擊手法上,難以在現有防護策略上即時發揮遏阻效果,需有一中央單位負責收集所有情資。今年1月正式運作的國家資安資訊分享與分析中心(N-ISAC),即是透過跨領域的資安資訊分享,提升情資分享的即時性、正確性及完整性,才能達到更好的資安預警防護。另外如Fortinet所代理的FortiGuard威脅情資雲端服務(Threat Intelligence Service),便擷取全球的資安威脅情報,於雲端即時更新、分析病毒或攻擊活動趨勢,提供用戶預防或修復方法。

智慧化前,先做好聯網安全
現今各國都在朝向智慧城市的目標邁進,政府亦積極建置智慧三表(電表、水表、瓦斯表)、智慧路燈等裝置,這些智慧化的設計與建設立意良好,但在實行相關的智慧化政策之前,是否有先思考過聯網的相關安全防護機制?

影像監控系統可說是目前大量聯網的智慧化IoT裝置之一,從資安廠商的角度來看,吳章銘認為想要確保監控系統的聯網安全,須做到以下三點:
(1) 可視性(Visibility):包含攝影機目前所在位置、各種不同攝影機的設備類別、操作系統、操作版本及IP位址為何等,都要清楚掌握。
(2) 分析(Analysis):分析每一個聯網設備的行為與流量,對於行為與流量產生安全的風險進行比對,若產生資安風險,則透過告警通知,封鎖與更新所有防火強設備的特徵庫來進行全面性的防護。
(3) 行動(Action):依據分析結果而有相應的防護動作,如此方能確保影像監控系統具備一定程度的安全性。

然而,監控系統畢竟只是IoT的其中一環,在「智慧化前,安全先行」的原則下,吳章銘歸納出五個保護層級,可由最底層逐一往上檢驗:
(1) Protect Air:先保護空氣,像是WiFi、Bluetooth、ZigBee等無線通訊,尤其在公眾場所使用免費WiFi易遭有心人士竊取個人資料。
(2) Protect Network:網路防護須做設備的驗證,避免未授權設備私自接入單位內部網路。
(3) Protect Data:大量個人化數據被記錄在穿戴式裝置或手機上,在數據傳送的過程中進行加密,能防堵資訊外洩的問題。
(4) Protect Resource:企業有許多的應用程式伺服器(Application Server)及資料庫,須建立防火牆加以保護。
(5) Protect Business:企業的商業流程要符合業界的相關標準規範,例如與支付有關的金融業須遵循PCI(Payment Card Industry Data Security Standard,支付卡產業安全標準)規範,醫療業則遵循HIPAA(Health Insurance Portability and Accountability Act,健康保險隱私及責任法案)等。

結語
IoT與Cloud的蓬勃發展改變了人們的溝通方式,扭轉過去傳統的商業獲利模式,但也開啟了新形態的資安威脅。隨著大量聯網裝置部署,IoT的資安事件未來必會不斷發生,企業在發展各項智慧應用時,除技術的升級轉型之外,資安風險的評估與多面向的防護方式更應列入規劃重點,才能因應日益嚴峻的資安挑戰。

**************************************************************************
Fortinet於2000年成立於美國加州,在北美、歐洲、亞洲均設有分公司,為網路安全解決方案領導廠商,在台灣市占率超過九成。相較於其他外商多將RD部門集中在總部,Fortinet台灣分公司卻擁有100多名RD人員,可針對台灣提供在地化服務為其最大優勢。

Fortinet有感於現今日益錯縱複雜的網路環境,提出「安全織網( Security Fabric)」的架構,將資安管理擴大至整個生態系,從網路、終端設備、Web防火牆、收發email、APT先進威脅防護、雲端、分析管理平台以及與合作伙伴的API對接整合等8個面向來保護企業網路,不只可以為網路、端點、應用程式、資料中心、雲端和存取提供安全防護,甚至可整合第三方解決方案,從物聯網到雲端,協助企業執行更佳的自動化安全防護,保護逐漸增長的網路威脅。更進一步細分,便是聚焦於OT的安全防護、內網安全防火牆(ISFW,Internal Segementation Firewall)以及Cloud,並以此架構作為2018~2019年市場發展的重點策略。