資安可以如何做
物聯網裝置是駭客最愛的攻擊目標,預計到了2020年,全球將會有250億個物聯網裝置上線,這些物聯網裝置帶給人們生活上的便利,但也帶來資訊安全上的隱憂。互聯安睿資通技術長何宜霖表示,由於物聯網裝置幾乎是全天候上線,也因為這些裝置的記憶容量有限,不可能安裝防毒軟體,且很少進行更新,導致物聯網裝置成為駭客最愛攻擊目標之一。
做法一、從設備製造源頭開始進行安全檢測
.jpg)
何宜霖表示,物聯網裝置經常為了提供操作上的便利,提供網頁介面來進行操作,因此駭客可以透過瀏覽器的漏洞對物聯網裝置進行攻擊,此外,很多人在安裝了物聯網裝置後,幾乎都採用預設的帳號與密碼,使得駭客要掌控這些物聯網裝置變得易如反掌。此外,物聯網裝置大多採用無線技術傳輸訊號,這也讓駭客可以非接觸式地從空中攔截訊號來加以破解,趁機入侵物聯網系統。
解決物聯網裝置的安全問題,何宜霖建議,可以先從設備製造的源頭做起,在產品的開發階段便做好設備的安全檢測,對產品的韌體做好保護,以避免被駭客破解,在網頁介面、應用程式的安全性上,也要將已知的漏洞補上,此外,使用者在使用產品時,也要有足夠的安全意識,不要使用預設的帳號與密碼,才不會給駭客可趁之機。
做法二、多層次的應用程式白名單技術
目前國際間與台灣本地都發生了工業機台(工控機)與物聯網裝置遭受入侵的事件,導致工廠生產與運作都遭受到重大的損失。工業技術研究院副組長卓傳育博士表示,工控機器設備每天所進行的工作相當固定運作,不同於一般辦公事務的電腦,需要執行各式各樣的應
用程式,物聯網裝置也因為設置後也幾乎是全天候運作,當只要這些設備運作正常,管理者通常不會特別去注意這些裝置是否有所異常或是已經被駭客入侵而無所知,也因為這樣成為駭客下手攻擊的首要目標對象。
傳統的防毒軟體是採用黑名單的概念,也就是發現列在黑名單中的惡意程式被執行,便會加以警示、阻擋,不過,這種作法也代表著惡意程式已經被下載到系統之中,且難免出現漏網之魚,導致系統遭受惡意程式的感染。卓傳育博士表示,由於工控機與物聯網裝置的功能相對單純,因此應該採用應用程式白名單的概念,也就是只有列在白名單中的應用程式才允許被執行,如此一來,就算惡意程式進入了系統,也無法被執行,這樣才能夠從根本上阻止惡意程式的攻擊。卓傳育博士表示,不僅是限制列在白名單中的應用程式才可以被執行,包括程式所進行的系統呼叫、控制流程,都需要按照規範來走,這種多層次的應用程式白名單技術,才能主動地做好OT設備的資安環境安全。
做法三、晶片加密技術的聯網安全
想要在產品的開發階段做好資訊安全工作,可以嘗試從晶片加密開始做起,國內提供晶片加密方案的尚承科技執行長賴育承博士表示,資訊安全是開發物聯網裝置的首要工作,隨著歐盟GDPR的推動,若因為物聯網裝置的疏漏,導致消費者的隱私資料被洩漏,產品開發商便需要負起相關的責任。
賴育承博士表示,尚承科技推出的PiLock晶片加密技術,能夠在產品的開發階段保護韌體的安全,對晶片韌體進行加密,使其在生產製造的過程中不被破解,保護企業的智慧財產,企業也僅需要短短的時間,做好韌體加密保護工作。此外,尚承科技提供的PiCloud服務,亦可以協助廠商在物聯網裝置的生命週期間,無論是韌體保護、韌體更新、晶片製造、產品交付的過程,都能夠做好安全防護工作,一方面保護廠家的智慧財產,也可避免產品被駭客破解注入惡意程式。