物联网网安时代 提升监识能力当务之急

2016/11/14 - DIGITIMES企划

由于黑客藉由入侵所得到的利益愈来愈惊人，依据「Some hackers make more than 80,000 a month —here’s how」调查，目前透过地下网络黑色产业链方式，黑客也能月入8万美元，导致黑客活动日益猖獗，也让网安问题带给企业损失的问题日趋严重。

依据2016年世界经济论坛的全球风险报告内容所述，每年因网络犯罪所造成的经济损失超过4,450亿美元(约合新台币14万亿4,358亿元)。根据Gartner报告指出，2015年全球信息安全支出将达754亿美元，年成长4.7%，支出的成长动力主要来自政府专案、更多法律制定及多起重大数据外泄事件，可见数码化企业正逐渐影响人们对网安技术的兴趣，尤其是云端、移动运算以及物联网。

物联网时代带来网安新威胁

随着智能装置与通讯网络的技术成长，电脑再也不是连接网际网络的唯一方式，物联网(Internet of Things；IoT)已经融入在各种制造或服务的代理中，举凡金融、交通、医疗等各种应用领域，都会用到物联网技术，如IP摄影机、传感器等，许多调查机构如Gartner、IDC及BI Intelligence等都预估，未来3年间的物联网装置数量，将达到150亿个至250亿个之间。等于平均每天有超过550万物件，持续接轨物联网。

但由于物联网设备的通信传输与身份认证，相较于一般电脑比较简单，原本就很容易成为黑客攻击的目标。如有一种被称作「物联网破坏者」的Mirai病毒，当它扫描到一个物联网设备(比如网络摄影机、智能开关等)后，就会尝试使用默认口令进行登入，一旦登入成功，这台物联网设备就会被黑客操控攻击其他网络设备。

就在2016年10月，黑客使用Mirai病毒控制了美国大量的IP摄影机和相关的DVR摄影机后，再用这些设备攻击美国的多个知名网站，根据国外网站 KerbsonSecurity的调查，一共有超过百万台物联网设备参与了此次DDoS攻击，包括Twitter、Paypal、Spotify等，也导致这些网站被迫中断服务，超过半数人无法上网。

虽然目前的物联网病毒的攻击手法通常比较单纯，主要是在异质平台不断的散布恶意程序来进行DDoS攻击，但只要能造成网站服务中断，依然可以造成相当程度的破坏，未来随着物联网功能更为复杂，智能自动化的能力也变得更强时，等于也代表物联网病毒的破坏力也会更强，相关业者不可不慎。

物联网网安时代  AI重要性更高

物联网的组成，可以简单的区分为终端装置(End-device)、通讯媒介(Network Media)及后端系统(Backend System)三大部分，再透过网络来交换彼此的数据，如何将散布在不同部分的漏洞关连起来，是物联网网安防护的关键。

趋势科技指出，黑客可能对物联网进行的攻击，包括：

监听攻击：这种攻击会用到监听程序(sniffer)，窃听任何透过网络传送的未加密信息再加以窃取；阻断服务攻击：网络犯罪分子利用这种攻击来封锁或阻慢对某些网络或设备的使用。

金钥沦陷攻击：在此类攻击中，用来加密通讯的金钥被窃，被用于解译加密过的数据；基于口令的攻击：网络犯罪分子利用这类攻击来入侵网络或连到特定网络的设备。主要是经由猜测或窃取口令；中间人攻击：在此种攻击中，第三者会窃走双方或设备间传输的数据。

趋势科技建议IT人员，一定要启用物联网设备上所有的安全功能，并且要定期更新产品韧体，同时更要不断的研究物联网设备是否能够正确地加密其韧体更新和网络通讯。因为物联网设备即使宣称具备加密能力，仍有可能加密不当或不完全，管理人员务必要查找设备型号，以确认是否存在任何历史性安全问题。

最重要的是，一定要使用安全的口令，才能阻挡Mirai之类的病毒攻击。IT人员更要了解物联网设备制造商，如何管理他们的设备漏洞，如根据安全公司的数据显示，发生在2016年10月底在美国的Mirai病毒DDoS攻击事件中，被黑客控制的设备，主要是来自于大陆雄迈(XiongMai)科技生产的设备，可见雄迈设备的漏洞，已经被恶意份子和网络犯罪分子所掌握，IT人员必须要与制造商共同合作，如何解决网安问题，才能免于遭受此种威胁或是暴露在进一步的风险中。

但物联网设备的数量庞大，且可能安装在各种环境中，IT人员如果要靠人工一一管理，恐怕力有未逮。因此使用人工智能(AI)或是机器学习(Machine Learning)来做网安情资分析技术，在未来的物联网网安防护将会愈来愈重要，如深度学习(Deep Learning)会自动寻找对应的功能，查找适当的特徵空间，或是透过Graph mining(图形挖掘)，帮助IT人员建立恶意程序感染过程的关联图。

整体性持续防御比预防攻击更重要

事实上，随着企业内部的信息环境日趋复杂，想要阻挡黑客攻击的难度也愈来愈高。以发生在2016年7月的一银ATM盗领事件为例，推测黑客早在数个月前，就先透过钓鱼邮件，进行社交工程利用一银海外分行的PC入侵内网，再骇入电话录音服务器，暗中窃取内网管理者帐密。

同时暗中蒐集入侵ATM的情报，包括观察ATM派送方式和实体位置，并窃取配送系统管理者帐密，然后伪装合法更新，上传黑客特制的DMS更新档，将ATM主机Telnet服务从手动变更为自动启用，开启线上连线端口，最后植入ATM控制木马线上遥控一银北中两地的41台ATM，盗领8,327万多元。

值得注意的是，黑客的入侵过程其实相当复杂，也不太可能一次入侵就成功，但长达数个月的入侵过程，却完全没有警示系统有异常现象，才会让黑客拥有无限次的机会来突破防御。此外，在当前网络环境下，想要完全避免所有的网络攻击，可能性非常低。

Gartner甚至于2014年2月提出「预防无用论」(Perfect prevention is impossible)，表示企业绝对无法成功阻止针对性攻击的入侵。因此企业应永远假设自身正受攻击，设法透过风险管理导向的网安治理，尽可能地降低攻击所带来的冲击与影响，故整体性的持续防御流程(continuous threat protection process)，可能比预防黑客的攻击更重要。

企业务必要认知，在这个与风险共存的时代，网安管理治理议题，已经不再只是IT课题，而是企业经营管理议题，董监事管理阶层务必要有对网安议题孰悉的专家，才能由上而下做好风险管理。

更重要的是，为了能够针对不断进化的安全威胁实时调整，并持续监控风险与强化管理能力，企业一定要定期举办涵盖业务与IT的网安事件紧急应变与攻防演练，而不是采购设备之后，就以为高枕无忧，最后更要建立还原真相与诉讼支持的数码监识能力，即使黑客成功入侵，也能将损害降至最低，同时避免更进一步的入侵事件发生。


图说：2016年10月，黑客使用Mirai病毒控制了美国大量的IP摄影机和相关的DVR摄影机后，再用这些设备攻击美国的多个知名网站，一共有超过百万台物联网设备参与了此次DDoS 攻击，包括Twitter、Paypal、Spotify等，也导致这些网站被迫中断服务，超过半数人无法上网。(SecuDemy.com)