物联网网安防护将是未来趋势

2016/11/14 - DIGITIMES企划

网安议题层出不穷，就在10月底又有黑客透过DDoS攻击，瘫痪美国的重要企业。但这一次被攻击的对象，并非一般常见的电脑主机，而是IP摄影机和相关的DVR摄影机，资策会网安科技研究所组长毛敬豪指出，在物联网技术应用已经日渐普及的今天，物联网的网安议题也已浮上台面，需要大家的关注。

据了解，黑客们是使用了一种被称作「物联网破坏者」的MIRAI病毒，这是一种会通过互联网搜索物联网设备的病毒，当它扫描到一个物联网设备(如网络摄影机、智能开关等)，就会尝试使用默认口令进行登入，一旦登入成功，这台物联网设备就会被黑客操控，攻击其他网络设备。

毛敬豪指出，物联网病毒的攻击手法通常比较单纯，主要的方式就是在异质平台不断的散布恶意程序，原因与物联网设备的认证比较简单有关。尤其在2015年11月的法国巴黎恐怖攻击事件后，欧洲各国开始大规模布建IP摄影机，但由于这些IP摄影机，后来被发现有两个漏洞，让物联网病毒有机可趁，因此被恶意程序入侵。

类似的入侵方式，也可能会出现在其他使用物联网技术的领域，毛敬豪以医院内网为例，很多人都以为很安全，但在智能医疗应用日渐普及的今天，许多医疗设备其实也有可能成为恶意程序攻击的目标。

毛敬豪指出，物联网网安防护的关键，在于如何将散布在不同媒体的漏洞关连起来，其中用人工智能(AI)来做网安情资分析的新创公司越来越多，更可发现机器学习(Machine Learning)在未来的物联网网安防护所扮演的角色将会愈来愈重要，如深度学习(Deep Learning)会自动寻找对应的功能，查找适当的特徵空间。

Graph mining(图形挖掘)则是可以帮助IT人员建立恶意程序感染过程的关联图。毛敬豪表示，由于恶意程序打入内网后，往往会从意想不到的来源打进去，必须要建立关联图，将整个事件的时间轴(生命周期)建立起来，再萃取出情资进行漏洞修补或执行其他防范手段。

毛敬豪指出，虽然大多数的网安防护信息都是针对网页为主，但目前也已有针对物联网已有资源、情资及证据的提供管道，尤其是社群网站，往往可以提供更多的相关帮助，如IBM也已开始用外部的非结构数据及内部情资来找恶意程序。

如透过Twitter串联讨论，先找到专家及相关内容，再由社群反应，评估漏洞是否会出问题，再研究要先阻挡那些漏洞。毛敬豪表示，马里兰大学研究发现，先看到漏洞，再比较Twitter的讨论，就可透过这些情资，判断这个漏洞是否有可能会爆发，而形成网安事件。

此外，由于物链网设备所存在的弱点，很可能会有很长一段时间不会被发现，从被发现到被捕捉的时间(Zero day attack)要尽量缩短，之后才能进行修补。由于CVE、NVD、vuldb的时间差，彼此都会有关联，可以用来研判漏洞出现时，是否要先做修补。

使用Honeypot来诱捕恶意攻击，也是未来的重要趋势。如日本横滨大学教授吉冈克成(Katsunari Yoshioka)建立的IoTPot专案，可以逆向找出那些设备被攻击；捷克的专案Project Turns到INDIEGOGO募资，居然募到1,145,638美元，可见用诱捕来追踪网安情资会是未来值得观察的趋势。

毛敬豪再以用于移动支付的HCE技术为例指出，恶意程序有可能会将软件凭证抓出来。因此HCE网安防护的重点，首先是移动支付应用程序的安全性，包括确保执行程序的环境安全、确保执行程序正确，防止反组译工程，可用白盒加密，其次是客户端与后端平台需要认证，建议在开发时期，就要导入核心层级的安全防护机制。

毛敬豪最后指出，物联网智能应用的网安挑战在于异质平台，数据分析将是未来网安关键，甚至透过学习黑客攻击手法，了解如何落实网安策略，都会是未来网安议题的关注焦点。


图说：资策会网安科技研究所组长毛敬豪。