做好防御基本功 不让联网装置沦为黑客禁脔
进入10月份,意谓2017年将近尾声,回顾过去的一年,若从信息安全的角度来看,可说是不太平静的一年,其间不管是证券业与学校遭到DDoS攻击勒索,史上第一只勒索蠕虫WannaCry 的肆虐,乃至近来备受讨论的银行遭骇事件,不论最终所掀起的波澜是大或小,全都带给人们莫大震撼,自知不论在今年或是更长远的未来,各行各业都将无可避免与黑客威胁为伍。
更值得一提的,以现今企业界最流行的辞汇「数码转型」而论,意谓今后有愈来愈多公司导入智能化、人工智能(AI)、物联网(IoT)…等等数码科技,且实际运用于核心的营运流程;因而不难想像,未来联网装置数量必然急速攀升,从而可能衍生许多前所未见的新网安议题,甚至进一步从虚拟世界反噬实体安全,任何产业、尤其是攸关于关键基础设施的拥有者,万万不可掉以轻心。
IoT装置为今后首要防护标的
台湾云端安全联盟理事长蔡一郎表示,展望即将来临的2018年,确实有不少值得留意的网安议题,首当其冲的便是IoT装置,只因为太多网安威胁皆与此相关。
他进一步指出,IoT是一个蓬勃兴起的热门话题,相关装置的设计初衷,在于契合贴近市场需求,营造亲和便利的使用者体验,至于网安防护,难免被摆在较后面的顺位,因此如果以网安观点来检视这类设备,其架构确实不够严谨,往往只需透过简单的帐号与口令登入,便可获取管理权限,更可怕的是,IoT装置出厂时所缺省的帐号与口令,一直到后续用户真正上网使用,通常丝毫未变。
试想,当大量IoT装置出现在智能家庭应用场域,而人人都习以为常藉由App或网络设备来控制这些装置,可说与生活密不可分,倘若个中的认证机制不安全、甚至存在着高风险,而万一黑客又对这些漏洞知之甚详,那麽可想而知,使用者的隐私信息,都可能任由黑客予取予求。
个人如此,企业亦然。以公司颇为倚重的监控摄影机,过去走的是CCTV类比技术,系统结构相对隔离封闭,如今转向IP Camera,改走网络、Wi-Fi接取,尽管可收部署简易之好处,但也意谓早先的隔离环境不复存在,给予有心窥探他人隐私的人士可乘之机。
蔡一郎说,不少人应该都听过「Network Live IP Video Cameras」这个网站,它会利用一些缺省帐密进行测试,看看是否能取得受测摄影机的控制权,一旦取得,就会透过其网络持续揭露实时画面;截至10月上旬,全台湾有391支摄影机沦为苦主,范围涵盖公共区域、家庭与企业,其中又以后两者的情况最为堪虑,因为不仅牵涉到隐私的侵犯,更有甚者,若画面揭露范畴为生产线、办公室,或是提供诸如水、电或交通运输等关键服务的场所,亦有营业秘密外泄之虞,既伤面子也可能伤了里子,后果不堪设想。
另一方面,假使企业的监控摄影机处于不设防状态,轻易可让外人撷取实时影像画面,也意谓其监控系统必定有脆弱之处,通常是久未更新且漏洞横生,如此一来,就很容易成为黑客的禁脔,遭植入木马,沦为攻击全世界的跳板;以去年底引发一阵骚动的Mirai攻击事件,背后的帮凶便是大量网络摄影机,时至今年,即使不再出现如此惊天动地的大型攻击活动,但零星事件仍屡见不鲜,足见IoT装置安全,确实是不容轻忽的课题。
因应恶意程序,企业需有侦测与隔离对策
如果把IoT装置范围往外延伸,一并纳入诸如手机、平板等使用者端设备,那麽值得忧心的问题就更多了,其中最大的潜在祸患,便出现于App。
持平而论,绝大多数的使用者下载App,都是以满足使用需求为优先考量,通常不会把安全与否视为首要衡量依据,所以在安装过程中不管被要求提供任何权限,常常照单全收,殊不知有若干恶意程序,就这麽潜入移动设备,比起从前黑客必须想方设法突破防毒软件等多道防护关卡才能入侵个人电脑,可说更加容易。
前述现象对于企业来说,称得上一大隐忧。举例来说,不管是外部的访客、协力夥伴,甚或是内部的合法员工,万一他们的个人手持装置当中,安装有恶意App并试图进入企业内网,那麽企业必须扪心自问几件事:第一,有可能在第一时间就识别出这些不安全的装置,继而限制这些装置连结企业网络吗?其次,企业是否针对较为敏感的环境进行隔离,以避免一些已经乘隙潜入的恶意App,有机会辗转碰触到公司的机敏信息?
蔡一郎认为,站在企业网管的角度,现今的确是史上最麻烦的时刻,因为没有办法阻止员工上网、或使用一些有助于促进沟通的软硬件工具,所以假设有人的使用习惯欠佳,或长时在外接触高风险的网络环境、因而感染恶意程序,皆可能让黑客不费吹灰之力直接进入内网,并建立对外沟通的后门管道,从而窃取机密数据或散布勒索病毒,不论结局为何,肯定都不是企业主所乐见;更值得留意的,随着地下经济活动日益成熟,生态体系愈趋完整,对于暗网熟门熟路的人,不见得需要身怀攻击技巧,都可透过比特币的支付,取得恶意软件或散播服务。
面对山雨欲来的安全威胁,特别是伴随IoT装置而来的新议题,企业该如何因应?蔡一郎建议,企业务须从网络架构的设计上做好存取控制,至于可行的实践方式,则包含了实体、虚拟或系统安全角度等不同途径,无论怎麽做,只要能落实网络安全策略即可。
三种途径,落实IoT设备的存取控制
以监控摄影机为例,过去CCTV架构即是一种实体隔离的型态,如今走向IP化,也可采取类似做法,即是透过独立设备来串联这些摄影机,管理者必须在特定场合、借助专门设备,才能调阅监视画面。有别于前述的实体隔离,另一种隔离做法则偏向虚拟型式,意即透过特定虚拟网段的切割,作为摄影机的部署点,而不管是虚拟或实体隔离,目的只有一个,即是不让外界有心人士可以随随便便接触或操控这些摄影机。
除了隔离手段外,企业亦可从系统安全的角度,补强摄影机、甚或NAS等IoT装置的防御罩门,最根本的做法,便是绝不使用缺省的帐号与口令。
台湾使用缺省帐密普遍 凸显网安防护观念薄弱
也许不少人好奇,变更缺省帐密,乍听之下为理所当然之事,为何此刻仍需要大声疾呼?蔡一郎引用了Shodan.io网站所披露的实时统计数据,凸显此事的急迫性。截至10月上旬,综观台湾采用的网络摄影机、NAS或相关套件,经统计有多达9,470台设备,被证实依然使用譬如admin、1234等缺省帐号或口令,数量位居全球之冠,且是连续4个月维持领先地位,由此可见台湾民众或企业对于IoT安全的防护观念仍旧薄弱,甚至在全球名列后段班,亟待改善的空间相当大。
此外针对勒索软件等恶意App的防护,就基础层面而论,蔡一郎建议优先关闭邮件预览功能,并教育使用者,绝不点击经过加密的附档,避免黑客透过社交工程攻击轻易得逞;若就积极的层面,企业可考虑架设入侵防御系统(IPS)或建立诱补机制,藉以探知究竟何方神圣有意入侵其内部网络,再据此研拟因应对策。