骇客锁定IoT装置攻击事件发生的越来越频繁,趋势科技全球消费市场开发协理许育诚也估计,今年下一波可能受到攻击的国家,很可能会是以IoT装置製造为主的国家,如中国和东南亚国家等。「这也印证了IoT装置安全已经到了刻不容缓,急须要被解决的地步。」他说。
高达1.2Tbs流量DDoS攻击、250万个IoT殭尸大军、5亿个IP发动DNS查询请求、全球75家大型影音、社交网站沦陷、近百万台德国电信家用路由器停摆,这些统计数字是去年下半横行全球的殭尸网路Mirai所带来巨大IoT安全风险挑战。趋势科技全球消费市场开发协理许育诚近日在台湾资大会上,也针对了现今越来越严重的IoT装置安全提出了他的解决之道,他认为企业要缓解IoT装置攻击威胁,应先建立IoT安全风险的正确心态。
许育诚表示,去年Mirai僵尸病毒在全球引爆一连串大规模DDoS攻击事件,罪魁祸首就是一大群嵌入Linux作业系统的IoT装置,如IP摄影机、CCTV摄影机、路由器等,作为殭尸网路的兵力。甚至在这之后,他们还进一步发现,IoT装置受骇灾情今年有持续扩大迹象,不少以前较少被大量操控的IoT装置都开始被感染变成傀儡装置的一员,如连网汽车的影音系统、智慧电视、网路储存设备NAS等,甚至这些受IoT装置攻击的国家,不再以美国为主,也开始在波兰、土耳其等地传出灾情。许育诚也估计,今年下一波可能受到攻击的国家,很可能会是以IoT装置製造为主的国家,如中国和东南亚国家等。「这也印证了IoT装置安全已经到了刻不容缓,急须要被解决的地步。」他说。
许育诚指出,当传统的嵌入式装置开始成为连网装置后,也代表着安全开始出现漏洞。他解释,这是因为IoT装置是由多层的不同技术架构而成,IoT装置从最底层到最上层通常包含了感测器、资料处理、资料连接、软体资讯、 智慧应用以及智慧服务,每一层都存在不同程度的潜在安全风险,而从资安的角度来看,当漏洞越来越多,就会越危险,而影响企业及消费者的使用安全。
许育诚也表示,他和资安团队经过研究分析后发现IoT装置一般存在有5大安全弱点,因而容易遭骇客所利用,分别是(1)IoT装置本身已存在潜在可利用的漏洞、(2)使用不安全的网路协定、云端及行动App服务,或是提供不安全的软体、韧体更新、(3)仍保留不安全的网路连接埠、(4)允许未授权的系统变更,以及(5)授权/认证强度不够及缺乏足够安全的加密机制。
许育诚也坦言,面对IoT装置攻击威胁不断,IoT厂商终究防不胜防,但即使如此,他认为,IoT厂商针对IoT安全至少必须设下最后一道防线,即是必须提供软/韧体更新机制,以便于即使事后发现漏洞时,还可以紧急发布更新将漏洞修补,以避免影响範围扩大。
然而,许育诚也发现到,许多IoT装置製造商虽然都宣称有提供装置更新功能,但很多时候更新时并未提供韧体完整性检查(Firmware Integrity Check),以确保资料内容不会被未经授权者所篡改,以致于韧体反而变成了骇客当作入侵企业发动攻击前寻找漏洞的最佳分析目标,如从韧体分析中,找出企业伺服器藏身的地方或是如何进行基础设施部署等。
为何骇客特别爱用IoT装置当作攻击跳板。许育诚解释说,这有几个主要原因,例如这些IoT装置本身可以全天24小时连网、跟PC相比较无安全保护机制所以进入门槛低,或是任何人都可以黑市便宜价格取得IoT攻击工具,更重要的是,他说,许多企业内部关于IoT装置管理的权责往往划分不易,难以认定该归于IT人员管或是属于维运人员负责,以致于造成自家后门大开,有了让骇客趁机而入的机会。
许育诚也提出了强化IoT装置安全的最佳实践方式,企业可以遵循Invest Critical Device、Build it secure以及Keep it Secure的作法,以强化IoT装置安全。他表示,在IoT安全投资方面,企业必须要把投资重点摆在真正该投资的IoT装置上,而不是一味全部投资。这些IoT装置必须是可能对公司或客户造成影响重大的IoT关键装置。此外,IoT厂商也应该建立起正确的Build it Secure心态,任何装置只要开始连网就一定会有安全风险,所以产品出厂前就一定要提前做好安全品质的把关,才能够将损害降到最低。
而要建立起Build it Secure的正确心态,许育诚也强调,除了要有公司高层愿意支持外,过程中也必须要定期进行团队训练、採用审计机制,以及与第3方合作厂商的配合,才能逐步建立该有的IoT安全正确观念。接下来,还要建立一套安全软体开发生命周期 (Security Software Devement Life Cycle )机制,以协助有效缓解IoT装置潜在攻击威胁,如此才能达到基本的IoT装置安全。
在IoT产品售出后,许育诚表示,企业更得要能做到随时都能保持在Keep it Secure的状态。这就得靠资安厂商的协助,在这些运作的IoT装置或设备中来提供企业或客户安全防护,包括了IoT装置风险管理、系统保护、OTA定期升级,以及快速事件应变处理机制等。
?
iThome Security
I 相关 / Other
女星私密照接二连三外流,电影“惊声尖叫”演员罗丝麦高恩也遭殃,而她并没有打算要轻易放过那些骇客。美国娱乐新闻网站Gossip Cop报道,罗丝麦高恩的裸照与性爱视频遭骇客窃取外流,她今天上午在推特向那些匿名骇客
Pwn2Own骇客竞赛首日,Adobe Reader、Edge、Safari与Ubuntu皆沦陷
图片来源: TippingPoint Zero Day Initiative 伴随着CanSecWest展开的Pwn2Own骇客竞赛在今年3月15日至17日登场,来自全球的安全专家在首日便成功攻陷了Adobe Reader、Edge、Safari与Ubuntu。Pwn2Own在今年迈入了第十
网页版WhatsApp与Telegram遭爆有漏洞,骇客恐接管数亿用户帐号
骇客传送看似趣味的猫咪影片,诱使被害者开启档案。 图片来源: Check Point 以色列资安业者Check Point于本周指出,WhatsApp与Telegram等知名传讯工具的网页版含有严重的安全漏洞,若被成功开採,将允许骇客掌控使
(健康医疗网/记者郭庚儒、蔡孟泓报道)36岁林小姐在南科园区工作,结婚一年多来,肚皮始终没动静,吃了两年中药调体质、做了两次人工受孕都宣告失败。就医检查才发现,原来卵巢长了一颗10公分大的巧克力囊肿,术后两
示意图,与新闻事件无关。 图片来源: FBI 美国司法部、联邦调查局(FBI)及北加州法院周三正式控告俄罗斯2名间谍及2名骇客在2014年间入侵Yahoo, 导致至少5亿用户资料外洩。被控者包括2名情报单位俄罗斯联邦安全局