Allion Labs / Felix Kao
是否为了便利与自由,我们都忽略了安全呢?
2016年10月600,000 的物联网装置因感染恶意软件Mirai,其中包括网络摄影机、数码录像机、路由器及打印机等皆成为DDoS强尸大军,制造前所未有的1.7T bps的DDoS攻击流量;2017年4月漏洞利用程序「永恒之蓝」问世,不但揭露了美国国家安全局有在开发漏洞利用程序一事,甚至衍生出蠕虫病毒型勒索软件「WannaCry」,造成大约150个国家同时遭受攻击;2018世界最大的半导体和处理器制造大厂台积电,在台湾的北、中、南厂房的产线机台或天车系统,因WannaCry变种病毒而发生死机或重开机情况,导致产线中断,造成2.56亿美元的损失,由于万物皆连网的时代来临,病毒也不分边际的从IT产业扩散到OT产业,无法想象今后几年又会发生什么重大安全事件,唯一可以确信的是所有业者都不希望发生在自家身上。
物联网的安全问题开始受到重视,相关法规推出
世界各地开始渐渐有应对手段,相关物联网安全法规相继推出,2017年欧盟推出史上最严格数据保护规定GDPR,并对科技巨擘Google祭出5,000万欧元的天价裁罚,美国加州更是史无前例通过了名为 SB-327 的物联网安全法案,禁止于加州生产、销售的物联网产品使用默认密码,此外,许多国际大厂所生产的物联网设备,遭受美国联邦贸易委员会,以具连网设备未于研发阶段实施必要的安全检测为由,相继开出巨额裁罚;各国各区域组织的安全标准也如雨后春笋般,美国ANSI/UL 2900系列物联网安全标准、欧洲GDPR、中国大陆物联网安全技术国家标准、ISO/IEC 27030物联网安全与隐私指引、IEC/ISA 62443工业控制安全标准等。
百佳泰协助您一步步认识个人资料安全,验证信息安全,管控风险
随着科技发展,不论是一般民众或是企业,皆逐渐意识到产品安全的重要性,深怕因遭到黑客攻击而造成金钱损失、公司商誉破损、或是因无知触犯物联网相关法规等。然而,既然大家都有察觉到个人资料安全的严重性,却没有采取相对应措施,原因是?
- 信息安全方案千百种,复杂到不知该选哪一种!
- 你觉得安全检测一定很贵!?
- 到底该找那家值得信任的厂商做把关?
- 你觉得黑客没事不会找上你?
对于厂商心中存在已久的疑问,百佳泰都知道,事实上,我们也特别和厂商沟通一个重要观念-「资料安全是一个风险控管的行为」,这如同人类每年需要健康检查来评估掌控自身状况,对于身体健康潜在危机、未达标准的健康检查项目,我们会再做进一步的检查,以发现根本病源,轻则可透过良好生活习惯改善情况,重则需服用药物或是动手术来医治,以达到提早发现、提早治疗目标。若是轻视定期健康检查重要性,非要等到病入膏肓才开始治疗,恐怕为时已晚。安全风险检测,亦是越早发现风险漏洞,越早提出防护措施越好;若是等到黑客攻击,遭到消费者投诉,品牌声誉下降,后续需要挽救投入的时间跟心力将是难以估计的。
因此,在这样一个黑客可攻击一切的时代,百佳泰为了解决厂商心中的疑问与不安,特别化繁为简,开发了一套快速有效、符合成本效益的「安全检测方案」,能够根据您物联产品的特性、应用情境以及不同程度的潜在风险,与厂商可以承担的风险等级,来验证安全控制措施是否合适。现在,就请跟着笔者,一起来了解百佳泰的安全检测方案吧!
安全检测的第一步骤,必须先识别产品所面临的资料安全威胁,也就是知道病症的主因才能对症下药,下表1为笔者参考国际知名开放网络软件安全计划组织OWASP(The Open Web Application Security Project)归纳的十大网络安全风险(OWASP Top 10),以作为业者识别自家产品所面临安全威胁的依据。
| 物联网10大安全威胁 |
| 1.成为DDoS的殭尸主机(Zombie Device)
2. 传输数据与隐私外泄(Transmitted Data and Privacy Leakage) 3. API攻击(API attack) 4. 固件敏感数据外泄洩(Hard coding password, key, etc in firmware) 5. 密码破解(Password Cracking) 6. 中间人攻击(Man-in-the-middle) 7. 工程师后门(Engineer Backdoor) 8. 网页管理接口攻击(Injection) 9. 勒索/挖矿病毒(Ransomware / Mining Malware) |
表1: 物联网10大安全威胁
根据百佳泰安全专家经验分析,由于不同产品有其特殊性以及使用情境,相对应的安全检测方案也大不相同(见下图示1)。例如,IP摄影机因24小时不停机,数量多感染快,因此是殭尸网络攻击的最佳跳板;而智能灯泡的安全威胁,则多是发生在控管灯泡的APP端,并非装置本身,因此在智能灯泡验证上,我们会特别注重APP的测试。
图示1:百佳泰资安检测方案
在评估完可能的风险之后,接着是考虑装置可能面临威胁的强度,参考下表2国际电工委员会(International Electro Technical Commission,IEC)定义的IEC 62443网络安全威胁强度评估标准(Cyber Risks’ Levels Assessment Model)。例如:国际工控大厂西门子就曾经被黑客针对该公司的SCADA系统开发其漏洞利用程序,诸如这类国际知名大厂就要意识到自家所面临的威胁强度是3级,又例如:2015年的乌克兰大停电,是针对特定员工进行鱼叉式网络钓鱼攻击,这必须要对员工的行为及个人喜好等隐私信息了如指掌,此攻击矛头最后被指向是俄罗斯国家黑客所为,因此像是国家关键基础设施,就要有面临威胁强度4的自觉,最后厂商再依据面临某一威胁可能会造成CIA(隐私性、完整性、可能性)的影响程度,来自我评估以进行风险管理。
| IEC 62443资料安全威胁强度 |
| 强度1:正常使用者误操作,导致资料安全事件的发生
强度2:恶意使用者藉由自动/半自动漏洞利用工具,进行无差别攻击 强度3:针对特定组织/厂商所做的复杂且多面向的攻击 强度4:国家级黑客,利用国家资源针对特定目标进行黑客攻击 |
表2:IEC资料安全威胁强度
不知读到这里,大家对百佳泰安全检测方案是否有一定的理解程度了呢? 读者们想要一窥究竟我们的实测案例吗?我们即将在下一篇分享案例结果,也请读者们持续关注我们的技术文章唷!