物聯網中自由、便利與安全的恐怖三角關係,您選擇了誰?(上)

Allion Labs/ Felix Kao

是否為了便利與自由,我們都忽略了安全呢?

2016年10月600,000 的物聯網裝置因感染惡意軟體Mirai,其中包括網路攝影機、數位影像錄影機、路由器及印表機等皆成為DDoS彊屍大軍,製造前所未有的1.7T bps的DDoS攻擊流量;2017年4月漏洞利用程式「永恆之藍」問世,不但揭露了美國國家安全局有在開發漏洞利用程式一事,甚至衍生出蠕蟲病毒型勒索軟體「WannaCry」,造成大約150個國家同時遭受攻擊;2018世界最大的半導體和處理器製造大廠台積電,在台灣的北、中、南廠房的產線機臺或天車系統,因WannaCry變種病毒而發生當機或重開機情況,導致產線中斷,造成2.56億美元的損失,由於萬物皆連網的時代來臨,病毒也不分邊際的從IT產業擴散到OT產業,無法想像今後幾年又會發生什麼重大資安事件,唯一可以確信的是所有業者都不希望發生在自家身上。

物聯網的資安問題開始受到重視,相關法規出籠

世界各地開始漸漸有應對手段,相關物聯網資安法規相繼推出,2017年歐盟推出史上最嚴格資料保護規定GDPR,並對科技巨擘Google祭出5,000萬歐元的天價裁罰,美國加州更是史無前例通過了名為 SB-327 的物聯網安全法案,禁止於加州生產、銷售的物聯網產品使用預設密碼,此外,許多國際大廠所生產的物聯網設備,遭受美國聯邦貿易委員會,以具連網設備未於研發階段實施必要的資安檢測為由,相繼開出鉅額裁罰;各國各區域組織的資安標準也如雨後春筍般,美國ANSI/UL 2900系列物聯網資安標準、歐洲GDPR、中國大陸物聯網安全技術國家標準、ISO/IEC 27030物聯網資安與隱私指引、IEC/ISA 62443工業控制安全標準等。

百佳泰協助您一步步認識資安,驗證資安,管控風險

隨著科技發展,不論是一般民眾或是企業,皆逐漸意識到產品安全的重要性,深怕因遭到駭客攻擊而造成金錢損失、公司商譽破損、或是因無知觸犯物聯網相關法規等。然而,既然大家都有察覺到資安嚴重性,卻沒有採取相對應措施,原因是?

  • 資訊安全方案千百種,複雜到不知該選哪一種!
  • 你覺得資安檢測一定很貴!?
  • 到底該找那家值得信任的廠商做把關?
  • 你覺得駭客沒事不會找上你?

對於廠商心中存在已久的疑問,百佳泰都知道,事實上,我們也特別和廠商溝通一個重要觀念-「資安是一個風險控管的行為」,這如同人類每年需要健康檢查來評估掌控自身狀況,對於身體健康潛在危機、未達標準的健檢項目,我們會再做進一步的檢查,以發現根本病源,輕則可透過良好生活習慣改善惡況,重則需服用藥物或是動手術來醫治,以達到提早發現、提早治療目標。若是輕忽定期健康檢查重要性,非要等到病入膏肓才開始治療,恐怕為時已晚。資安風險檢測,亦是愈早發現風險漏洞,愈早提出防護措施愈好;若是等到駭客攻擊,遭到消費者客訴,品牌聲譽下降,後續需要挽救投入的時間跟心力將是難以估計的。

  因此,在這樣一個萬物皆可駭的時代,百佳泰為了解決廠商心中的疑問與不安,特別化繁為簡,開發了一套快速有效、符合成本效益的「資安檢測方案」,能夠根據您物聯產品的特性、應用情境以及不同程度的潛在風險,與廠商可以承擔的風險等級,來驗證資安控制措施是否合適。現在,就請跟著筆者,一起來了解百佳泰的資安檢測方案吧!

百佳泰資安檢測方案 Step 1: OWASP 10風險解析

資安檢測的第一步驟,必須先識別產品所面臨的資安威脅,也就是知道病症的主因才能對症下藥,下表為筆者參考國際知名開放網路軟體安全計畫組織OWASP(The Open Web Application Security Project)歸納的十大網路資安風險(OWASP Top 10),以作為業者識別自家產品所面臨資安威脅的依據。

物聯網10大資安威脅
1. 成為DDoS的殭屍主機(Zombie Device)
2. 傳輸資料與隱私外洩(Transmitted Data and Privacy Leakage)
3. API攻擊(API attack)
4. 韌體敏感資料外洩(Hard coding password, key, etc in firmware)
5. 密碼破解(Password Cracking)
6. 中間人攻擊(Man-in-the-middle)
7. 工程師後門(Engineer Backdoor)
8. 網頁管理介面攻擊(Injection)
9. 勒索/挖礦病毒(Ransomware / Mining Malware)

表1:物聯網10大資安威脅

根據百佳泰資安專家經驗分析,由於不同產品有其特殊性以及使用情境,相對應的資安檢測方案也大不相同(見下圖示1)。例如,IP攝影機因24小時不停機,數量多感染快,因此是殭屍網路攻擊的最佳跳板;而智能燈泡的資安威脅,則多是發生在控管燈泡的APP端,並非裝置本身,因此在智能燈泡驗證上,我們會特別注重APP的測試。

圖示1:百佳泰資安檢測方案

 

百佳泰資安檢測方案 Step 2: IEC 62443網路資安威脅強度評估標準

在評估完可能的風險之後,接著是考量裝置可能面臨威脅的強度,參考下表2國際電工委員會(International Electro Technical Commission,IEC)定義的IEC 62443網路資安威脅強度評估標準(Cyber Risks’ Levels Assessment Model)。例如:國際工控大廠西門子就曾經被駭客針對該公司的SCADA系統開發其漏洞利用程式,諸如這類國際知名大廠就要意識到自家所面臨的威脅強度是3級,又例如:2015年的烏克蘭大停電,是針對特定員工進行魚叉式網路釣魚攻擊,這必須要對員工的行為及個人喜好等隱私資訊瞭如指掌,此攻擊矛頭最後被指向是俄羅斯國家駭客所為,因此像是國家關鍵基礎設施,就要有面臨威脅強度4的自覺,最後廠商再依據面臨某一威脅可能會造成CIA(隱私性、完整性、可能性)的影響程度,來自我評估以進行風險管理。

IEC 62443資安威脅強度
強度1:正常使用者誤操作,導致資安事件的發生
強度2:惡意使用者藉由自動/半自動漏洞利用工具,進行無差別攻擊
強度3:針對特定組織/廠商所做的複雜且多面向的攻擊
強度4:國家級駭客,利用國家資源針對特定目標進行駭客攻擊

表2:IEC資安威脅強度

不知讀到這裡,大家對百佳泰資安檢測方案是否有一定的理解程度了呢? 讀者們想要一窺究竟我們的實測案例嗎?我們即將在下一篇分享案例結果,也請讀者們持續關注我們的技術文章唷!