Allion Labs / Felix Kao
是否為了便利與自由,我們都忽略了安全呢?
2016年10月600,000 的物聯網裝置因感染惡意軟體Mirai,其中包括網路攝影機、數位影像錄影機、路由器及印表機等皆成為DDoS彊屍大軍,製造前所未有的1.7T bps的DDoS攻擊流量;2017年4月漏洞利用程式「永恆之藍」問世,不但揭露了美國國家安全局有在開發漏洞利用程式一事,甚至衍生出蠕蟲病毒型勒索軟體「WannaCry」,造成大約150個國家同時遭受攻擊;2018世界最大的半導體和處理器製造大廠台積電,在台灣的北、中、南廠房的產線機臺或天車系統,因WannaCry變種病毒而發生當機或重開機情況,導致產線中斷,造成2.56億美元的損失,由於萬物皆連網的時代來臨,病毒也不分邊際的從IT產業擴散到OT產業,無法想像今後幾年又會發生什麼重大資安事件,唯一可以確信的是所有業者都不希望發生在自家身上。
物聯網的資安問題開始受到重視,相關法規出籠
世界各地開始漸漸有應對手段,相關物聯網資安法規相繼推出,2017年歐盟推出史上最嚴格資料保護規定GDPR,並對科技巨擘Google祭出5,000萬歐元的天價裁罰,美國加州更是史無前例通過了名為 SB-327 的物聯網安全法案,禁止於加州生產、銷售的物聯網產品使用預設密碼,此外,許多國際大廠所生產的物聯網設備,遭受美國聯邦貿易委員會,以具連網設備未於研發階段實施必要的資安檢測為由,相繼開出鉅額裁罰;各國各區域組織的資安標準也如雨後春筍般,美國ANSI/UL 2900系列物聯網資安標準、歐洲GDPR、中國大陸物聯網安全技術國家標準、ISO/IEC 27030物聯網資安與隱私指引、IEC/ISA 62443工業控制安全標準等。
百佳泰協助您一步步認識資安,驗證資安,管控風險
隨著科技發展,不論是一般民眾或是企業,皆逐漸意識到產品安全的重要性,深怕因遭到駭客攻擊而造成金錢損失、公司商譽破損、或是因無知觸犯物聯網相關法規等。然而,既然大家都有察覺到資安嚴重性,卻沒有採取相對應措施,原因是?
- 資訊安全方案千百種,複雜到不知該選哪一種!
- 你覺得資安檢測一定很貴!?
- 到底該找那家值得信任的廠商做把關?
- 你覺得駭客沒事不會找上你?
對於廠商心中存在已久的疑問,百佳泰都知道,事實上,我們也特別和廠商溝通一個重要觀念-「資安是一個風險控管的行為」,這如同人類每年需要健康檢查來評估掌控自身狀況,對於身體健康潛在危機、未達標準的健檢項目,我們會再做進一步的檢查,以發現根本病源,輕則可透過良好生活習慣改善惡況,重則需服用藥物或是動手術來醫治,以達到提早發現、提早治療目標。若是輕忽定期健康檢查重要性,非要等到病入膏肓才開始治療,恐怕為時已晚。資安風險檢測,亦是愈早發現風險漏洞,愈早提出防護措施愈好;若是等到駭客攻擊,遭到消費者客訴,品牌聲譽下降,後續需要挽救投入的時間跟心力將是難以估計的。
因此,在這樣一個萬物皆可駭的時代,百佳泰為了解決廠商心中的疑問與不安,特別化繁為簡,開發了一套快速有效、符合成本效益的「資安檢測方案」,能夠根據您物聯產品的特性、應用情境以及不同程度的潛在風險,與廠商可以承擔的風險等級,來驗證資安控制措施是否合適。現在,就請跟著筆者,一起來了解百佳泰的資安檢測方案吧!
資安檢測的第一步驟,必須先識別產品所面臨的資安威脅,也就是知道病症的主因才能對症下藥,下表為筆者參考國際知名開放網路軟體安全計畫組織OWASP(The Open Web Application Security Project)歸納的十大網路資安風險(OWASP Top 10),以作為業者識別自家產品所面臨資安威脅的依據。
| 物聯網10大資安威脅 |
| 1. 成為DDoS的殭屍主機(Zombie Device)
2. 傳輸資料與隱私外洩(Transmitted Data and Privacy Leakage) 3. API攻擊(API attack) 4. 韌體敏感資料外洩(Hard coding password, key, etc in firmware) 5. 密碼破解(Password Cracking) 6. 中間人攻擊(Man-in-the-middle) 7. 工程師後門(Engineer Backdoor) 8. 網頁管理介面攻擊(Injection) 9. 勒索/挖礦病毒(Ransomware / Mining Malware) |
表1:物聯網10大資安威脅
根據百佳泰資安專家經驗分析,由於不同產品有其特殊性以及使用情境,相對應的資安檢測方案也大不相同(見下圖示1)。例如,IP攝影機因24小時不停機,數量多感染快,因此是殭屍網路攻擊的最佳跳板;而智能燈泡的資安威脅,則多是發生在控管燈泡的APP端,並非裝置本身,因此在智能燈泡驗證上,我們會特別注重APP的測試。
圖示1:百佳泰資安檢測方案
在評估完可能的風險之後,接著是考量裝置可能面臨威脅的強度,參考下表2國際電工委員會(International Electro Technical Commission,IEC)定義的IEC 62443網路資安威脅強度評估標準(Cyber Risks’ Levels Assessment Model)。例如:國際工控大廠西門子就曾經被駭客針對該公司的SCADA系統開發其漏洞利用程式,諸如這類國際知名大廠就要意識到自家所面臨的威脅強度是3級,又例如:2015年的烏克蘭大停電,是針對特定員工進行魚叉式網路釣魚攻擊,這必須要對員工的行為及個人喜好等隱私資訊瞭如指掌,此攻擊矛頭最後被指向是俄羅斯國家駭客所為,因此像是國家關鍵基礎設施,就要有面臨威脅強度4的自覺,最後廠商再依據面臨某一威脅可能會造成CIA(隱私性、完整性、可能性)的影響程度,來自我評估以進行風險管理。
| IEC 62443資安威脅強度 |
| 強度1:正常使用者誤操作,導致資安事件的發生
強度2:惡意使用者藉由自動/半自動漏洞利用工具,進行無差別攻擊 強度3:針對特定組織/廠商所做的複雜且多面向的攻擊 強度4:國家級駭客,利用國家資源針對特定目標進行駭客攻擊 |
表2:IEC資安威脅強度
不知讀到這裡,大家對百佳泰資安檢測方案是否有一定的理解程度了呢? 讀者們想要一窺究竟我們的實測案例嗎?我們即將在下一篇分享案例結果,也請讀者們持續關注我們的技術文章唷!