技術(shù)文庫(kù)

物聯(lián)網(wǎng)中自由、便利與安全的恐怖三角關(guān)系，您選擇了誰(shuí)？(上)

百佳泰 Allion Labs > 物聯(lián)網(wǎng)中自由、便利與安全的恐怖三角關(guān)系，您選擇了誰(shuí)？(上)

Allion Labs /?Felix Kao

是否為了便利與自由，我們都忽略了安全呢？?

2016年10月600,000 的物聯(lián)網(wǎng)裝置因感染惡意軟件Mirai，其中包括網(wǎng)絡(luò)攝影機(jī)、數(shù)碼錄像機(jī)、路由器及打印機(jī)等皆成為DDoS強(qiáng)尸大軍，制造前所未有的1.7T bps的DDoS攻擊流量；2017年4月漏洞利用程序「永恒之藍(lán)」問(wèn)世，不但揭露了美國(guó)國(guó)家安全局有在開(kāi)發(fā)漏洞利用程序一事，甚至衍生出蠕蟲(chóng)病毒型勒索軟件「WannaCry」，造成大約150個(gè)國(guó)家同時(shí)遭受攻擊；2018世界最大的半導(dǎo)體和處理器制造大廠臺(tái)積電，在臺(tái)灣的北、中、南廠房的產(chǎn)線機(jī)臺(tái)或天車系統(tǒng)，因WannaCry變種病毒而發(fā)生死機(jī)或重開(kāi)機(jī)情況，導(dǎo)致產(chǎn)線中斷，造成2.56億美元的損失，由于萬(wàn)物皆連網(wǎng)的時(shí)代來(lái)臨，病毒也不分邊際的從IT產(chǎn)業(yè)擴(kuò)散到OT產(chǎn)業(yè)，無(wú)法想象今后幾年又會(huì)發(fā)生什么重大安全事件，唯一可以確信的是所有業(yè)者都不希望發(fā)生在自家身上。

物聯(lián)網(wǎng)的安全問(wèn)題開(kāi)始受到重視，相關(guān)法規(guī)推出?

世界各地開(kāi)始漸漸有應(yīng)對(duì)手段，相關(guān)物聯(lián)網(wǎng)安全法規(guī)相繼推出，2017年歐盟推出史上最嚴(yán)格數(shù)據(jù)保護(hù)規(guī)定GDPR，并對(duì)科技巨擘Google祭出5,000萬(wàn)歐元的天價(jià)裁罰，美國(guó)加州更是史無(wú)前例通過(guò)了名為 SB-327 的物聯(lián)網(wǎng)安全法案，禁止于加州生產(chǎn)、銷售的物聯(lián)網(wǎng)產(chǎn)品使用默認(rèn)密碼，此外，許多國(guó)際大廠所生產(chǎn)的物聯(lián)網(wǎng)設(shè)備，遭受美國(guó)聯(lián)邦貿(mào)易委員會(huì)，以具連網(wǎng)設(shè)備未于研發(fā)階段實(shí)施必要的安全檢測(cè)為由，相繼開(kāi)出巨額裁罰；各國(guó)各區(qū)域組織的安全標(biāo)準(zhǔn)也如雨后春筍般，美國(guó)ANSI/UL 2900系列物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)、歐洲GDPR、中國(guó)大陸物聯(lián)網(wǎng)安全技術(shù)國(guó)家標(biāo)準(zhǔn)、ISO/IEC 27030物聯(lián)網(wǎng)安全與隱私指引、IEC/ISA 62443工業(yè)控制安全標(biāo)準(zhǔn)等。

百佳泰協(xié)助您一步步認(rèn)識(shí)個(gè)人資料安全，驗(yàn)證信息安全，管控風(fēng)險(xiǎn)

隨著科技發(fā)展，不論是一般民眾或是企業(yè)，皆逐漸意識(shí)到產(chǎn)品安全的重要性，深怕因遭到黑客攻擊而造成金錢(qián)損失、公司商譽(yù)破損、或是因無(wú)知觸犯物聯(lián)網(wǎng)相關(guān)法規(guī)等。然而，既然大家都有察覺(jué)到個(gè)人資料安全的嚴(yán)重性，卻沒(méi)有采取相對(duì)應(yīng)措施，原因是?

信息安全方案千百種，復(fù)雜到不知該選哪一種!
你覺(jué)得安全檢測(cè)一定很貴!?
到底該找那家值得信任的廠商做把關(guān)?
你覺(jué)得黑客沒(méi)事不會(huì)找上你?

對(duì)于廠商心中存在已久的疑問(wèn)，百佳泰都知道，事實(shí)上，我們也特別和廠商溝通一個(gè)重要觀念-「資料安全是一個(gè)風(fēng)險(xiǎn)控管的行為」，這如同人類每年需要健康檢查來(lái)評(píng)估掌控自身狀況，對(duì)于身體健康潛在危機(jī)、未達(dá)標(biāo)準(zhǔn)的健康檢查項(xiàng)目，我們會(huì)再做進(jìn)一步的檢查，以發(fā)現(xiàn)根本病源，輕則可透過(guò)良好生活習(xí)慣改善情況，重則需服用藥物或是動(dòng)手術(shù)來(lái)醫(yī)治，以達(dá)到提早發(fā)現(xiàn)、提早治療目標(biāo)。若是輕視定期健康檢查重要性，非要等到病入膏肓才開(kāi)始治療，恐怕為時(shí)已晚。安全風(fēng)險(xiǎn)檢測(cè)，亦是越早發(fā)現(xiàn)風(fēng)險(xiǎn)漏洞，越早提出防護(hù)措施越好；若是等到黑客攻擊，遭到消費(fèi)者投訴，品牌聲譽(yù)下降，后續(xù)需要挽救投入的時(shí)間跟心力將是難以估計(jì)的。

因此，在這樣一個(gè)黑客可攻擊一切的時(shí)代，百佳泰為了解決廠商心中的疑問(wèn)與不安，特別化繁為簡(jiǎn)，開(kāi)發(fā)了一套快速有效、符合成本效益的「安全檢測(cè)方案」，能夠根據(jù)您物聯(lián)產(chǎn)品的特性、應(yīng)用情境以及不同程度的潛在風(fēng)險(xiǎn)，與廠商可以承擔(dān)的風(fēng)險(xiǎn)等級(jí)，來(lái)驗(yàn)證安全控制措施是否合適?，F(xiàn)在，就請(qǐng)跟著筆者，一起來(lái)了解百佳泰的安全檢測(cè)方案吧!

百佳泰安全檢測(cè)方案 Step 1: OWASP 10風(fēng)險(xiǎn)解析

安全檢測(cè)的第一步驟，必須先識(shí)別產(chǎn)品所面臨的資料安全威脅，也就是知道病癥的主因才能對(duì)癥下藥，下表1為筆者參考國(guó)際知名開(kāi)放網(wǎng)絡(luò)軟件安全計(jì)劃組織OWASP（The Open Web Application Security Project）歸納的十大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)（OWASP Top 10），以作為業(yè)者識(shí)別自家產(chǎn)品所面臨安全威脅的依據(jù)。

物聯(lián)網(wǎng)10大安全威脅

1.成為DDoS的殭尸主機(jī)(Zombie Device)

2. 傳輸數(shù)據(jù)與隱私外泄(Transmitted Data and Privacy Leakage)

3. API攻擊(API attack)

4. 固件敏感數(shù)據(jù)外泄洩(Hard coding password, key, etc in firmware)

5. 密碼破解(Password Cracking)

6. 中間人攻擊(Man-in-the-middle)

7. 工程師后門(mén)(Engineer Backdoor)

8. 網(wǎng)頁(yè)管理接口攻擊(Injection)

9. 勒索/挖礦病毒(Ransomware / Mining Malware)

表1: 物聯(lián)網(wǎng)10大安全威脅

根據(jù)百佳泰安全專家經(jīng)驗(yàn)分析，由于不同產(chǎn)品有其特殊性以及使用情境，相對(duì)應(yīng)的安全檢測(cè)方案也大不相同(見(jiàn)下圖示1)。例如，IP攝影機(jī)因24小時(shí)不停機(jī)，數(shù)量多感染快，因此是殭尸網(wǎng)絡(luò)攻擊的最佳跳板；而智能燈泡的安全威脅，則多是發(fā)生在控管燈泡的APP端，并非裝置本身，因此在智能燈泡驗(yàn)證上，我們會(huì)特別注重APP的測(cè)試。

圖示1:百佳泰資安檢測(cè)方案

百佳泰安全檢測(cè)方案 Step 2: IEC 62443網(wǎng)絡(luò)安全威脅強(qiáng)度評(píng)估標(biāo)準(zhǔn)

在評(píng)估完可能的風(fēng)險(xiǎn)之后，接著是考慮裝置可能面臨威脅的強(qiáng)度，參考下表2國(guó)際電工委員會(huì)（International Electro Technical Commission，IEC）定義的IEC 62443網(wǎng)絡(luò)安全威脅強(qiáng)度評(píng)估標(biāo)準(zhǔn)(Cyber Risks’ Levels Assessment Model)。例如：國(guó)際工控大廠西門(mén)子就曾經(jīng)被黑客針對(duì)該公司的SCADA系統(tǒng)開(kāi)發(fā)其漏洞利用程序，諸如這類國(guó)際知名大廠就要意識(shí)到自家所面臨的威脅強(qiáng)度是3級(jí)，又例如：2015年的烏克蘭大停電，是針對(duì)特定員工進(jìn)行魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊，這必須要對(duì)員工的行為及個(gè)人喜好等隱私信息了如指掌，此攻擊矛頭最后被指向是俄羅斯國(guó)家黑客所為，因此像是國(guó)家關(guān)鍵基礎(chǔ)設(shè)施，就要有面臨威脅強(qiáng)度4的自覺(jué)，最后廠商再依據(jù)面臨某一威脅可能會(huì)造成CIA(隱私性、完整性、可能性)的影響程度，來(lái)自我評(píng)估以進(jìn)行風(fēng)險(xiǎn)管理。

IEC 62443資料安全威脅強(qiáng)度

強(qiáng)度1：正常使用者誤操作，導(dǎo)致資料安全事件的發(fā)生

強(qiáng)度2：惡意使用者藉由自動(dòng)/半自動(dòng)漏洞利用工具，進(jìn)行無(wú)差別攻擊

強(qiáng)度3：針對(duì)特定組織/廠商所做的復(fù)雜且多面向的攻擊

強(qiáng)度4：國(guó)家級(jí)黑客，利用國(guó)家資源針對(duì)特定目標(biāo)進(jìn)行黑客攻擊

表2:IEC資料安全威脅強(qiáng)度

不知讀到這里，大家對(duì)百佳泰安全檢測(cè)方案是否有一定的理解程度了呢? 讀者們想要一窺究竟我們的實(shí)測(cè)案例嗎?我們即將在下一篇分享案例結(jié)果，也請(qǐng)讀者們持續(xù)關(guān)注我們的技術(shù)文章唷!

Post Views: 2,391

技術(shù)文庫(kù)

物聯(lián)網(wǎng)中自由、便利與安全的恐怖三角關(guān)系，您選擇了誰(shuí)？(上)

物聯(lián)網(wǎng)中自由、便利與安全的恐怖三角關(guān)系，您選擇了誰(shuí)？(上)