物聯網資安防護將是未來趨勢
資安議題層出不窮,就在10月底又有駭客透過DDoS攻擊,癱瘓美國的重要企業。但這一次被攻擊的對象,並非一般常見的電腦主機,而是IP攝影機和相關的DVR攝影機,資策會資安科技研究所組長毛敬豪指出,在物聯網技術應用已經日漸普及的今天,物聯網的資安議題也已浮上檯面,需要大家的關注。
據瞭解,駭客們是使用了一種被稱作「物聯網破壞者」的MIRAI病毒,這是一種會通過互聯網搜索物聯網設備的病毒,當它掃描到一個物聯網設備(如網路攝影機、智慧開關等),就會嘗試使用默認密碼進行登入,一旦登入成功,這台物聯網設備就會被駭客操控,攻擊其他網路設備。
毛敬豪指出,物聯網病毒的攻擊手法通常比較單純,主要的方式就是在異質平台不斷的散佈惡意程序,原因與物聯網設備的認證比較簡單有關。尤其在2015年11月的法國巴黎恐怖攻擊事件後,歐洲各國開始大規模佈建IP攝影機,但由於這些IP攝影機,後來被發現有兩個漏洞,讓物聯網病毒有機可趁,因此被惡意程式入侵。
類似的入侵方式,也可能會出現在其他使用物聯網技術的領域,毛敬豪以醫院內網為例,很多人都以為很安全,但在智慧醫療應用日漸普及的今天,許多醫療設備其實也有可能成為惡意程式攻擊的目標。
毛敬豪指出,物聯網資安防護的關鍵,在於如何將散佈在不同媒體的漏洞關連起來,其中用人工智慧(AI)來做資安情資分析的新創公司越來越多,更可發現機器學習(Machine Learning)在未來的物聯網資安防護所扮演的角色將會愈來愈重要,如深度學習(Deep Learning)會自動尋找對應的功能,查找適當的特徵空間。
Graph mining(圖形挖掘)則是可以幫助IT人員建立惡意程式感染過程的關聯圖。毛敬豪表示,由於惡意程式打入內網後,往往會從意想不到的來源打進去,必須要建立關聯圖,將整個事件的時間軸(生命週期)建立起來,再萃取出情資進行漏洞修補或執行其他防範手段。
毛敬豪指出,雖然大多數的資安防護資訊都是針對網頁為主,但目前也已有針對物聯網已有資源、情資及證據的提供管道,尤其是社群網站,往往可以提供更多的相關幫助,如IBM也已開始用外部的非結構資料及內部情資來找惡意程式。
如透過Twitter串聯討論,先找到專家及相關內容,再由社群反應,評估漏洞是否會出問題,再研究要先阻擋那些漏洞。毛敬豪表示,馬里蘭大學研究發現,先看到漏洞,再比較Twitter的討論,就可透過這些情資,判斷這個漏洞是否有可能會爆發,而形成資安事件。
此外,由於物鏈網設備所存在的弱點,很可能會有很長一段時間不會被發現,從被發現到被捕捉的時間(Zero day attack)要儘量縮短,之後才能進行修補。由於CVE、NVD、vuldb的時間差,彼此都會有關聯,可以用來研判漏洞出現時,是否要先做修補。
使用Honeypot來誘捕惡意攻擊,也是未來的重要趨勢。如日本橫濱大學教授吉岡克成(Katsunari Yoshioka)建立的IoTPot專案,可以逆向找出那些設備被攻擊;捷克的專案Project Turns到INDIEGOGO募資,居然募到1,145,638美元,可見用誘捕來追蹤資安情資會是未來值得觀察的趨勢。
毛敬豪再以用於行動支付的HCE技術為例指出,惡意程式有可能會將軟體憑證抓出來。因此HCE資安防護的重點,首先是行動支付應用程式的安全性,包括確保執行程式的環境安全、確保執行程式正確,防止反組譯工程,可用白盒加密,其次是客戶端與後端平台需要認證,建議在開發時期,就要導入核心層級的安全防護機制。
毛敬豪最後指出,物聯網智慧應用的資安挑戰在於異質平台,資料分析將是未來資安關鍵,甚至透過學習駭客攻擊手法,了解如何落實資安策略,都會是未來資安議題的關注焦點。