保資料為主、從網路布防謹慎面對IoT資安風險 - 網管人

保資料為主、從網路布防謹慎面對IoT資安風險. 物聯網讓更多的資訊和活動上網，但是卻也大幅增加了網路曝光的頻率，更重要的是要駭入一個物聯網設備是一件非常容易的事 ... 熱門活動精彩回顧都在這 >專題報導 保資料為主、從網路布防謹慎面對IoT資安風險 物聯網讓更多的資訊和活動上網，但是卻也大幅增加了網路曝光的頻率，更重要的是要駭入一個物聯網設備是一件非常容易的事。

被科技產業視為是下一件大事（NextBigThing）的物聯網（Internetofthings，IoT），近年來正迅速竄起，並且受到了熱烈的討論。

這種將所有終端裝置配上一個UID（UniqueID），讓端與端之間能夠透過網路互相傳輸資料的作法，不僅被用來提升生活的便利性，也運用於許多商業應用中，諸如醫療保健、交通運輸、連鎖商場等等。

更進一步的，這些連網設備還可以藉由與雲端上的系統或平台進行整合，構成完整的物聯網路。

但是，這也加劇了資安防護的疑慮，萬一物聯網設備成為駭客的攻擊目標，如何確保資訊安全以及隱私保護也就成為一項挑戰。

安華聯網總經理洪光鈞指出，如今在物聯網的概念裡，所談及的不只是裝置、網路或使用者端，已經演變成為一種運用情境、一個流程或是一個架構。

尤其是運用情境，「以4G為例，在行動網路通訊技術快速發展之下，任何裝置、任何時間、任何地點都可以連接上網，許多關鍵的重要系統或設備也如雨後春筍般連接至網際網路，正因為這些特性與發展趨勢，物聯網的資訊安全也變得更加重要。

」 IoT是商機也是風險 藉由物聯網，不僅可帶來即時資訊情報、更自動化的便利機制，甚至還能降低成本、創新營運服務，這些潛在的好處也讓物聯網形成一股龐大的商機。

根據市調機構Gartner預估，2020年將有約260億個物聯網設備，其產品和服務供應商在2020年將增加超過3,000億美元的營收。

▲Fortinet全球資安策略長DerekManky認為，以網路為基礎的安全檢測，是現階段保護物聯網的唯一方法。

然而，物聯網同時也帶來了高安全風險。

Fortinet全球資安策略長DerekManky便撰文指出，物聯網讓更多的資訊和活動上網，但是卻也大幅增加了網路曝光的頻率，更重要的是要駭入一個物聯網設備是一件非常容易的事。

「一方面，設備製造商經常採用開放源始碼所提供的模組及內建程式庫，而這些開源碼並不像商業軟體具備安全控管機制，例如定期發布修補與更新檔。

再加上，設備業者在設計初期也沒有將安全問題納入考量，一旦設備被破壞或入侵，往往也沒有必要的回應機制可迅速處理。

」 另外，採用更新的通訊協定，例如UPnP（UniversalPlugandPlay）也可能帶來更高的風險。

UPnP雖然能夠讓設備彼此之間更有效率的溝通與資料分享，但是這個協定卻也存在不少安全漏洞，尤其IT人員會習慣打開UPnP藉以進行遠端設定與資料傳送，卻不知已經為駭客開啟一道方便之門。

他提到，Fortinet的威脅研究團隊FortiGuardLabs，已經偵測到全球駭客正在大舉探測非傳統的攻擊目標，例如物聯網，而且預估在未來的幾個月後將有增加的趨勢。

物聯網的攻擊代表了一個最小抵抗阻力的路徑，同時也是駭客最好的機會，一旦入侵成功，物聯網設備甚至可以作為一個中介的攻擊跳板，在內部網路裡進行二次攻擊。

安全問題更見複雜 ▲安華聯網總經理洪光鈞指出，物聯網的資安防護應該回歸到問題的本質與核心，讓有限的資源在對的位置發揮最大效益。

洪光鈞提到，物聯網所需要考量的資訊安全相關議是非常廣泛，而且有別於一般傳統的資安議題。

「過去IT管理者可以針對不同的資安問題尋求相對應的產品解決方案，例如資訊洩露問題可採用DLP解決方案，或是針對來自電子郵件的APT攻擊也可以有偵測APT攻擊的產品或設備。

但面對物聯網卻是一個非常多樣且可打破管理邊界的議題，就以近來討論熱烈的穿戴式裝置為例，倘若員工載上Google所開發的眼鏡，將在公司所目視的一切全都上傳至雲端，那麼，IT人員要如何限制或管理來自員工身上任何可以上網的裝置或設備？」 他提到，在物聯網之下，需要被納入管理考量的元素非常多，包括物聯網裝置、雲端、行動裝置或應用、網路介面、軟體以及加解密問題、認證與授權問題、實體安全以及可攜式儲存裝置接口等，如果要再在加上運用情境，物聯網所面向與帶來的資安威脅更是難以列舉。

從網路深入檢測 DerekManky也認為，依據物聯網裝置的規模以及多樣性來看，就算有防護程序，也會複雜到不可能去管理。

「因此，以網路為基礎的安全檢測，是現階段保護物聯網的唯一方法。

每一個網路都需要建置具備足夠智能的安全設備，可深入檢測針對這些非傳統平台所撰寫的程式碼。

我們稱此為與平台無關（platformagnostic）的檢測。

」 這個安全設備必須有能力確認三個重要資訊：使用者是誰？要往那裡去？需要什麼資料？這意味網路將會需要整合傳統的網路防護技術，例如防火牆、入侵防護、網頁過濾和防惡意軟體解決方案，才能執行安全政策，控管應用程式，進而防止資料外洩。

更重要的是，由於攻擊面逐漸擴大，內容的檢測也會成為必要的一環。

現今網路威脅可以藏身在任何地方，若潛藏在合法的網路流量中，很容易就會被發現。

回歸防禦保護的目標 洪光鈞則建議資安人員，應該試著回歸到問題的本質與核心議題。

在公司內，哪些資訊資產最為重要，或者哪些資訊資產應該要被保護？若上述這兩個問題的答案能夠被清楚明確定義出來，那麼物聯網所帶來的資安問題與管理議題，就已解決一半。

接下來則是定義保護等級的層級，最後再思考要用什麼方法能夠達到這個要求。

企業內部的資源有限，IT部門的人力與預算更有限，IT資源必須投入到最關鍵的地方，並且盡可能將重要資訊資產安全等級提高，以做到最大限度的保護。

他提到，重要的數位資產放置於什麼位置或地點以及數量有多少，當然也會是要被納入考量的重點，因為，當前雲端化與巨量資料相關技術正不斷發展，有時雖然很快地規劃出相關的管理或保護措施，但結果發現系統或資料不在公司內部，而是被放在不知在何處何地的雲端上，即使系統或資料處於可掌握的範圍，但面對數百TB或數千TB的巨量資料，保護的時效性將會大打折扣，而這也將會是另一個安全的隱憂。

另外，洪光鈞也提醒IT人員，千萬不要陷入「全部都想要管制」或「完全依賴產品就可解決」的迷思，應該要更積極主動瞭解企業全面的運作情況，並識別出可能的威脅來源，才能在有限資源下制訂出合宜且精準的管制措施，而選購的資安產品，也才能在對的位置上發揮其最大效益。

分享 最新上架 more→ 專利音訊技術搭智慧鏡頭　視訊會議溝通更有效 2022-06-22 VMware確保雲端和資料中心的Kubernetes配置安全 2022-06-21 高效分散式服務交換器　保護智慧系統間橫向通訊 2022-06-21 Seagate報告：多雲環境摩擦雖棘手　成功的企業自有解決之道 2022-06-21 NetApp簡化混合雲操作　協助加速VMware工作負載上雲 2022-06-20 原生託管三雲　雙強再推一體機 2022-06-20 金管會通過修正草案　上市櫃企業設立資安長成為當務之急 2022-06-20 啟用網芳SMB檔案服務　vSAN叢集讓各部門有感 2022-06-20 變動新常態時代來臨　「韌力」成企業競爭力關鍵 2022-06-17 TXOneEdgeIPSPro216為中小型製造業確保營運安全不中斷 2022-06-17 人氣點閱 more→ 低地球軌道網路打破界限　衛星寬頻無線上網有譜 2022-05-10 製造業自建5G專網　小心資安風險隨之而來(下) 2022-06-15 科技賦能金融財富管理 2022-06-10 Icinga2自動監控　隨時掌控系統網路服務 2022-06-14 跨雲守護應用/API安全 2022-06-14 全球跨境隱私規則宣言出爐　企業宜及早面對因應 2022-06-14 2022LGgram系列　創輕薄高效新巔峰 2022-06-16 CiscoLive2022：創新方案推動現代企業發展 2022-06-16 新科技人才缺口擴大　軟體工程師需求數居首 2022-06-13 法規鬆綁但監管仍是挑戰　解決管理課題才有彈性 2022-05-10 月刊雜誌 第197期 2022年6月 專利音訊技術搭智慧鏡頭　視訊會議溝通更有效 more→ 精選影音 翻轉網路與資安思維－將零信任網路分段擴展至數據中心—Aruba Poly遠距通訊協作方案　引您飛進數位新時代 從網路層圍堵勒索病毒威脅—CheckPoint more→ 請輸入您的E-mail 追蹤我們Featrueus ... 確定 本站使用cookie及相關技術分析來改善使用者體驗。

瞭解更多 我知道了!