为何黑客特别爱用IoT？管理权限划分不易是主因

趋势科技全球消费市场开发协理许育诚近日在台湾资安大会上表示，许多企业内部关于IoT装置的管理权责往往划分不易，难以认定该归于IT人员管或是属于维运人员负责，以致于造成自家后门大开，有了让黑客趁机而入的大好机会。

黑客锁定IoT装置攻击事件发生今年将会更加频繁，趋势科技全球消费市场开发协理许育诚也估计，今年下一波可能受到攻击的国家，很可能会是以IoT装置制造为主的几个国家，如中国和东南亚等国家。 「这也印证了IoT装置安全已经到了刻不容缓，急须要被解决的地步。 」他说。

高达1.2Tbps流量DDoS攻击、250万个IoT殭尸大军、5亿个IP发动DNS查询请求、全球75家大型影音、社交网站沦陷、近百万台德国电信家用路由器停摆，这些统计数字是去年下半横行全球的殭尸网络Mirai所带来巨大IoT安全风险挑战。 趋势科技全球消费市场开发协理许育诚近日在台湾资大会上，也针对了现今越来越严重的IoT装置安全提出了他的解决之道，他认为企业要缓解IoT装置攻击威胁，应先建立IoT安全风险的正确心态。



许育诚表示，去年Mirai僵尸病毒在全球引爆一连串大规模DDoS攻击事件，罪魁祸首就是一大群嵌入Linux操作系统的IoT装置，如IP摄影机、CCTV摄影机、路由器等，作为殭尸网络的兵力。 甚至在这之后，他们还进一步发现，IoT装置受骇灾情今年有持续扩大迹象，不少以前较少被大量操控的IoT装置都开始被感染变成傀儡装置的一员，如连网汽车的影音系统、智能电视、网络储存设备NAS等，甚至这些受IoT装置攻击的国家，不再以美国为主，也开始在波兰、土耳其等地传出灾情。

黑客锁定IoT装置攻击事件发生今年将会更加频繁，许育诚也估计，今年下一波可能受到攻击的国家，很可能会是以IoT装置制造为主的几个国家，如中国和东南亚等国家。 「这也印证了IoT装置安全已经到了刻不容缓，急须要被解决的地步。 」他说。

许育诚指出，当传统的嵌入式装置开始成为连网装置后，也代表着安全开始出现漏洞。 他解释，这是因为IoT装置是由多层的不同技术架构而成，IoT装置从最底层到最上层通常包含了传感器、数据处理、数据连接、软件信息、 智能应用以及智能服务，每一层都存在不同程度的潜在安全风险，而从资安的角度来看，当漏洞越来越多，就会越危险，而影响企业及消费者的使用安全。

许育诚也表示，他和资安团队经过研究分析后发现IoT装置一般存在有5大安全弱点，因而容易遭黑客所利用，分别是（1）IoT装置本身已存在潜在可利用的漏洞、（2）使用不安全的网络协议、云端及行动App服务，或是提供不安全的软件、韧体更新、（3）仍保留不安全的网络端口、（4）允许未授权的系统变更，以及（5）授权/ 认证强度不够及缺乏足够安全的加密机制。



许育诚也坦言，面对IoT装置攻击威胁不断，IoT厂商终究防不胜防，但即使如此，他认为，IoT厂商针对IoT安全至少必须设下最后一道防线，即是必须提供软/韧体更新机制，以便于即使事后发现漏洞时，还可以紧急发布更新将漏洞修补，以避免影响范围扩大。

然而，许育诚也发现到，许多IoT装置制造商虽然都宣称有提供装置更新功能，但很多时候更新时并未提供韧体完整性检查（Firmware Integrity Check），以确保数据内容不会被未经授权者所篡改，以致于韧体反而变成了黑客当作入侵企业发动攻击前寻找漏洞的最佳分析目标，如从韧体分析中， 找出企业服务器藏身的地方或是如何进行基础设施部署等。

为何黑客特别爱用IoT装置当作攻击跳板。 许育诚解释说，这有几个主要原因，例如这些IoT装置本身可以全天24小时连网、跟PC相比较无安全保护机制所以进入门坎低，或是任何人都可以黑市便宜价格取得IoT攻击工具，更重要的是，他说，许多企业内部关于IoT装置管理的权责往往划分不易，难以认定该归于IT人员管或是属于维运人员负责，以致于造成自家后门大开，有了让黑客趁机而入的机会。



许育诚也提出了强化IoT装置安全的最佳实践方式，企业可以遵循Invest Critical Device、Build it secure以及Keep it Secure的作法，以强化IoT装置安全。 他表示，在IoT安全投资方面，企业必须要把投资重点摆在真正该投资的IoT装置上，而不是一味全部投资。 这些IoT装置必须是可能对公司或客户造成影响重大的IoT关键装置。 此外，IoT厂商也应该建立起正确的Build it Secure心态，任何装置只要开始连网就一定会有安全风险，所以产品出厂前就一定要提前做好安全质量的把关，才能够将损害降到最低。

而要建立起Build it Secure的正确心态，许育诚也强调，除了要有公司高层愿意支持外，过程中也必须要定期进行团队训练、采用审计机制，以及与第3方合作厂商的配合，才能逐步建立该有的IoT安全正确观念。 接下来，还要建立一套安全软件开发生命周期 (Security Software Devement Life Cycle )机制，以协助有效缓解IoT装置潜在攻击威胁，如此才能达到基本的IoT装置安全。

在IoT产品售出后，许育诚表示，企业更得做到随时能保持在Keep it Secure的状态。 这就得仰赖资安厂商的协助，在这些持续运作的IoT装置或设备中来提供企业或客户所需的安全防护，包括了IoT装置风险管理、系统保护、OTA定期升级，以及快速事件应变处理机制等。