物聯網資安防護將是未來趨勢

資策會資安科技研究所組長毛敬豪。

資安議題層出不窮，就在10月底又有駭客透過DDoS攻擊，癱瘓美國的重要企業。但這一次被攻擊的對象，並非一般常見的電腦主機，而是IP攝影機和相關的DVR攝影機，資策會資安科技研究所組長毛敬豪指出，在物聯網技術應用已經日漸普及的今天，物聯網的資安議題也已浮上檯面，需要大家的關注。

據瞭解，駭客們是使用了一種被稱作「物聯網破壞者」的MIRAI病毒，這是一種會通過互聯網搜索物聯網設備的病毒，當它掃描到一個物聯網設備(如網路攝影機、智慧開關等)，就會嘗試使用默認密碼進行登入，一旦登入成功，這台物聯網設備就會被駭客操控，攻擊其他網路設備。

毛敬豪指出，物聯網病毒的攻擊手法通常比較單純，主要的方式就是在異質平台不斷的散佈惡意程序，原因與物聯網設備的認證比較簡單有關。尤其在2015年11月的法國巴黎恐怖攻擊事件後，歐洲各國開始大規模佈建IP攝影機，但由於這些IP攝影機，後來被發現有兩個漏洞，讓物聯網病毒有機可趁，因此被惡意程式入侵。

類似的入侵方式，也可能會出現在其他使用物聯網技術的領域，毛敬豪以醫院內網為例，很多人都以為很安全，但在智慧醫療應用日漸普及的今天，許多醫療設備其實也有可能成為惡意程式攻擊的目標。

毛敬豪指出，物聯網資安防護的關鍵，在於如何將散佈在不同媒體的漏洞關連起來，其中用人工智慧(AI)來做資安情資分析的新創公司越來越多，更可發現機器學習(Machine Learning)在未來的物聯網資安防護所扮演的角色將會愈來愈重要，如深度學習(Deep Learning)會自動尋找對應的功能，查找適當的特徵空間。

Graph mining(圖形挖掘)則是可以幫助IT人員建立惡意程式感染過程的關聯圖。毛敬豪表示，由於惡意程式打入內網後，往往會從意想不到的來源打進去，必須要建立關聯圖，將整個事件的時間軸(生命週期)建立起來，再萃取出情資進行漏洞修補或執行其他防範手段。

毛敬豪指出，雖然大多數的資安防護資訊都是針對網頁為主，但目前也已有針對物聯網已有資源、情資及證據的提供管道，尤其是社群網站，往往可以提供更多的相關幫助，如IBM也已開始用外部的非結構資料及內部情資來找惡意程式。

如透過Twitter串聯討論，先找到專家及相關內容，再由社群反應，評估漏洞是否會出問題，再研究要先阻擋那些漏洞。毛敬豪表示，馬里蘭大學研究發現，先看到漏洞，再比較Twitter的討論，就可透過這些情資，判斷這個漏洞是否有可能會爆發，而形成資安事件。

此外，由於物鏈網設備所存在的弱點，很可能會有很長一段時間不會被發現，從被發現到被捕捉的時間(Zero day attack)要儘量縮短，之後才能進行修補。由於CVE、NVD、vuldb的時間差，彼此都會有關聯，可以用來研判漏洞出現時，是否要先做修補。

使用Honeypot來誘捕惡意攻擊，也是未來的重要趨勢。如日本橫濱大學教授吉岡克成(Katsunari Yoshioka)建立的IoTPot專案，可以逆向找出那些設備被攻擊；捷克的專案Project Turns到INDIEGOGO募資，居然募到1,145,638美元，可見用誘捕來追蹤資安情資會是未來值得觀察的趨勢。

毛敬豪再以用於行動支付的HCE技術為例指出，惡意程式有可能會將軟體憑證抓出來。因此HCE資安防護的重點，首先是行動支付應用程式的安全性，包括確保執行程式的環境安全、確保執行程式正確，防止反組譯工程，可用白盒加密，其次是客戶端與後端平台需要認證，建議在開發時期，就要導入核心層級的安全防護機制。

毛敬豪最後指出，物聯網智慧應用的資安挑戰在於異質平台，資料分析將是未來資安關鍵，甚至透過學習駭客攻擊手法，了解如何落實資安策略，都會是未來資安議題的關注焦點。