物聯網資安時代 提升鑑識能力當務之急

2016年10月，駭客使用Mirai病毒控制了美國大量的IP攝影機和相關的DVR攝影機後，再用這些設備攻擊美國的多個知名網站，一共有超過百萬台物聯網設備參與了此次DDoS 攻擊，包括Twitter、Paypal、Spotify等，也導致這些網站被迫中斷服務，超過半數人無法上網。SecuDemy.com

由於駭客藉由入侵所得到的利益愈來愈驚人，依據「Some hackers make more than 80,000 a month —here’s how」調查，目前透過地下網路黑色產業鏈方式，駭客也能月入8萬美元，導致駭客活動日益猖獗，也讓資安問題帶給企業損失的問題日趨嚴重。

依據2016年世界經濟論壇的全球風險報告內容所述，每年因網路犯罪所造成的經濟損失超過4,450億美元(約合新台幣14兆4,358億元)。根據Gartner報告指出，2015年全球資訊安全支出將達754億美元，年成長4.7%，支出的成長動力主要來自政府專案、更多法律制定及多起重大資料外洩事件，可見數位化企業正逐漸影響人們對資安技術的興趣，尤其是雲端、行動運算以及物聯網。

物聯網時代帶來資安新威脅

隨著智慧型裝置與通訊網路的技術成長，電腦再也不是連接網際網路的唯一方式，物聯網(Internet of Things；IoT)已經融入在各種製造或服務的通路中，舉凡金融、交通、醫療等各種應用領域，都會用到物聯網技術，如IP攝影機、感測器等，許多調查機構如Gartner、IDC及BI Intelligence等都預估，未來3年間的物聯網裝置數量，將達到150億個至250億個之間。等於平均每天有超過550萬物件，持續接軌物聯網。

但由於物聯網設備的通信傳輸與身分認證，相較於一般電腦比較簡單，原本就很容易成為駭客攻擊的目標。如有一種被稱作「物聯網破壞者」的Mirai病毒，當它掃描到一個物聯網設備(比如網路攝影機、智慧開關等)後，就會嘗試使用默認密碼進行登入，一旦登入成功，這台物聯網設備就會被駭客操控攻擊其他網路設備。

就在2016年10月，駭客使用Mirai病毒控制了美國大量的IP攝影機和相關的DVR攝影機後，再用這些設備攻擊美國的多個知名網站，根據國外網站 KerbsonSecurity的調查，一共有超過百萬台物聯網設備參與了此次DDoS攻擊，包括Twitter、Paypal、Spotify等，也導致這些網站被迫中斷服務，超過半數人無法上網。

雖然目前的物聯網病毒的攻擊手法通常比較單純，主要是在異質平台不斷的散佈惡意程序來進行DDoS攻擊，但只要能造成網站服務中斷，依然可以造成相當程度的破壞，未來隨著物聯網功能更為複雜，智慧自動化的能力也變得更強時，等於也代表物聯網病毒的破壞力也會更強，相關業者不可不慎。

物聯網資安時代  AI重要性更高

物聯網的組成，可以簡單的區分為終端裝置(End-device)、通訊媒介(Network Media)及後端系統(Backend System)三大部分，再透過網路來交換彼此的資料，如何將散佈在不同部分的漏洞關連起來，是物聯網資安防護的關鍵。

趨勢科技指出，駭客可能對物聯網進行的攻擊，包括：

監聽攻擊：這種攻擊會用到監聽程式(sniffer)，竊聽任何透過網路傳送的未加密資訊再加以竊取；阻斷服務攻擊：網路犯罪分子利用這種攻擊來封鎖或阻慢對某些網路或設備的使用。

金鑰淪陷攻擊：在此類攻擊中，用來加密通訊的金鑰被竊，被用於解譯加密過的資料；基於密碼的攻擊：網路犯罪分子利用這類攻擊來入侵網路或連到特定網路的設備。主要是經由猜測或竊取密碼；中間人攻擊：在此種攻擊中，第三者會竊走雙方或設備間傳輸的資料。

趨勢科技建議IT人員，一定要啟用物聯網設備上所有的安全功能，並且要定期更新產品韌體，同時更要不斷的研究物聯網設備是否能夠正確地加密其韌體更新和網路通訊。因為物聯網設備即使宣稱具備加密能力，仍有可能加密不當或不完全，管理人員務必要搜尋設備型號，以確認是否存在任何歷史性安全問題。

最重要的是，一定要使用安全的密碼，才能阻擋Mirai之類的病毒攻擊。IT人員更要了解物聯網設備製造商，如何管理他們的設備漏洞，如根據安全公司的數據顯示，發生在2016年10月底在美國的Mirai病毒DDoS攻擊事件中，被駭客控制的設備，主要是來自於大陸雄邁(XiongMai)科技生產的設備，可見雄邁設備的漏洞，已經被惡意份子和網路犯罪分子所掌握，IT人員必須要與製造商共同合作，如何解決資安問題，才能免於遭受此種威脅或是暴露在進一步的風險中。

但物聯網設備的數量龐大，且可能安裝在各種環境中，IT人員如果要靠人工一一管理，恐怕力有未逮。因此使用人工智慧(AI)或是機器學習(Machine Learning)來做資安情資分析技術，在未來的物聯網資安防護將會愈來愈重要，如深度學習(Deep Learning)會自動尋找對應的功能，查找適當的特徵空間，或是透過Graph mining(圖形挖掘)，幫助IT人員建立惡意程式感染過程的關聯圖。

整體性持續防禦比預防攻擊更重要

事實上，隨著企業內部的資訊環境日趨複雜，想要阻擋駭客攻擊的難度也愈來愈高。以發生在2016年7月的一銀ATM盜領事件為例，推測駭客早在數個月前，就先透過釣魚郵件，進行社交工程利用一銀海外分行的PC入侵內網，再駭入電話錄音伺服器，暗中竊取內網管理者帳密。

同時暗中蒐集入侵ATM的情報，包括觀察ATM派送方式和實體位置，並竊取配送系統管理者帳密，然後偽裝合法更新，上傳駭客特製的DMS更新檔，將ATM主機Telnet服務從手動變更為自動啟用，開啟遠端連線端口，最後植入ATM控制木馬遠端遙控一銀北中兩地的41臺ATM，盜領8,327萬多元。

值得注意的是，駭客的入侵過程其實相當複雜，也不太可能一次入侵就成功，但長達數個月的入侵過程，卻完全沒有警示系統有異常現象，才會讓駭客擁有無限次的機會來突破防禦。此外，在當前網路環境下，想要完全避免所有的網路攻擊，可能性非常低。

Gartner甚至於2014年2月提出「預防無用論」(Perfect prevention is impossible)，表示企業絕對無法成功阻止針對性攻擊的入侵。因此企業應永遠假設自身正受攻擊，設法透過風險管理導向的資安治理，儘可能地降低攻擊所帶來的衝擊與影響，故整體性的持續防禦流程(continuous threat protection process)，可能比預防駭客的攻擊更重要。

企業務必要認知，在這個與風險共存的時代，資安管理治理議題，已經不再只是IT課題，而是企業經營管理議題，董監事管理階層務必要有對資安議題孰悉的專家，才能由上而下做好風險管理。

更重要的是，為了能夠針對不斷進化的安全威脅即時調整，並持續監控風險與強化管理能力，企業一定要定期舉辦涵蓋業務與IT的資安事件緊急應變與攻防演練，而不是採購設備之後，就以為高枕無憂，最後更要建立還原真相與訴訟支援的數位鑑識能力，即使駭客成功入侵，也能將損害降至最低，同時避免更進一步的入侵事件發生。