物聯網裝置淪為駭客獵物 晶睿籲用戶提高警覺

當前最火紅的科技議題，非物聯網(IoT)莫屬，因萬物可連網的概念可讓人類生活更便利；隨著IoT盛行，意謂大量裝置成為各種智慧應用的載體，不僅可連網，也具備智慧運算功能，假使欠缺安全機制，就可能輕易淪為駭客的攻擊對象，用戶尤須嚴加提防。

近一年多來的資安事件頻傳，包括網路攝影機成為有心人士的偷窺利器，或安全監控設備遭僵屍病毒感染、成為DDoS攻擊跳板，甚至許多物聯網設備也淪為駭客潛進企業內網、竊取機密資料的途徑。安全監控設備本肩負守護安全使命，如今竟存在資安漏洞，反倒令用戶曝露於高度風險，所有設備廠商都需提高警覺、加強資安管理。

慎選口碑品牌  為資安自保的第一步

晶睿通訊品牌研發處協理鄭聖夫建議，企業機構要想避免網路攝影機出現資安隱患，不妨採取幾個簡單且基礎的因應之道。首先挑選具有市場口碑的品牌，主要是因為，這類型供應商皆以提供安全設備為職志，會從資安角度檢視產品設計，嚴格要求所有韌體皆為自製，避免採用外來機板與韌體。

其次用戶應加強對密碼設定的認知，且力求設定高強度的密碼，藉此建立基礎的防護實力；但不可諱言，駭客攻擊技巧日新月異，企業單憑密碼保護尚不足以抵禦駭客來襲，此時須從網路攝影機的設定尋求補強，提升安全等級，拉高駭客的攻擊門檻。

再者，當用戶開始啟用網路攝影機後，對於韌體更新務須抱持高度警覺性，定期進行軟體、密碼更新，並檢查日誌檔有無異常登入或操作的狀況，以免因為疏於升級而徒留安全罩門。

善用資安強化手冊  確實執行防護設定

鄭聖夫表示晶睿通訊自成立起即設立通訊協定組，此團隊不僅關注產品的互通性，亦對資安著墨至深，致力提升設備本身的資訊安全，比方說10年前領先同業導入HTTPS技術，據此建立使用者認證、加密傳輸等安全機制。

鄭聖夫進一步解釋，晶睿通訊擁有自有品牌、代工等兩項主要業務，而在與代工客戶合作的過程中，隨著客戶在資安部分的要求，養成了對於資安規劃的嚴謹態度，自有產品的設計，除講求方便性，也格外重視安全性。

另外，也建議企業可與第三方資安團隊合作，雙管齊下加強資安管理。從多年前開始，晶睿通訊即與台灣領導的資安顧問公司合作，針對旗下網路攝影機、軟體、App、網路監控系統(NVR)等等所有產品，皆透過顧問公司利用套裝軟體工具執行資安檢測。

到了近年，更積極擴展第三方安全認證的觸角，一方面與曾獲得資安競賽冠軍、由駭客團隊組成的資安公司合作，二方面贊助台灣駭客年會Hack2Own活動，意在借重年輕白帽駭客的技藝，經由人工滲透測試的過程，及早挖掘資安的改善點。

近期由於駭客利用監控設備發動DDoS攻擊事件，引發軒然大波，使許多用戶備感惶恐，紛紛尋求強化之道。為滿足用戶的殷切需求，晶睿通訊植基於長期扎根資安的研發成果，也在近期推出Security Hardening Guide資訊安全強化手冊，內含基本、進階、企業等由淺入深的防護強度，希冀透過明確的步驟指引，幫助用戶完成正確設定，達到預期的防護水平；其間包含了限定僅容許由固定IP登錄使用(ACL)、關閉不必要的服務、進階網路設定(802.11x)、SSL等細膩設定程序。

鄭聖夫強調，今後駭客攻擊手法仍將推陳出新，防守方必須持續與時俱進、見招拆招，才能抵擋惡意攻擊；故晶睿通訊現今在資安上所做的種種舉措，都是進行式、而非終點，包括資訊安全強化手冊內容將會不斷強化，並力求讓指引步驟趨於簡易友善。

此外也規劃在下一版韌體，納入密碼設定的強制性規則，並要求達到一定強度，展望未來，更亟思建立一套主動提醒機制，期望協助用戶即時察覺可疑活動，立刻採取因應措施，讓駭客就此鎩羽而歸。