做好防禦基本功 不讓連網裝置淪為駭客禁臠

台灣雲端安全聯盟理事長蔡一郎建議，企業應透過虛擬或實體的隔離方式做善設存取控制機制，且絕不使用預設帳密，以避免網路攝影機或NAS等IoT連網裝置成為資安禍源。

進入10月份，意謂2017年將近尾聲，回顧過去的一年，若從資訊安全的角度來看，可說是不太平靜的一年，其間不管是證券業與學校遭到DDoS攻擊勒索，史上第一隻勒索蠕蟲WannaCry 的肆虐，乃至近來備受討論的銀行遭駭事件，不論最終所掀起的波瀾是大或小，全都帶給人們莫大震撼，自知不論在今年或是更長遠的未來，各行各業都將無可避免與駭客威脅為伍。

更值得一提的，以現今企業界最流行的辭彙「數位轉型」而論，意謂今後有愈來愈多公司導入智能化、人工智慧(AI)、物聯網(IoT)…等等數位科技，且實際運用於核心的營運流程；因而不難想像，未來連網裝置數量必然急速攀升，從而可能衍生許多前所未見的新資安議題，甚至進一步從虛擬世界反噬實體安全，任何產業、尤其是攸關於關鍵基礎設施的擁有者，萬萬不可掉以輕心。

IoT裝置為今後首要防護標的

台灣雲端安全聯盟理事長蔡一郎表示，展望即將來臨的2018年，確實有不少值得留意的資安議題，首當其衝的便是IoT裝置，只因為太多資安威脅皆與此相關。

他進一步指出，IoT是一個蓬勃興起的熱門話題，相關裝置的設計初衷，在於契合貼近市場需求，營造親和便利的使用者體驗，至於資安防護，難免被擺在較後面的順位，因此如果以資安觀點來檢視這類設備，其架構確實不夠嚴謹，往往只需透過簡單的帳號與密碼登入，便可獲取管理權限，更可怕的是，IoT裝置出廠時所預設的帳號與密碼，一直到後續用戶真正上網使用，通常絲毫未變。

試想，當大量IoT裝置出現在智慧家庭應用場域，而人人都習以為常藉由App或網路設備來控制這些裝置，可說與生活密不可分，倘若箇中的認證機制不安全、甚至存在著高風險，而萬一駭客又對這些漏洞知之甚詳，那麼可想而知，使用者的隱私資訊，都可能任由駭客予取予求。

個人如此，企業亦然。以公司頗為倚重的監控攝影機，過去走的是CCTV類比技術，系統結構相對隔離封閉，如今轉向IP Camera，改走網路、Wi-Fi接取，儘管可收部署簡易之好處，但也意謂早先的隔離環境不復存在，給予有心窺探他人隱私的人士可乘之機。

蔡一郎說，不少人應該都聽過「Network Live IP Video Cameras」這個網站，它會利用一些預設帳密進行測試，看看是否能取得受測攝影機的控制權，一旦取得，就會透過其網路持續揭露即時畫面；截至10月上旬，全台灣有391支攝影機淪為苦主，範圍涵蓋公共區域、家庭與企業，其中又以後兩者的情況最為堪慮，因為不僅牽涉到隱私的侵犯，更有甚者，若畫面揭露範疇為生產線、辦公室，或是提供諸如水、電或交通運輸等關鍵服務的場所，亦有營業秘密外洩之虞，既傷面子也可能傷了裡子，後果不堪設想。

另一方面，假使企業的監控攝影機處於不設防狀態，輕易可讓外人擷取即時影像畫面，也意謂其監控系統必定有脆弱之處，通常是久未更新且漏洞橫生，如此一來，就很容易成為駭客的禁臠，遭植入木馬，淪為攻擊全世界的跳板；以去年底引發一陣騷動的Mirai攻擊事件，背後的幫兇便是大量網路攝影機，時至今年，即使不再出現如此驚天動地的大型攻擊活動，但零星事件仍屢見不鮮，足見IoT裝置安全，確實是不容輕忽的課題。

因應惡意程式，企業需有偵測與隔離對策

如果把IoT裝置範圍往外延伸，一併納入諸如手機、平板等使用者端設備，那麼值得憂心的問題就更多了，其中最大的潛在禍患，便出現於App。

持平而論，絕大多數的使用者下載App，都是以滿足使用需求為優先考量，通常不會把安全與否視為首要衡量依據，所以在安裝過程中不管被要求提供任何權限，常常照單全收，殊不知有若干惡意程式，就這麼潛入行動設備，比起從前駭客必須想方設法突破防毒軟體等多道防護關卡才能入侵個人電腦，可說更加容易。

前述現象對於企業來說，稱得上一大隱憂。舉例來說，不管是外部的訪客、協力夥伴，甚或是內部的合法員工，萬一他們的個人手持裝置當中，安裝有惡意App並試圖進入企業內網，那麼企業必須捫心自問幾件事：第一，有可能在第一時間就識別出這些不安全的裝置，繼而限制這些裝置連結企業網路嗎？其次，企業是否針對較為敏感的環境進行隔離，以避免一些已經乘隙潛入的惡意App，有機會輾轉碰觸到公司的機敏資訊？

蔡一郎認為，站在企業網管的角度，現今的確是史上最麻煩的時刻，因為沒有辦法阻止員工上網、或使用一些有助於促進溝通的軟硬體工具，所以假設有人的使用習慣欠佳，或長時在外接觸高風險的網路環境、因而感染惡意程式，皆可能讓駭客不費吹灰之力直接進入內網，並建立對外溝通的後門管道，從而竊取機密資料或散佈勒索病毒，不論結局為何，肯定都不是企業主所樂見；更值得留意的，隨著地下經濟活動日益成熟，生態體系愈趨完整，對於暗網熟門熟路的人，不見得需要身懷攻擊技巧，都可透過比特幣的支付，取得惡意軟體或散播服務。

面對山雨欲來的安全威脅，特別是伴隨IoT裝置而來的新議題，企業該如何因應？蔡一郎建議，企業務須從網路架構的設計上做好存取控制，至於可行的實踐方式，則包含了實體、虛擬或系統安全角度等不同途徑，無論怎麼做，只要能落實網路安全策略即可。

三種途徑，落實IoT設備的存取控制

以監控攝影機為例，過去CCTV架構即是一種實體隔離的型態，如今走向IP化，也可採取類似做法，即是透過獨立設備來串聯這些攝影機，管理者必須在特定場合、借助專門設備，才能調閱監視畫面。有別於前述的實體隔離，另一種隔離做法則偏向虛擬型式，意即透過特定虛擬網段的切割，作為攝影機的部署點，而不管是虛擬或實體隔離，目的只有一個，即是不讓外界有心人士可以隨隨便便接觸或操控這些攝影機。

除了隔離手段外，企業亦可從系統安全的角度，補強攝影機、甚或NAS等IoT裝置的防禦罩門，最根本的做法，便是絕不使用預設的帳號與密碼。

台灣使用預設帳密普遍  凸顯資安防護觀念薄弱

也許不少人好奇，變更預設帳密，乍聽之下為理所當然之事，為何此刻仍需要大聲疾呼？蔡一郎引用了Shodan.io網站所披露的即時統計數據，凸顯此事的急迫性。截至10月上旬，綜觀台灣採用的網路攝影機、NAS或相關套件，經統計有多達9,470台設備，被證實依然使用譬如admin、1234等預設帳號或密碼，數量位居全球之冠，且是連續4個月維持領先地位，由此可見台灣民眾或企業對於IoT安全的防護觀念仍舊薄弱，甚至在全球名列後段班，亟待改善的空間相當大。

此外針對勒索軟體等惡意App的防護，就基礎層面而論，蔡一郎建議優先關閉郵件預覽功能，並教育使用者，絕不點擊經過加密的附檔，避免駭客透過社交工程攻擊輕易得逞；若就積極的層面，企業可考慮架設入侵防禦系統(IPS)或建立誘補機制，藉以探知究竟何方神聖有意入侵其內部網路，再據此研擬因應對策。