【專訪】物物聯網資安風險升高,解析趨勢科技層層布建的 IOT 防護架構

作者 | 發布日期 2016 年 11 月 25 日 8:00 | 分類 物聯網 , 資訊安全
1124-IOT security

「勒索軟體今日可以威脅你的電腦,明日就能威脅你的 IOT 裝置。」趨勢科技執行長陳怡樺看到隨著 IOT 發展而帶來的資安危機,但過去我們想到的資安防護就是安裝防毒軟體,那麼,IOT 裝置上也能裝防毒軟體嗎?在趨勢科技東京舉行的年度「Direction」大會上,《科技新報》訪問到趨勢科技開發部協理沈維明,請他說明 IOT 的資安防護架構,讓所有開發 IOT 產品,提供 IOT 零組件,甚至是作為消費者的我們,都該知道怎麼避免 IOT 裝至被駭客攻擊入侵。




Q:趨勢科技將 IOT 分三個領域,提供不同的解決方案,分別是 HOME(家庭)、Car(汽車)、Factory(工廠),為什麼要分為這三個?

沈維明說,未來沒有東西不是連網,但如我不切產業去細看,解決方案無法針對這個產業的系統架構去保護他們所需要的東西,解決他們的痛點,因此在起步時先從產業別來劃分,至於到最後會不會變成通用性的服務,還要再觀察後續發展。

而會選擇家庭,是因為趨勢科技在家庭資安防護做 20 幾年,有既有的夥伴以及既有市場;選擇工廠也是因為趨勢科技投入在工廠系統設備的資安防護已久,有既有客戶在手邊,而這些客戶在工業 4.0、工廠自動化的趨勢下,資訊的流通已經不再限縮於內部網路,當網絡變得更複雜,因此也更加需要資安解決方案;選擇汽車是因為連網汽車的發展已經具備雛形,而且他跟人的性命有關,汽車公司也深知這點,因此他們會更加願意注重資安防護。

事實上,趨勢科技用在這三種產業的解決方案也都不是新技術,而是老早就存在市場上的產品,只是重新組合。儘管 IOT 裝置才要大量發展,但連網的東西像是電腦、手機已經發展很多年,因此早就有端點、Gateway、雲端三種層面的產品,只是要開發出更符合產業的解決方案。

 

Q2:IOT  裝置不像電腦一樣可以裝防毒軟體,那要麼佈建資安防護網絡?它的資安防護架構長什麼樣子?

在趨勢科技的觀察裡,大部分使用者不會為了 IOT 裝置個別買資安防護,所以在 IOT 裝置的資安防護,趨勢科技選擇直接跟開發裝置的廠商、系統整合的廠商或晶片商合作,把安全軟體開發套件(SDK)整合在硬體裡,讓資安產品從雲端Gateway 連線端終端裝置端三個層面都能有相對應的資安防護。假設今天一個裝置開發者買了具有趨勢科技物聯網安全 SDK 的晶片,那麼他就直接可以把 SDK 套用至他的韌體設計裡。

沈維明進一步解釋安全軟體開發套件(SDK)能體宮的三步驟作用:危險偵測(Risk Detection)、系統保護(System Protection)、即時反應(Instant Response)。

Risk Detection:因為 IOT 裝置不能裝防毒軟體掃毒,因此安全 SDK 要不斷從各種使用行為去分析出異常狀況。像在系統層級,如果某天 CPU、記憶體用量暴增,一直處在很忙碌的狀態,跟平常使用狀況不同,那就要發出異常狀況的警訊;還有若程式執行(Code Flow)的順序跟平常不一樣,也要發出異常警訊,懷疑是不是被人改過;再來是連線異常,看平常都是該來自哪裡的 IP 連線、從哪裡的 IP 存取、平常網路用量、連線時間長短,假設過去都是從台灣的 IP 連進來,今天突然從歐洲、澳洲,那也該發出異常警訊。

另外還有一種是趨勢科技針對漏洞發出的警訊,通常裝置開發商不會去注意最新發布的漏洞、zero-day 的消息,而大部分開發者都是用第三方的函式庫,於是當趨勢科技注意到哪些第三方的函式庫或系統函式庫有必須注意的漏洞,那就會給予廠商警訊。

System Protection:在發現異常警訊時,安全 SDK 會阻斷系統的行動;但像是工廠、汽車或一些不可以阻斷而使得機器停止運轉的產品類型,那就會以白名單的方式讓 SDK允許某些程序執行,其他程序都阻斷。還有一種入侵防禦系統(Intrusion Prevention System,IPS),只要安裝安全 SDK 就能有這個保護膜,能阻擋在某些漏洞之下的攻擊模式,而且趨勢科技會隨時發布新的補釘阻斷各種新出現的攻擊,因此 IOT 裝置開發商就不用為了某個資安漏洞,花很多時間與力氣開發新的韌體。

Instant Response:這個其實是一個顧問性質的服務,趨勢科技會給裝置廠商、系統整合廠商或晶片商一些新的資訊,讓他們可以著手布局新的補釘或新的韌體,或者還可以做什麼以保護自家的產品。

沈維明建議 IOT 裝置廠商,可以直接使用晶片廠商或者雲端平台商已經有提供的趨勢科技資安 SDK,直接整合比較快,而且像在家用 IOT 裝置的收費方式,主要是採流量付費(pay by usage),用多少再付錢,不會還沒有賺錢就先付一筆資安布建費用。

 

Q3:汽車和工廠為了避免自己的資料受到危害,造成財產損失,願意投資在資安防護,但很多家用 IOT 裝置廠商或許是因為規模還小,或許是因為認為他們掌握的資料很不重要不會造成多大的財物損失,因此不願意花很多錢投入資安,趨勢科技有什麼方法可以解決?

沈維明坦言,以推動 IOT 解決方案兩年的經驗來看,家用廠商的確比較不以資安為優先,「我覺得是我們很熱,但廠商現在是不是願意跳進來」。

像 10 月 21 日域名服務器管理機構 Dynamic Network Service(Dyn)遭 50萬台的網路攝影機 DDoS 的事件,被駭客利用的 50 萬台網路攝影機,都是採用中國一間叫做雄邁(XiongMai)的主機板,就連賣出這麼大量產品的 IOT 零組件供應商都不注重資安解決方案,沈維明只能無奈表示,許多裝置商轉型做 IOT,但原先從單純做硬體、封閉系統起家的廠商沒有資安專業,因此會忽略這一塊,或者有做但可能不是做到很完整,曾經沈維明在跟這些廠商談資安防護時,他們都說自己的產品沒有問題,但請工程師檢查現有資安架構,或多或少都會發現有漏洞。

時間會讓這些廠商慢慢願意花錢在資安上,尤其 Dym事件讓許多 IOT 裝置廠商驚覺原來自己的設備會被用來做大規模的惡意攻擊行為,於是就有很多 IOT 裝置廠商主動來詢問趨勢科技該怎麼辦。沈維明笑說,Dyn 事件意外成為趨勢科技最大規模的行銷活動。

至於該怎麼辦,沈維明語氣肯定的表示,趨勢科技目前的 IOT 資安解決方案已經準備好,價格也可以負擔,佈建也不困難。

不過在家用 IOT 裝置廠商把資安架構做到完備以前,為了讓 IOT 使用者可以更放心使用,趨勢科技也計畫推出從家用路由器端檢查 IOT 裝置的流量是否有異常的解決方案,畢竟一個人家裡可能有很多連網裝置,要確知哪一個是安全的、哪一個可能不安全很困難,那就先從流量進出的 Gateway 加以提防。

 

延伸閱讀:

(首圖來源:科技新報攝) 

發表迴響