物联网(Internet of Things,IoT)应用越来越普及,但相关安全防护措施仍相当缺乏。趋势科技表示,IoT 有四大特点:24 小时联网、资安防护脆弱、Botnet 攻击成本低,以及资安责任归属难厘清,成为骇客攻击的好目标。
2016 年 10 月 21 日,Dyn 公司 DNS 服务遭 Mirai 恶意程式带领的 Botnet 大军攻击,导致数个大型网站如 Github、Twitter、Netflix、Reddit 服务受到影响。其中被感染受 Mirai 控制的僵尸装置,绝大部分是 IoT 装置。
据趋势科技统计,全球已经有 49.3 万台 IoT 装置受感染,5 亿个 IP 位址被恶意操控要求域名服务器进行 DNS 解析,超过 75 个重要网站受到影响,其中包括 Mirai 发动的 DDoS 攻击。
IDC 亚太地区资安副总裁 Simon Piff 建议,IoT 生产商应改变生产产品后就结束产品生命周期的作法,要改变商业模式,导入订阅制模式,持续提供使用者服务,以便负起产品的资安防护责任。业者应避免大量生产却无后续维护的 IoT 产品,成为 Botnet 下手的好目标。
对企业 CIO 来说,IDC 的 IT 安全成熟度报告发现,2017 年亚太区除日本外,仍有八成以上企业资安防护成熟度低落。企业需认知在连网状态没有 100% 安全,要以风险管理角度来管理公司的资安风险。
趋势科技台湾区暨香港区总经理洪伟淦谈到趋势科技持续加强资安防护,邀请资安专家担任红军,找出趋势科技产品的漏洞。近年来趋势科技以公司内部成员组成红军,持续找寻产品漏洞,透过不断演练加强产品的安全性。
趋势科技针对 IoT 资安风险,提出四大资安建议:
- 公共安全:城市重要的水或电力等资源供应可能成为骇客目标,或是智慧交通运输系统也可能因为骇客入侵导致重大车祸事故。
- 经济损失:企业及家庭等重要连网管理系统或装置,可能遭骇客植入恶意程式并索取钱财。
- 营运中断:骇客入侵并操纵企业及组织重要系统,使沟通或运行中断。
- 资料外泄:骇客截断沟通系统以截取居民或用户重要个人资讯。
