物聯網安全不只限於物聯網設備亦包含物聯網場域的安全檢測,考驗著企業資安部門的監控防禦能力資訊發展與聯網設備的關係越來來越緊密,於是逐漸地建構起了一個巨大的物聯網。IoT 裝置量在2018即將達到三十五億,2020預測更是即將達到五十億。人們與物聯網設備之間的連結越來越密切,物聯網設備的安全性將直接影響到我們的生活。有鑑於此,物聯網設備的安全必須受到妥善的保護。
2015年之前,大量物聯網設備就已被網路路犯罪組織與惡意攻擊者鎖定。從 2016 年開始,基於物聯網設備發動的 DoS攻擊開始橫行全球網路。由於一般使用者與企業往常只專注於伺服器與個人使用端設備之安全問題,因此安全性脆弱許多的物聯網設備就成為了網路犯罪組織與惡意攻擊者極易下手的目標。而根據預測資料,在 2020 年前,企業將會有25%的攻擊與物聯聯網設備相關( 例如:針對物聯網設備感染的蠕蟲 Mirai )。
物聯網的安全挑戰
物聯網設備安全性普遍低落於傳統的伺服器與個人使用端設備。因此設備本身而言其幾項安全挑戰如下:
低成本低功耗:
高加密依賴於高功耗運算,物聯網設備普遍因成本考量而設計為低功耗設備,在運算能力上較為低落。在輕量級加密演算法尚未有大幅度的進展下,低功耗設備將在考量較率的情況下,只能進行低加密運算。而針對低加密破解所需之運算力,對於攻擊者而言不只成本允許且易於取得。
使用週期長且不易更新:
物聯網設備普遍使用週期較長且廣泛部屬,通常為維護工廠場域內之穩定作業環境,在無必要需求狀況下,通常不會進行設備更換或是更新作業。在現今資訊科技發展速度下,攻擊者持有的運算力持續成長,但設備通常維持不變,原有加密可能被攻擊者輕易破解。( 例如 : RSA512 目前已可於不長的時間內破解。) 同時也因為使用週期較長,如多年後設備有暴露在通用漏洞風險或是遭挖掘出漏洞時,可能有廠商已倒閉或是已無支援的情況發生,造成設備持續暴露於安全風險下。
產品混雜不易管理:
物聯網設備不同於主機設備與行動裝置,尚未形成(如 Windows & Linux 或 Androids & iOS )兩兩⼤大陣營競爭之局面。市面上除了有各家聯盟或大型企業提出之協定與設備,同時也有許多白牌廠商的廉價設備混雜。在協定與系統因為不同廠牌、不同型號和不同協定造成物聯網設備無法整合或統一控管的情況下,將造成場域內物聯網設備的管理與盤點上之困難。而由於多年來都未將這些設備列管,許多企業可能知曉內部 PC 或 Server 數量與資訊,卻對物聯網設備之數量與資訊一無所知。
無法即時洞見資安風險:
由於物聯網設備之管控與檢查較為困難,不同於傳統網域環境中,可透過管理設備/系統,將企業內部電腦統一進行更新佈署與管控,並且在收到漏洞情資後。第一時間內進行預防或修補措施來降低遭受攻擊的風險。在未能控管且統一進行更新的物聯網場域中,如何第一時間了解與查核內部物聯網設備暴露於漏洞風險的狀況,將是管理者的一大挑戰。
難以驗證漏洞修補情況:
近年來許多物聯網設備在能連公開網路的狀況下,皆會自行進行設備之更新,以修補系統漏洞增進設備安全性。但在沒有統一控管的情況下,物聯網設備更新與安裝修補包後,除了難以驗證是否更新或是修補成功。更難以驗證的是內部是否還有未修補或遺漏之設備。
不見得有漏洞情資:
許多小量生產、客製化開發或白牌廠商製造之設備,可能無資安人員對其進行研究並發佈相關的漏洞情資。同時也可能存在該設備,可能暴露於某通用漏洞之情況下,但因設備型號較無人所知,因此未被列在漏洞情資中。而這時就需要委由專業的資安團隊進行檢測與挖掘。
「萬物聯網,戰場更廣。」
上述僅提及幾項較常見之物聯網安全挑戰,而從上述內容,我們可了解到,物聯網安全不只限於物聯網設備本身,更多的是針對整個物聯網場域的安全檢測。「萬物聯網,戰場更廣。」當企業內部佈建越來越多的物聯網設備,加速企業的資訊化與提升營運效率的同時,也考驗著企業資安部門的防禦能力。
物聯網場域安全新思維
因此,盧氪賽忒建議不要拘泥於以往的防禦思維。除了傳統的邊境防禦設施與內部監控防護外,主動了解物聯網設備的安全風險狀況是必不可少的。
在尚無能夠統一控管所有物聯網設備的解決方案前,先定期針對物聯網設備進行情資蒐集,建立對於內部物聯網設備佈署狀況的了解,同時先針對近年的重大通用漏洞(例如:MS17-010 SMB漏洞)進行漏洞的利用驗證與風險檢視。而針對未有漏洞情資之設備,可委由第三方資安團隊進行漏洞挖掘與研究後。如有發現漏洞,將可使用第三方資安團隊提供之PoC程式進行內部漏洞危害的清查與驗證,如後續取得修補包進行修補後,也可使用該PoC驗證修補是否完整。
顯然的,在物聯網設備數量龐大的情況下,自動化或半自動化的輔助顯然是不可少的。尤其是在取得漏洞 PoC 程式後,快速且即時的針對物聯網場域內的設備進行掃描、分析與漏洞驗證,並整理成一份完整的報告,為後續的防禦措施提供依據。
目前市面上半自動的解決方案都偏向於傳統的弱點掃描工具,雖在檢測效率與廣泛度上較高,但是在於精準度上,同樣面臨傳統弱點掃描工具精準度較低之問題。同時弱點掃描軟體較難真實驗證漏洞是否能成功於設備上利用,且無法即時利用取得的漏洞PoC程式進行驗證, 必須等待原廠發佈更更新後才能進行行該漏洞的驗證與風險的判定。而這並不足以響應駭客快速的進攻節奏 (許多重大漏洞在PoC 公開後的12 小時內,都已有駭客將之修改利用並開始發動攻擊。
盧氪賽忒建議安全團隊除了平常使用弱點掃描方案進行快速檢視外,應佈建可快速利用PoC進行掃描、分析、漏洞驗證並自動化產生報告之系統,以響應駭客的進攻節奏與適應。安全團隊可透過相關免費滲透工具進行組建(例如:使用armitage、metasploit、namp...等工具) 或是購買相關解決方案 (例如:ArgusHack-Carrier、Metasploit Pro ...等)。
同時勤於蒐集各類物聯網漏洞情資與PoC程式,對於內部小量生產、客製化開發或白牌廠商製造之設備進行測試與研究。而如果團隊內部人力與資源有限的情況下,可委由第三方資安團隊進行漏洞之挖掘與研究。同時也可尋求第三方資安團隊訂閱物聯網漏洞情資與PoC程式,更可在既有人力與資源不變的情況下降低防禦負擔與提升整體安全。
「萬物聯網,戰場更廣。你跟你的團隊準備好應付駭客的快速進攻了嗎?」
