2018年12月3日 星期一

.三個層次八個技術回擊安全威脅爆紅物聯網燒熱安全需求

What is the Internet of Things (IoT) and how can we secure it?

瀚錸科技代理「ForceShield」,採用革命性的「動態應用安全架構」

來源:2cm 作者:蔡亦真 


  

2018年全球物聯網支出金額預估至7,725億美元,至2020年物聯網支出金額將突破1兆美元,屆時物聯網發展將更成熟,而物聯網安全問題也將更上層樓,預計未來的網路戰爭將成為「分析自動化」的攻防戰場。

物聯網概念的起源,最早由比爾蓋茲在1995年《未來之路》書中提到,對於未來智慧家庭的願景,描述家電透過網路鏈接,提供既人性又智慧的服務。

1998年,美國麻省理工學院提出物聯網(Internet of Things, IoT),物聯網一詞開始廣為人知。

過去無線網慧未普及,而且硬體與感測技術昂貴,所以物聯網的發展受到限制,近年來隨著行動網慧的成熟,與智慧聯網裝置的普及,促使物聯網應用發展快速,為提供更美好的生活、便捷的環境,無論是日常物品或工作環境中的裝置、設備都將走向數位化及聯網化,進而可以產生更好的使用體驗或效率。

不僅個別的物品或裝置本身,透過平台讓這些物品或裝置知曉彼此存在,並且相互溝通,應用的範圍從手錶、電視、冰箱、汽車,到整個工廠的作業設備、甚至是整個國家建設,點燃了萬物聯網的新時代。

根據IDC最新的全球物聯網地區調查,2018年全球物聯網支出金額預估至7,725億美元,逼近8,000億美元,年增14.6%。預期2020年將突破1兆美元,2017~2021年年複合成長率(CAGR)為14.4%。從地區分析,亞太地區年複合成長率最高,達42.5%,預計2018年亞太地區(APeJ)物聯網支出將達到2,917億美元,相較於2017年的2,601億美元,年成長率達12.1%。

亞太地區的物聯網需求遠高於其他地區,主要原因在於日本、韓國、新加坡與中國等亞太國家,將物聯網視作國家級基礎建設,積極投入龐大資金與資源實踐智慧城市有關(圖1)。

  1 亞洲地區物聯網市場呈現蓬勃發展數據源:IDC(2018)
  
製造業/運輸業出擊  2018年亞太區數位化轉型
IDC最新的全球物聯網應用調查,最大的IoT應用都是製造業與運輸業,所獲的投資分別為1,830億和850億美元。基於亞太地區製造業者看好物聯網所創造參數優化、在線上即時檢測與產能仿真等附加價值,積極朝工業4.0邁進,因而製造業為2018年物聯網支出最高之產業,佔總體支出17.7%,貨運監控佔總體支出8.0%,製造業與貨運監控為2018年物聯網支出最高的兩大產業。

  2 消費品、建築和醫療保健產業為下一階段物聯網發展產業數據源:IDC(2018)
  
全球物聯網應用為公用事業,預計獲得的投資為660億美元。消費者物聯網支出金額將達620億美元,位居第四大產業類別,主要應用包括智慧家庭、智慧安控以及智慧家電。

預估到2022年,推動物聯網支出的前五大產業,將是消費、離散製造、流程製造、運輸和公用事業,佔亞太地區總支出的60%,上述五個產業,之所以願意投資資金與資源,在巨量數據分析與商業分析,主要是認知到數據力等於競爭力。消費產業唯有掌握蒐集、分析、萃取龐雜數據數據的能力,方能在對的時間點、在對的通路推播對的產品服務,給對的顧客。

而隨著邊緣計算和人工智慧技術日趨成熟,IDC預估消費品、建築和醫療保健,將為下一階段物聯網快速發展之三大產業,未來5年可望成為物聯網支出金額,年成長最高的產業。

隨著數據的增加,以及物聯網設備的普及,物聯網中最關鍵技術之一的認知系統(Cognitive Systems),將幫助企業對數據進行進一步的譯碼解讀,並從數據中獲取更多的價值。

由於消費品、建築和醫療保健產業,是推動下一階段物聯網快速發展因素,對於個人資料的保護需求將更顯重要,物聯網所涵蓋的科技就包含網路、應用程序、行動化、雲端、大數據及人工智慧(AI),而威脅與駭客攻擊事件不再是偶發,已為日常共存的危機,所以物聯網安全需求性也因此大增。

物聯網安全層次化管理
物聯網層次結構分明,因此物聯網安全也要層次化的管理。所有的安全操作根據功能分層,分為安全環境、安全連接和安全應用。

物聯網安全的層次模型,是建立在物聯網層次模型的基礎上。物聯網分為感知層、網路層和應用層。物聯網的安全問題,對應其應用層的系統安全,與資訊安全問題、網路層的數據傳輸加密問題、終端感知本身的安全,及終端應用層的安全問題(圖3)。

2-1P91623300T26.png
  3 物聯網安全層次簡化模型

數據源:IDC(2018) 感知層是由端點設備所組成,也因此其安全在於資訊的收集安全與端點的安全。感知層對安全的需求是終端本身的安全標準,從晶片設計、電路設計等硬體到系統,及軟體都符合安全規範。

網路層即連接感知層和應用層的網路,在物聯網中,代表終端與應用層之間訊息(數據)傳送,也因此網路層的安全需求相當重要。應用層是具體的應用,安全包含用戶認證、數據儲存安全及權限管理等。

八大物聯網安全關鍵技術
由於物聯網安全的挑戰不斷加大,下面列舉了八項提升物聯網安全性的關鍵技術。

網路安全
包括無線網路與有線網路。然而新無線通信技術如射頻(RF)和無線通信協議和標準的出現,使得物聯網設備面臨比傳統有線網路,更具挑戰性的安全問題。

身份授權
物聯網設備必須由合法用戶進行身份驗證。認證的方式包含雙因子認證、生物辨識等。設備需要驗證其他的設備,加深安全的防護工作。

加密
加密主要用於防止對數據和設備的未經授權訪問。由於設備的樣式無法統一,也因此加密的安全管理也困難。

SCA(Side Channel Attack)
即使有足夠的加密和認證,物聯網設備也還可能面臨SCA。這種攻擊的重點不在於資訊的傳輸,而在於資訊的呈現方式。

安全分析和威脅預測
除了監控與安全有關的數據,還必須預測未來的威脅。

API保護
大多數硬體和軟體透過API訪問設備,這些API須有對設備進行驗證和授權的能力。

交付機制
需要對設備持續更新,以面對不斷變化的網路攻擊。

系統開發
物聯網安全需要在網路設計中,採用端點到端點的方式。

2016年Mirai殭屍病毒是利用物聯網這項科技存在的漏洞威脅因應運而生,主要的攻擊流量來自閉路電視(CCTV)、數位影像監控系統(DVR)等監視器,該攻擊來自於全球的9,793個IP地址,主要集中在10個國家,其中有18.4%位於美國,11.3%位於以色列,並有10.8%來自台灣地區。

值得注意的是,此次事件顯示針對應用層的DDoS攻擊已漸成風潮,以往鎖定應用層的攻擊有9成以上,不會超過6小時,而這次的攻擊移動卻持續了54小時,攻擊的變化防不勝防。

企業對於IT系統依賴日深,包含企業透過網路提供24小時不間斷的服務、逐漸將工作負載移到雲端、周遭的環境有更多的病毒穿透、企業內部對於安全意識不清,以及本身安全人力不足等問題,所面臨的安全風險也日趨複雜。

IT系統依賴日深 企業須重視安全風險
企業應因應安全事件提高處理的速度,透過打造有能力在第一線即刻處理因應安全事件的安全團隊,解決安全問題,降低安全事件對於企業所帶來的風險(圖4)。

  4 當前安全問題數據源:IDC(2018)
  
所以企業端的安全防禦,必須有階段性分法,從前端就必須使用Security Gateway防火牆或是Endpoint防護,但若攻擊者以特徵碼偵測而進階得攻擊,就必須使用下階段UBA(User Behavior Analytics)或是SIEM做防禦,另外對於用戶與實體(Entity)設備之間行為分析,就必須再進階以機械學習(Machine Learning)做防禦動作(圖5)。

  5 安全問題朝向次時代解決方案數據源:IDC(2018)

另外,一個物聯網安全陷入重大危機的因素,則是近幾年來的安全攻擊。近期已經從一開始好奇心的測試攻擊,轉變成為破壞式的攻擊,Malware as a Service攻擊手段,都是破壞為出發點,並且越來越具有針對性。

2017年我們市場面對層出不窮,且針對性的網路攻擊事件,可預見未來幾年的網路戰爭更為複雜,且自動化的攻擊模式,使得企業徒增更多成本。

安全問題朝向次時代解決方案
IDC預測2018年網路威脅將進入「自動化攻擊(Fool Automated Attacks)」,許多主動且自動化的攻擊,將不斷發生預計未來的網路戰爭,將成為「分析自動化」的攻防戰場。未來安全產品方面將更積極整合大數據分析(Analytic)、用戶行為分析(User Behavior Analysis)、欺瞞技術(Deception)和隔離方法(Isolation)於內提高防禦陣線企業安全採購方面,也會與以往單一產品的購買行為有所不同,思維模式會朝向整合度高且具有機械學習和認知(Cognitive)技術的安全平台,以期協助企業降低複雜性和成本借助可視化報表提高對企業網路的監控與管理,並且將平台上的威脅數據篩濾增加其「質」量。

IDC預測我們的大型企業包含銀行業、電信業、壽險業及高科技業,對具有機械學習/認知技術的安全產品,將具高度興趣,預計2018年43%的大型企業,將率先採用以學習與預測為核心的安全服務與產品。

回顧我們在物聯網的硬體具有優勢,但在軟體的整合服務上則明顯不足,隨著物聯網設備大量應用,新的威脅將使安全成為物聯網發展的重要關鍵,科技的安全問題存在於電腦網路,同樣也存在於物聯網,從國家政府到民間企業與個人,都應該具備安全意識。



雲端時代!! 你還親自跑到現場重開網路設備?NETGEAR 雲端交換器讓你無須奔波!!!

沒有留言:

張貼留言