Cybersecurity-物聯網擴展引發網路攻擊的激增也為資安補強帶來創新商機
TAcc+新創分析師 毛國光
Internet of Things (物聯網, IoT) 場景的實踐看似美好,但也暗藏了無數的資安風險與危機。由傳統network security延伸的領域,通常有Microsoft、Android、Apple、AWS、IBM等大廠透過定期抓漏等機制來持續提升資安防護力,但在新興的IoT領域,例如工業電腦 (IPC),則缺少此類能夠扛起責任的大廠,使得資安漏洞很多,導致IoT設備與作業系統成為駭客、網軍與資安業者彼此攻防的廣闊新戰場,此也提供台灣資安新創新的市場商機。
- IDC估計2025年全世界將有416億個聯網的IoT設備,物聯網應用領域多元,相關設備商機龐大,我國資通訊產業躬逢其盛,但在無限商機背後,網路犯罪造成的損失也會同步擴大 — 物聯網設備無需人工干預即可傳輸數據,每個物聯網設備都有一個唯一標識符 (Unique Identifier, UID) ,可使其被識別,主要的應用面向涵蓋Consumer (例如家電用品)、Commercial (例如運輸工具)、Industrial (例如生產設備) 、Infrastructure (例如交通管理系統) 、Military Things (例如忠誠僚機)等,專家估計IoT設備市場2026年將達到1兆1,000億美元。
這些新興的數據化設備,也不可避免的拓寬了網路犯罪者的獲益機會,2020年是破紀錄的一年,Deep Instinct的報告顯示,惡意軟體總數增加了358%,勒索軟體增加了435%;sonatype的報告稱供應鏈攻擊增加了420%,Dragos報告觀察到工業控制系統 (Industrial control system, ICS) 的安全威脅增長了3倍;Cybersecurity Ventures估計至2025年,網絡犯罪將使世界每年損失10兆5,000億美元。
- 物聯網設備相關風險與漏洞的偵測、發現與修復商機,台灣資安新創可留意 — Security today整理了十個最需要注意的物聯網風險:1.防護力薄弱的密碼,例如簡短、簡單且可公開獲得的密碼。2.安裝在設備上的不安全或不需要的網絡服務,可能會將敏感和財務信息等數據暴露給盜竊和竊聽。3.生態系統接口不安全-連接到設備的外部接口,可能會損壞設備及其組件。4.缺乏安全更新機制-例如未加密的數據從外部來源移向設備,以及安全性監控不良。5.使用不安全或過時的組件,例如未經掃描漏洞的開源和第三方組件。6.隱私保護不足-無法保護存儲在設備和連接的生態系統上的私人信息。7.不安全的數據傳輸和存儲-例如在數據移動期間缺少訪問控制和加密。8.缺乏對生產中部署之設備進行管理,導致資安防護不佳。9.不安全的默認設置-無法修復不安全的設置會在設備和系統中造成攻擊。10.缺乏物理強化-會創建更大的攻擊面,威脅參與者可以利用這些攻擊面來控制設備或系統。
近期Palo Alto Networks的安全研究人員發現了另一個Mirai變種,即是針對新的IoT漏洞。Mirai惡意軟體出現在2016年,給前Domain Name System (DNS) 提供商Dyn造成打擊,其成功透過分散式阻斷服務攻擊 (DDos) 製造了廣泛的混亂,受害者包括PayPal、Spotify、PlayStation Network、Xbox Live、Reddit、Amazon、GitHub等大廠之服務系統,之後便不斷衍伸出Mirai的變種,突顯攻防的持續進化,新創可留意物聯網相關資安風險與漏洞的偵測、發現與修復商機。
參考資料:
- “Alarming Cybersecurity Stats: What You Need To Know For 2021,” Forbes, 2021.
- “Palo Alto揭露新的Mirai殭屍網路變種病毒,鎖定企業網路資安設備發動攻擊,” iThome, 2021.
- “Researchers discover another Mirai variant targeting new IoT vulnerabilities,” IoTnews, 2021.
- “The IoT Rundown For 2020: Stats, Risks, and Solutions,” Security today, 2020.