Cybersecurity-物聯網擴展引發網路攻擊的激增也為資安補強帶來創新商機

TAcc+新創分析師 毛國光

Internet of Things (物聯網, IoT) 場景的實踐看似美好，但也暗藏了無數的資安風險與危機。由傳統network security延伸的領域，通常有Microsoft、Android、Apple、AWS、IBM等大廠透過定期抓漏等機制來持續提升資安防護力，但在新興的IoT領域，例如工業電腦 (IPC)，則缺少此類能夠扛起責任的大廠，使得資安漏洞很多，導致IoT設備與作業系統成為駭客、網軍與資安業者彼此攻防的廣闊新戰場，此也提供台灣資安新創新的市場商機。

• IDC估計2025年全世界將有416億個聯網的IoT設備，物聯網應用領域多元，相關設備商機龐大，我國資通訊產業躬逢其盛，但在無限商機背後，網路犯罪造成的損失也會同步擴大 — 物聯網設備無需人工干預即可傳輸數據，每個物聯網設備都有一個唯一標識符 (Unique Identifier, UID) ，可使其被識別，主要的應用面向涵蓋Consumer (例如家電用品)、Commercial (例如運輸工具)、Industrial (例如生產設備) 、Infrastructure (例如交通管理系統) 、Military Things (例如忠誠僚機)等，專家估計IoT設備市場2026年將達到1兆1,000億美元。

這些新興的數據化設備，也不可避免的拓寬了網路犯罪者的獲益機會，2020年是破紀錄的一年，Deep Instinct的報告顯示，惡意軟體總數增加了358％，勒索軟體增加了435%；sonatype的報告稱供應鏈攻擊增加了420%，Dragos報告觀察到工業控制系統 (Industrial control system, ICS) 的安全威脅增長了3倍；Cybersecurity Ventures估計至2025年，網絡犯罪將使世界每年損失10兆5,000億美元。

• 物聯網設備相關風險與漏洞的偵測、發現與修復商機，台灣資安新創可留意 — Security today整理了十個最需要注意的物聯網風險：1.防護力薄弱的密碼，例如簡短、簡單且可公開獲得的密碼。2.安裝在設備上的不安全或不需要的網絡服務，可能會將敏感和財務信息等數據暴露給盜竊和竊聽。3.生態系統接口不安全-連接到設備的外部接口，可能會損壞設備及其組件。4.缺乏安全更新機制-例如未加密的數據從外部來源移向設備，以及安全性監控不良。5.使用不安全或過時的組件，例如未經掃描漏洞的開源和第三方組件。6.隱私保護不足-無法保護存儲在設備和連接的生態系統上的私人信息。7.不安全的數據傳輸和存儲-例如在數據移動期間缺少訪問控制和加密。8.缺乏對生產中部署之設備進行管理，導致資安防護不佳。9.不安全的默認設置-無法修復不安全的設置會在設備和系統中造成攻擊。10.缺乏物理強化-會創建更大的攻擊面，威脅參與者可以利用這些攻擊面來控制設備或系統。

近期Palo Alto Networks的安全研究人員發現了另一個Mirai變種，即是針對新的IoT漏洞。Mirai惡意軟體出現在2016年，給前Domain Name System (DNS) 提供商Dyn造成打擊，其成功透過分散式阻斷服務攻擊 (DDos) 製造了廣泛的混亂，受害者包括PayPal、Spotify、PlayStation Network、Xbox Live、Reddit、Amazon、GitHub等大廠之服務系統，之後便不斷衍伸出Mirai的變種，突顯攻防的持續進化，新創可留意物聯網相關資安風險與漏洞的偵測、發現與修復商機。

參考資料：

• “Alarming Cybersecurity Stats: What You Need To Know For 2021,” Forbes, 2021.
• “Palo Alto揭露新的Mirai殭屍網路變種病毒，鎖定企業網路資安設備發動攻擊,” iThome, 2021.
• “Researchers discover another Mirai variant targeting new IoT vulnerabilities,” IoTnews, 2021.
• “The IoT Rundown For 2020: Stats, Risks, and Solutions,” Security today, 2020.