每一件能接驳互联网的设备,就有机会被入侵
,这是资安管理最基础的概念,即使简单如一部咖啡机,黑客也有办法入侵。随着IoT逐渐普及,这些周边物品保安问题渐受关注。
IoT 成资安新战场
2013年为「超级泄密年」,2014又有Heartbleed和Shellshock等挑战,资安问题次次新奇,那麽2015年新战场会在甚麽地方,业务运作有甚麽要注意想必是老板常问的问题。就如当年云端技术初发展时一样,其保安问题令到企业踌躇,早一步实施的先锋,就享受着其优势。新技术的吸引力在於未被探知的市场同时又有探险感觉难以迈步。IoT在消费者及企业间日益普及,新型网络装置如IPcam和远程存取控制警报、照明和空调会被网络罪犯所利用。而企业为加强管理部署的远端感受装置都可以成为黑客入侵企业网路的跳板。
嵌入式「即插即用」小型设备持续普及,但用户安装这些产品对网络安全性的影响认知甚少,例如早前我们公布了利用知名浏览器轻易寻找到各国机构的IP cam实时影像。其实具所有互联网功能的设备都有可能成为黑客目标,因为这些设备欠缺自身保护功能,又几乎没有更新漏洞,只要简单搜寻产品 Landing Page 网址,便可为攻击者开启了一扇门。
流动装置安全脆弱
流动装置继续是黑客的目标,因其储存大量个人资料及工作相关联络,成为窃取目标,而大部份人习惯一直在线,欠缺安全使用习惯便很大机会被入侵。应用程式在用户不知情下牺牲私隐,令很多个人资料在用户不知情的情况下传到互联网上。
未来流动电话越来越多加入电子钱包功能,使用流动付款涉及的保安问题会更大。虽然Apple Pay解决了某些导致POS受攻击的漏洞,但黑客擅长於寻找新漏洞,Symantec 预测黑客有机会积极挑战NFC(近场通讯)付款技术的安全。
新保安技术渐成熟
然而黑客及网络保安的角力不会一面倒,Machine Learning机器学习将可加快安全机构发现系统保安问题。机器学习是一种深度学习,能预测网络攻击,提高侦测率,是打撃黑客的重要技术。
未来厂商将加快采用多重身份认证,一次性密码或瞳孔和指纹辨识这些高阶的替代方案从而增加入侵的难度,但这并不代表完全安全。真正改善,应由用家的使用习惯及对资安触角上的教育方面着手,用户行爲改善例如采用更加复杂密码,留意应用权限设置等。