物联网生态系成员 皆须肩负安全责任
深究美国之所以将物联网IoT提升至国土安全等级,实为一般大众对于连网装置的倚重程度急遽增高所致,例如油、水、电等民生关键基础设施的运作,乃至于自动驾驶车应用,都与物联网息息相关,若不对此善加保护,任由相关设备商罔顾安全设计,继续缺乏安全更新与漏洞管理机制,也放任使用者便宜行事采用预设帐密,因而向黑客敞开大门,势必会造成不可逆料的巨大危害,因此必须诉诸法令规范,从根本上尽量解除物联网安全威胁。
专家指出,论及物联网安全防护,牵涉范围颇广,包括装置的实体安全、网络通讯、软件设计、固件设计等不同构面,皆需要面面俱到,此一特性,也导致物联网安全防护的难度,明显高于传统计算机安全;姑且不论制造商或使用者对于物联网风险的认知是否足够,也不管一味讲求使用便利性的消费者,是否有足够耐心来接受必要的安全检查程序,光是从物联网、计算机两类装置在于运算能力上的落差,也能显而易见知道物联网IoT设备难以支持太高阶的加密技术,能够用来挡住恶意份子入侵的武器,自然相对疲弱。
但无论如何,物联网的组成,可大致区分为终端装置(End-device)、通讯媒介(Network Media)及后端系统(Backend System)等几个关键环节,其间经由网络来交换彼此信息,因此如何把散布于不同环节的漏洞关连起来,肯定是物联网安全防护的一大关键。
总括而论,借助上述重要环节所衍生的安全议题,至少分为六大项,其中属于应用层者有三项,依序是物联网装置本身的隐私数据保护、物联网装置身份认证及访问权限控管,以及物联网装置本身的软件漏洞更新与保护机制。
此外在网络层部份,有两项值得留意的安全议题,包含了物联网装置数据传输过程的加密及保护,乃至于物联网装置之间更趋复杂的网络安全管控。至于位在IoT应用架构最底端的感知层方面,则需要防范感知设备攻击,至少需要确认工业控制系统(ICS)或SCADA所接收到的信息,确实100%与原始数据相吻合。
专家建议,有鉴于物联网装置为数众多,且偏布在不同环境,若要倚靠人工逐一管理,肯定力有未逮、缓不济急,故企业不妨援引人工智能(AI)或机器学习(Machine Learning;ML)等技术分析安全威胁情资,自动产生对应防护决策。