IoT资安、智慧制造 启动防骇大作战
配图图/美联社、本报资料照片
配图图/美联社、本报资料照片
趋势科技2020年调查美国、德国、日本制造业面临的IoT资安挑战
根据美国卫生和公共服务部(HHS)于2020年下旬调查显示,仅2020上半年医疗保健网路的安全漏洞数量便成长50%,远距办公方面,由AT&T、Cisco、IBM、SAP等大厂创立的数位经济安全委员会(CSDE)于2021年3月报告亦指出,居家办公措施使DDoS攻击(分散式阻断服务攻击)在2020年达到上千万次,2020年第四季相较2019年同期甚至成长542%。
与此同时,安全厂商SonicWall在其发布的网路安全威胁报告中指出,2020年以IoT恶意软体为主的攻击次数较2019年成长66%,整体逼近5,700万次,主因在于居家办公的疫后新常态,使家庭IoT设备成为骇客锁定目标。其中,资安大厂Palo Alto Networks在2021年2月发现Mirai病毒变体,便是针对VPN、防火墙的IoT漏洞。
全球物联网设备数量至2025年上看300亿台发展趋势,然伴随而来的资安风险亦同幅成长。随着新冠肺炎疫情使生活与工作型态骤变,物联网的资安重心也同步转移,其中最明显的是远端工作使居家与医疗网路成攻击要点,常见IoT重大安全挑战包括弱密码、缺乏更新、数据保护不足、设备管理不佳等,迄今仍未能有效克服。
英国在2020年有超过86%关键国家基础设施(CNI)其OT(营运技术)与工控系统(ICS)受到网路攻击,且经检视有三成以上政府组织使用的是10年以上旧版OT系统;2021年5月美国最大成品油管道营运商Colonial Pipeline亦遭骇,瘫痪美东输油系统,导致美国进入紧急状态。近几个月海内外大厂诸如Sierra Wireless、宏碁、仁宝、日月光集团等纷纷传出遭勒索软体攻击等IT灾情,对其生产线、伺服器运作会产生一定程度影响。
然而,相较上述基础设施来说,物联网设备仍是骇客较易入侵,且使用者疏于防护的一环,不仅居家环境如此,近年制造业积极投入数位转型打造智慧工厂,在IT与OT环境越显复杂的趋势下,加诸停工成本高,亦成IoT资安攻击首选。市场也指出,智慧工厂中OT端相较IT端最大问题在于资产可视不落实、安全目标难订定与风险威胁未识别,这些瓶颈源头来自营运现场的物联网设备过于繁杂。
整体而言,随着数位转型过程IT与OT渐不同步且后者往往老旧,或影子物联网(Shadow IoT)设备管控不落实,仅靠内部防堵效果仍有限。因此扣除掉人为因素,法治端的标准规范对智慧工厂来说也成为落实资安准则,诸如NIST CSF、ISO 27001、CIS Controls等未来都可能是打进大厂供应链的基本要求。
从各产业大厂的策略布局来看,除了智慧工厂的资安解决方案亦持续推陈出新,产业大厂近期亦将安全性纳为工业物联网(IIoT)相关产品设计的关键考量点之一。
包含资安产业大厂Kaspersky在2021年4月中旬于德国汉诺威工业展推出首个网路免疫解决方案IoT安全闸道器,主要在将数据从工业设备直接安全传送至云端平台。而台湾厂商普莱德亦于该活动展示整合高阶资安防护功能的网管交换器与闸道器、以及比利时国际通讯服务商BICS的工业物联网SIM卡、Nozomi以AI检测OT环境异常等。
Arm也在2021年3月底发表v9架构蓝图推出Arm机密运算架构(CCA),借由将资源划分到机密领域(Realm),确保程式码即资料不被恶意存取和修改。恩智浦半导体同期则推出针对工业物联网边缘应用的系列处理器,可透过信任配置、金钥管理等自主安全功能强化保护边缘装置。另一方面,企业受到疫情刺激而加速数位转型,进一步使工厂大量采用物联网设备。因此,建立大规模安全性、验证远端上云身分便成企业的首要考量,较具代表性案例有法国航天技术商Thales与加拿大无线网路营运商TELUS、加拿大网路注册管理局(CIRA)合作,借由整合从晶片、平台至云端设备的安全性与身分验证,确保数据的机密与完整性,预计将大量应用于简化医疗保健、能源与基础设施三领域的远端管理。
3.着眼源头防护 MCU为主要切入点
在物联网资安仍待持续优化,以及使用者习惯与知识难以立即改善的挑战下,相关厂商与产业联盟皆有共识从供应商与设备源头着手防堵,依据产品设计、供应链管理与完整产品生命周期等面向进行资安管控。
依据性能、成本、可靠度、生命周期与适用范围等综合考量,物联网上游关键零组件端的设备处理器与晶片朝低功耗、高性能方向发展,促使MCU被广泛应用于IoT各式终端设备,其中资安为其近年重要加值效益。如瑞萨(Renesas)的32位元RX65N MCU于2021年4月通过NIST的FIPS 140-2安全标准,获得加解密模组验证计划(CMVP)三级认证,并与台湾厂商尚盛科技合作,结合两者的硬体安全功能与韧体加密保护服务,从产品设计源头导入防护机制。
产业联盟端同样就这个议题提出标准规范,近期较重要的标准规范包括可信计算集团(TCG)着眼供应商的网路弹性、FIDO联盟推出最新的开放式IoT标准FDO协议、CSDE发布僵尸病毒以及物联网的安全指南等。
其中,甫于今年四月推出的FIDO的FDO能安全、快速且简便的在企业或工厂环境部属物联网装置,并在设备制造初期便先行在其上安装软体并使用安全密钥,待制造商将设备运送给客户且提供安全密钥时,客户便能将其注册到FDO云中确保设备身分。
整体而言,诸多标准、协议一方面突显产业对物联网安全关注程度,然也显示出仅借由少数标准将难以对IoT资安有效管控,其原因在于物联网包括数据、设备、应用程式、网路、云端等,不同风险级别与复杂使用场景对资安防护来说都是极大挑战,也因此从源头防护至产品生命周期的身分验证,都是产业试图提升IoT整体安全性的切入点。
4.台湾IoT防护产值 2024拚抵40亿
聚焦台湾物联网安全防护领域,预估2021年将达有机会达新台币27亿元,至2024年逼近新台币40亿元,年复合成长率达10.11%。此外,根据经济部工业局资料显示,台湾资安总产值于2021年预估可达新台币597亿元;其中以网路安全、终端与行动装置防护、资安系统整合建置代理三项最高,占比分别为29.2%、21.6%与16.1%,考量总体环境发展趋势,2021年5月国发会再将2025年资安总产值上修为新台币800亿元。
目前台湾厂商除了传统资安厂商外,许多大厂如研华、仁宝、旺宏、讯舟等藉其产业专业亦有涉足,以物联网软硬体、平台等防护产品为主要发展项目,其中旺宏着眼车用电子关键安全性元件设计、讯舟则强调其空气盒子的产业链完全台湾生产,且具PKI+X.509资安伺服器签发的安全凭证防护;另有少数厂商同时提供IoT、OT系统安全检测或防护服务,如趋势科技、力丽等。
TrendForce补充,在此产业背景下,2021年台湾资安大会便以近期市场热议的目标式勒索威胁、软体漏洞、零信任、AI、云端、5G、工控等为展会关键探讨议题,垂直应用领域则以制造、金融与医疗为主要范畴,厂商产品服务多聚焦在智慧制造相关流程掌控、异常侦测与设备防护,IoT资安防护则多体现于OT环境与装置。
整体而言,TrendForce认为,智慧制造持续受到资安产业重视,短期主要是疫情加速工厂数位转型步伐,加上骇客针对制造业的勒索金额逐渐攀升;长期则是受到中美贸易摩擦致使供应链弹性优化所影响,尽管整体针对OT资安产品服务,如工控安全系统、产线安全防护、异常活动侦测等没有大幅更新,但已成为产官日趋关注的焦点。相较同样受骇客攻击的医疗与家庭场域,后续制造业的IoT资安产品服务将更受瞩目。