IoT Security
落實辨識與可視化 新興IoT裝置安全看得見
趨勢科技先進應用市場開發部資深經理鄭朱弘毅說明,遭受駭客入侵的NASA噴氣推進實驗室,由加州理工學院代管,主要研究火箭推進技術。從2018年至2023年代管預算高達150億美元,其中包含NASA所要求的IT轉型計畫。實驗室內部大約有二萬多台桌機、三千多台伺服器,運行操作的標準作業程序皆必須符合美國國家標準與技術研究所(NIST)提出的CSF資安規範。近期爆發的進階持續攻擊(APT)事件,導致500MB的火星計畫相關資料遭竊,經過事件調查還原真相後發現,該攻擊活動已潛伏超過十個月,最初滲透入侵的破口則是一台被設置在內部、未經批准的樹莓派(Raspberry Pi)嵌入式單板電腦。
就NASA監察長辦公室公開的調查報告來看,顯然是裝置控管方面出現遺漏、網段分割未能及時阻止橫向移動、樹莓派的系統漏洞未安裝修補更新遭利用,再加上對於事件應變的控管疏失,才讓APT攻擊有機可乘。制度上,噴氣推進實驗室對於資產的控管都有標準規範,針對外部可接入的系統逐一列管,可依據人事時地物進行記錄,成為CIO與各個系統管理者溝通的依據。然而,被攻擊者滲透的樹莓派卻未登錄,成為可被利用來執行滲透的破口。
近年來本土高科技製造業的研發團隊習慣採用樹莓派執行開發任務,此資安事件正可為借鏡。對於IT管理者而言,欲確保資安風險得以被控管,首要必須建立內部聯網裝置的可視性,才有能力依據工作流程配置相對應的控管措施。至於新興物聯網場域的實作,鄭朱弘毅建議可交給趨勢科技等專業資安廠商規畫與部署,運用端點安全防護、入侵偵測系統、應用程式白名單等機制來實施,並且在樹莓派的系統中安裝代理程式,以具備基本的保護能力。對於建置資安防護措施的評估則是關鍵,必須綜合考量組織文化、工作流程、資產重要程度、員工意識等面向,才能制定真正可行的政策。
趨勢科技先進應用市場開發部資深經理鄭朱弘毅提醒,企業大量部署聯網裝置已經是不可逆的趨勢。