MUD
物聯網時代資安第一 5G AIoT防護網大張旗鼓
數據驅動一切的未來即將到來,無所不在的資料就像生命要素的空氣一般。如何保護這些珍貴的數據資產不致外流、濫用甚至被惡意竄改,新鮮的空氣使人舒服、心曠神怡,增進身體健康;受到汙染的空氣令人不舒服、不安,嚴重更會危害身體健康,資安危害就像空氣受汙染,嚴重可能形成「國安問題」。
5G AIoT聯網全面擴展 資安威脅如影隨形
進入Internet of Everything的時代,聯網裝置數量急速成長,資策會智慧系統研究所所長馮明惠(圖1)提到,目前每個人身上可能有2~3個聯網裝置,幾年後可能成長到10~20個,所以從IT延伸過來的資安問題在OT領域也日益嚴重與突顯。2019年是全球5G元年,帶動許多新應用發展,尤其是垂直產業的行動網路應用,而要深入了解垂直產業的領域知識與需求,須透過跨領域的合作,其中資訊安全就是所有人都需要共同面對與因應的課題。
圖1 資策會智慧系統研究所所長馮明惠提到,5G垂直產業應用發展需要跨領域合作。
2020~2030年5G與IoT時代來臨,人們日常生活接觸到的許多裝置都將陸續導入聯網功能,台灣資通產業標準協會秘書長周勝鄰(圖2)以車輛為例,過去僅止於電腦的資安危害若是延伸到汽車,造成的危害嚴重性不言可喻,因此,資訊安全已從需要變成必要,資通產業標準協會發展已經投入如IP Camera、智慧路燈等的資安標準制定,希望可以為5G、物聯網的資訊安全發展盡一份心力。
圖2 台灣資通產業標準協會秘書長周勝鄰指出,物聯網時代,資訊安全已從需要變成必要。
5G資訊安全防護 建立安全框架不可免
5G是未來10年最重要的產業發展趨勢,也將帶動網路應用質與量的全面成長,台灣思科系統大中華區數據中心事業部首席技術顧問錢小山(圖3)表示,質的部分就是網路流量的成長,量的部分就是聯網裝置數量的爆發。根據統計,2022年行動用戶將成長到57億,聯網裝置總數達123億個,平均聯網速度達28.5Mbps,79%的流量來自行動影音,每個消費者每月平均流量達13.3GB。另外,M2M模組將占全球設備和連接總數的51%,達146億個,並占全球IP總流量的6%,約25.3EB,但阻斷服務攻擊(DDoS)攻擊規模與流量也將持續增加。
圖3 台灣思科系統首席技術顧問錢小山表示,5G將帶動網路應用質與量的全面成長。
面對5G時代的的聯網進展,整體網路規模將較過去倍數擴大,可能產生更多安全漏洞,因此5G標準在制定時也針對資訊安全訂出相關規範,電信技術中心副執行長林炫佑(圖4)指出,在標準層面,3GPP已經制定多項安全架構,包括:統一可擴展認證協議(Extensible Authentication Protocol, EAP)框架、改善漫遊狀況下的安全風險、強化用戶隱私、提供用戶訊息完整性保護、網路互聯安全性等。另外網路維運層面的安全與垂直應用安全也是重點,其中又以垂直應用安全的複雜與困難度最高。
圖4 電信技術中心副執行長林炫佑認為,資安事件不可避免,應該針對資安危害建立應變機制。
有鑒於網路資安很難做到百分之百,駭客永遠都在找尋新的漏洞,因此資安防護是一個永續的工作,林炫佑認為,既然資安事件不可避免,除了積極的防範之外,也應該針對資安危害建立應變機制,例如在識別接取安全管理與合規行為稽核管理階段應設立異常判斷準則;而在網路運作安全管理階段則建立偵測與隔離機制;在端點威脅偵測階段,應快速應變威脅。
面對5G垂直應用的資安威脅,林炫佑建議,透過下列四個步驟建立安全框架,威脅建模(Threat Modeling)、漏洞檢測(Vulnerability Testing)、滲透測試(Penetration Testing)、影響分析(Impact Analysis)。錢小山也表示,Manufacturer Usage Description(MUD)可以協助物聯網安全保護,確保區域內的網路訊務留在本地,協助網路營運商各自讓網路更健全,以形成良性循環讓網路運作順利。
硬體資安防護 確保系統穩定性
在5G時代被寄予厚望的專業垂直領域應用,就產業本身而言,當然希望透過聯網技術來提升產業效率,但是網路安全的挑戰又讓產業充滿疑慮,發生於2018年的台積電駭客事件震驚全球科技業,SEMI資安標準工作小組共同主席卓傳育(圖5)說,半導體製造業在此一事件的影響下,對於資安挑戰更高度關注,畢竟半導體設備一直以來以產能為優先,生產機台由於成本動輒數十億甚至上百億元,生命週期長達10~30年,通常作業系統老舊,安全防護薄弱;要透過停機進行全面性的安全更新有難度,況且進行更新也需要進行測試與驗證,可能徒增設備的不穩定性。
圖5 SEMI資安標準工作小組共同主席卓傳育說,半導體業希望透過制定產業標準,降低資訊安全危害。
對於半導體製造資訊安全的威脅與挑戰,半導體產業協會SEMI與國內業者積極合作,希望可以制定產業化標準,降低資訊安全危害,卓傳育進一步說明,半導體設備的作業系統EOS不僅是版本的選擇,周邊控制界面對最新作業系統的資源,可能才是標準落地最主要的限制;而端點及網路防護機制將顯著增加設備成本,採用解決方案等級與量化防護機制有效性將是標準可否驗證的主要挑戰。早期防護機制的建立,可以有效降低危害發生機率,透過多層次的防護,可以最小化潛在受攻擊面。
面對無形、無所不在的網路攻擊,硬體晶片供應商英飛凌(Infineon)與意法半導體(ST)專長都是透過硬體強化安全性。硬體面對網路攻擊,在某些層面的防護上更加有效,英飛凌科技數位安全解決方案事業處經理江國揚說明,隨著許多物聯網裝置被放置在暴露的網路環境中,保持裝置本身安全更為重要,即便在可信賴執行環境(Trusted Execution Environment, TEE),物聯網的攻擊還是層出不窮,晶片硬體防護相對可靠並可提供晶片主動防護、記憶體內部加密、資料獨立加密執行、隨機數學運算、內部狀態一致性檢查、電壓篡改/隔離電源軌、內部時脈產生、安全測試方法、沒有除錯探針點與測試墊等安全功能。
因應IoT安全需求,在進行各項資料傳輸與交換的過程中,採用認證金鑰確保過程的安全是常見的作法,意法半導體技術行銷經理閻欣怡(圖6)說,在身分認證時常採用非對稱式加密(Asymmetric Cryptography),而應用在資料傳輸時,則採用對稱式加密(Symmetric...