物聯網時代資安第一　5G AIoT防護網大張旗鼓

數據驅動一切的未來即將到來，無所不在的資料就像生命要素的空氣一般。如何保護這些珍貴的數據資產不致外流、濫用甚至被惡意竄改，新鮮的空氣使人舒服、心曠神怡，增進身體健康；受到汙染的空氣令人不舒服、不安，嚴重更會危害身體健康，資安危害就像空氣受汙染，嚴重可能形成「國安問題」。

5G AIoT聯網全面擴展　資安威脅如影隨形

進入Internet of Everything的時代，聯網裝置數量急速成長，資策會智慧系統研究所所長馮明惠(圖1)提到，目前每個人身上可能有2~3個聯網裝置，幾年後可能成長到10~20個，所以從IT延伸過來的資安問題在OT領域也日益嚴重與突顯。2019年是全球5G元年，帶動許多新應用發展，尤其是垂直產業的行動網路應用，而要深入了解垂直產業的領域知識與需求，須透過跨領域的合作，其中資訊安全就是所有人都需要共同面對與因應的課題。

2020~2030年5G與IoT時代來臨，人們日常生活接觸到的許多裝置都將陸續導入聯網功能，台灣資通產業標準協會秘書長周勝鄰(圖2)以車輛為例，過去僅止於電腦的資安危害若是延伸到汽車，造成的危害嚴重性不言可喻，因此，資訊安全已從需要變成必要，資通產業標準協會發展已經投入如IP Camera、智慧路燈等的資安標準制定，希望可以為5G、物聯網的資訊安全發展盡一份心力。

5G資訊安全防護 　建立安全框架不可免

5G是未來10年最重要的產業發展趨勢，也將帶動網路應用質與量的全面成長，台灣思科系統大中華區數據中心事業部首席技術顧問錢小山(圖3)表示，質的部分就是網路流量的成長，量的部分就是聯網裝置數量的爆發。根據統計，2022年行動用戶將成長到57億，聯網裝置總數達123億個，平均聯網速度達28.5Mbps，79%的流量來自行動影音，每個消費者每月平均流量達13.3GB。另外，M2M模組將占全球設備和連接總數的51%，達146億個，並占全球IP總流量的6%，約25.3EB，但阻斷服務攻擊(DDoS)攻擊規模與流量也將持續增加。

面對5G時代的的聯網進展，整體網路規模將較過去倍數擴大，可能產生更多安全漏洞，因此5G標準在制定時也針對資訊安全訂出相關規範，電信技術中心副執行長林炫佑(圖4)指出，在標準層面，3GPP已經制定多項安全架構，包括：統一可擴展認證協議(Extensible Authentication Protocol, EAP)框架、改善漫遊狀況下的安全風險、強化用戶隱私、提供用戶訊息完整性保護、網路互聯安全性等。另外網路維運層面的安全與垂直應用安全也是重點，其中又以垂直應用安全的複雜與困難度最高。

有鑒於網路資安很難做到百分之百，駭客永遠都在找尋新的漏洞，因此資安防護是一個永續的工作，林炫佑認為，既然資安事件不可避免，除了積極的防範之外，也應該針對資安危害建立應變機制，例如在識別接取安全管理與合規行為稽核管理階段應設立異常判斷準則；而在網路運作安全管理階段則建立偵測與隔離機制；在端點威脅偵測階段，應快速應變威脅。

面對5G垂直應用的資安威脅，林炫佑建議，透過下列四個步驟建立安全框架，威脅建模(Threat Modeling)、漏洞檢測(Vulnerability Testing)、滲透測試(Penetration Testing)、影響分析(Impact Analysis)。錢小山也表示，Manufacturer Usage Description(MUD)可以協助物聯網安全保護，確保區域內的網路訊務留在本地，協助網路營運商各自讓網路更健全，以形成良性循環讓網路運作順利。

硬體資安防護　確保系統穩定性

在5G時代被寄予厚望的專業垂直領域應用，就產業本身而言，當然希望透過聯網技術來提升產業效率，但是網路安全的挑戰又讓產業充滿疑慮，發生於2018年的台積電駭客事件震驚全球科技業，SEMI資安標準工作小組共同主席卓傳育(圖5)說，半導體製造業在此一事件的影響下，對於資安挑戰更高度關注，畢竟半導體設備一直以來以產能為優先，生產機台由於成本動輒數十億甚至上百億元，生命週期長達10~30年，通常作業系統老舊，安全防護薄弱；要透過停機進行全面性的安全更新有難度，況且進行更新也需要進行測試與驗證，可能徒增設備的不穩定性。

對於半導體製造資訊安全的威脅與挑戰，半導體產業協會SEMI與國內業者積極合作，希望可以制定產業化標準，降低資訊安全危害，卓傳育進一步說明，半導體設備的作業系統EOS不僅是版本的選擇，周邊控制界面對最新作業系統的資源，可能才是標準落地最主要的限制；而端點及網路防護機制將顯著增加設備成本，採用解決方案等級與量化防護機制有效性將是標準可否驗證的主要挑戰。早期防護機制的建立，可以有效降低危害發生機率，透過多層次的防護，可以最小化潛在受攻擊面。

面對無形、無所不在的網路攻擊，硬體晶片供應商英飛凌(Infineon)與意法半導體(ST)專長都是透過硬體強化安全性。硬體面對網路攻擊，在某些層面的防護上更加有效，英飛凌科技數位安全解決方案事業處經理江國揚說明，隨著許多物聯網裝置被放置在暴露的網路環境中，保持裝置本身安全更為重要，即便在可信賴執行環境(Trusted Execution Environment, TEE)，物聯網的攻擊還是層出不窮，晶片硬體防護相對可靠並可提供晶片主動防護、記憶體內部加密、資料獨立加密執行、隨機數學運算、內部狀態一致性檢查、電壓篡改/隔離電源軌、內部時脈產生、安全測試方法、沒有除錯探針點與測試墊等安全功能。

因應IoT安全需求，在進行各項資料傳輸與交換的過程中，採用認證金鑰確保過程的安全是常見的作法，意法半導體技術行銷經理閻欣怡(圖6)說，在身分認證時常採用非對稱式加密(Asymmetric Cryptography)，而應用在資料傳輸時，則採用對稱式加密(Symmetric Cryptography)。針對不斷擴展的物聯網安全應用，ST提供三個層次的安全解決方案，包括：個人智慧卡應用、行動安全應用、安全認證應用。

導入新技術與工具　完善資安整體防護機制

物聯網架構龐大，無法在每一個節點都使用硬體防護，趨勢科技先進應用市場開發部資深經理鄭朱弘毅提醒，企業大量部署聯網裝置已經是不可逆的趨勢，對於IT管理者而言，欲確保資安風險得以被控管，首要必須建立內部聯網裝置的可視性，才有能力依據工作流程配置相對應的控管措施。至於新興物聯網場域的實作，建議可交給趨勢科技等專業資安廠商規畫與部署，運用端點安全防護、入侵偵測系統、應用程式白名單等機制來實施，而建置資安防護措施的評估則是關鍵。

另外，長期專注於研發資安防禦技術的Check Point，過去是因應攻擊狙殺鏈(Kill Chain)來設計不同階段的防護措施，該公司技術長辦公室技術顧問傳教士楊敦凱(圖7)說明，隨著外部威脅手法轉變，近來主流的框架則是由美國非營利組織MITRE提出的ATT＆CK，在攻擊活動的前期運用機器學習演算提高偵測率。Check Point Infinity安全架構以ThreatCloud雲端情資為核心，內建啟發式識別引擎具備辨識異質裝置屬性的能力，可透過單一控管平台配置閘道端設備的設定，按照聯網裝置屬性值定義風險，結合應用場域架構輪廓，自動化地產生保護規則。

面對推陳出新的網路攻擊與技術，可利用區塊鏈架構確保資料流通安全性，BiiLabs共同創辦人暨執行長朱宜振(圖8)認為，既然工業應用環境主要為機器之間的溝通，其實可以從布建初期就採用分散式架構處理工作負載，讓大規模的聯網裝置直接在應用場域邊緣處理資料，無需傳輸到源頭，彼此之間只要透過點對點(P2P)傳輸即可達到萬物聯網。而且不可逆的交易紀錄也沒有被竄改的風險，可以有效保持資料的安全性。