5G資安風險升高　落實IoT乾淨供應鏈至為關鍵

風起雲湧的5G帶來巨量連接能力，為快速激增的物聯網(IoT)裝置提供了進一步的成長條件。資策會資安科技研究所所長毛敬豪(圖1)認為，5G時代下的IoT資安風險是量級(Scale)問題，大量且多樣化的IoT裝置會被應用在各種關鍵場域，必須自始便全程降低IoT的資安風險。因此他指出，5G資安是「垂直整合的資安」，IoT裝置也需要打造一條乾淨的供應鏈，資策會資安所致力引進的IEC 62443工控資安標準，便是確保IoT裝置在開發過程落實資安檢測，來降低資安威脅。

自從2016年爆發數十萬台IP攝影機、監視器、路由器等IoT裝置遭惡意軟體Mirai感染，被駭客利用轉為殭屍網路(Botnet)的火力來發動DDoS攻擊，IoT裝置安全性逐漸受到重視。

毛敬豪指出，降低IoT資安風險最重要的是乾淨供應鏈，過去IoT裝置檢測只鎖定在作業系統和應用層，近年來則開始重視晶片的溯源，也就是揭露晶片的製造商，以及晶片內使用的函式庫(Library)經過哪些IC設計公司等資訊，以便確保晶片內所有的函式庫都是乾淨的。這是最難處理的部分，也是技術須突破的重點。

現今物聯網惡意程式已經是跨平台，一個惡意程式編譯完大概10幾個平台都可以跑。隨著5G發展，未來IoT邊緣(Edge)裝置可能面臨更巨量的網路攻擊，影響程度更劇烈。毛敬豪指出，輕量化嵌入系統的IoT裝置難以安裝代理程式(Agent)或防毒軟體來抵擋威脅，因此透過網路偵測與回應(Network Detection and Response, NDR)系統來防禦更為重要，將扮演未來IoT裝置主要資安防護角色。

除了邊緣裝置的安全問題日益嚴重外，基礎設施的資安挑戰也不容忽視。毛敬豪進一步分析，5G背後的基礎設施就是迷你版的資料中心(Data Center)，全部都是虛擬化，因此API的資安就非常重要；再者，每個微服務作業系統(OS)的合規性(Compliance)要如何管理也是一大問題；第三則是要確保雲的可用性(Availability)，不能讓駭客攻入時癱瘓效能。另一方面，5G網路正朝向開放式架構發展，資訊安全亦將是必須面對的重要課題。

為協助台灣業者克服物聯網安全設計挑戰，資安所除已開始協助晶片商導入韌體層次或晶片等級的檢測工具，並設法將檢測工具白牌化，以進一步降低檢測成本外，更積極將工控安全標準IEC 62443引進台灣，同時爭取成為IEC 62443認證實驗室，讓台灣ICT廠商能開發符合國際標準的產品，且毋須至國外認證，省下可觀的金錢與時間成本，快速搶進國外市場。