從晶片、系統到雲端全面備戰　物聯網資安危機/商機並呈

物聯網應用商機相當龐大，無論晶片、軟硬體或雲端業者皆有機會分食這塊大餅，然而，隨著各領域應用發展日益蓬勃，資訊安全問題也開始浮上檯面，再加上GDPR法規催化，不僅為相關業者帶來開發上的挑戰，同時也衍生出各種資安防護商機。

低功耗廣域聯網技術(LPWA)與AIoT風潮，驅動物聯網應用商機加速起飛，但也敲響聯網裝置與應用服務的安全警鐘，如何轉危為安成了所有生態圈業者的必修課題。

有鑑於此，新電子科技雜誌、新通訊元件雜誌及網管人雜誌首度攜手合作，於2018年12月中旬共同舉辦專門探討物聯網安全技術與防禦對策的科技盛會--「眺望2019　物聯網安全高峰論壇」，並邀請到長期投入物聯網技術研發的資策會智慧系統研究所，以及致力推動台灣產業標準走向國際化的台灣資通產業標準協會(TAICS)共同協辦；此外，趨勢科技、Micro Focus、恩智浦(NXP)半導體、優力國際安全認證(UL)、Aruba、Citrix、銓安智慧科技(IKV)，以及合勤科技等業界專家，也與會分享最新資安技術與防護對策，吸引近三百位產業人士到場參加。

物聯網安全更受重視　有挑戰也有機會

資策會智慧系統研究所所長馮明惠(圖1)在致詞時表示，隨著資通訊科技的普及，萬物聯網的時代已然來臨，人們所使用的聯網裝置已愈來愈多，包括電腦、手機，甚至眼鏡、衣服、鞋子等穿戴物品未來都會聯網，而這些又將形成新的資通訊基礎建設，進而帶動新的服務、市場與商機。市場研究單位預估，到2021年全球的聯網裝置將達到數十億，甚至數兆規模，相當可觀。而當聯網裝置愈來愈多，安全議題就必須更加重視；另一方面，透過新的資通訊基礎建設，也可以帶動新的安全或安控的服務。

馮明惠進一步指出，資策會智慧系統研究所在經濟部技術處的支持下，近兩年積極投入窄頻物聯網(NB-IoT)技術的研究與發展，這是一種介於4G與5G之間的電信等級物聯網技術，具有低功耗、長距離、覆蓋廣、可靠度高等優勢特性，而該單位在發展這項技術的同時，也很重視在此技術之上的安全問題，希望能協助產業界將物聯網的基礎建設架構起來，引領、帶動萬物聯網的商機與市場。

事實上，隨著各種消費性與商用物聯網產品服務不斷推出，駭客攻擊事件也愈來愈猖獗，對於相關業者而言，維護物聯網安全已成為迫切的要務。台灣資通產業標準協會技術管理委員會召集人陳逸萍(圖2)指出，各種資安意外的新聞陸續出現，各大企業在資安防護上的預算也將逐漸提高，預計到2021年，全球企業在資訊安全防護上的投資將比2017年增長28%。

陳逸萍也提到，物聯網架構分為感知層、平台層與網路層，涉及範圍相當廣泛，因此資訊安全也將會是涉及晶片、系統與應用，到雲端，每一個環節都必須考量到，資安防護必須整個生態系的廠商共同維護，因而衍生出的商機也將相當龐大。

掌握資安漏洞/攻擊手法　避免因小失大

物聯網話題正熱，如今任何設備都標榜可以連上網路。Aruba(HPE子公司)資深技術經理王傑鋒表示，當今無論是智慧家庭、智慧辦公室的應用中，都在驅動著我們的環境導入越來越多的聯網攝影機、感測器，而所有聯網的設備也都將成為資安的威脅所在，任何聯網設備都可能成為駭客入侵的目標。

Citrix技術顧問張晉瑞指出，多年前就有資安專家提出，每個連網裝置平均約有25個漏洞，最大問題是傳輸未加密保存、不安全的操作介面、身份認證機制不夠嚴謹，才被駭客組織利用成為跳板，進而感染更高商業價值利益的系統。

此外，2018年5月，歐盟的GDPR法規上路亦是推升物聯網資安熱度的重要大事。以台灣業者來看，只要有處理到或保存歐盟居民的個資便須要符合GDPR的規定；否則公司將受到全球營業額2%~4%不等的罰款。

在此趨勢之下，恩智浦(NXP)半導體市場行銷經理蘇士維認為，物聯網應用產品的數據資料必須達到完整性、真實性、可用性以及保密性等四項要求，才能確保資訊安全。

趨勢科技先進應用市場開發部資深經理鄭朱弘毅則透露，趨勢科技目前已投入自駕車、智慧家庭與工業4.0等三大物聯網應用領域。其中，工業物聯網應用領域跨界資訊科技(IT)與營運科技(OT)，所以其中的資安部署更顯重要；在該應用領域中，分層式的資安部署依然是目前的主流趨勢。

資策會智慧系統研究所正工程師林奕廷指出，不同的物聯網場域會使用到不同的安全技術，以NB-IoT為例，在該技術的資料傳輸程序中，各有不同的風險，因此必須符合不同的安全機制，必須根據該技術的資料傳輸步驟一一拆解並符合標準，才能確保物聯網終端產品資料傳輸的安全。

至於駭客攻擊的方式有許多種，詮安智慧科技(IKV)總經理鄭嘉信分析，在眾多攻擊方式之中，最有效的大量攻擊方式就是實體攻擊。也就是透過設備的訊號、實體的晶片取得資訊。在硬體設備之中，處理器、非揮發性記憶體都是容易受到攻擊的元件。也正因如此，透過純軟體的方式其實並不能夠保護所有的資訊安全，也必須同時透過硬體的形式來加強保護。

合勤科技(Zyxel)台灣暨香港區營運總部資深經理薄榮鋼則提到，由企業內部的IT與OT架構來看，皆存在著不少網路資安弱點。在IT層面，可能有邊界弱點攻擊；在OT層面，則包含了偽造登入身分、遠端登入攻擊與實體登入攻擊。要如何貫穿IT與OT，並把相關的資安概念落實到應用方案中是最大的考驗。他強調，欲對抗現代已知或未知型惡意程式，甚至是針對性的攻擊活動，打造零信任網路已是全球發展趨勢。

從研發到上市　安全性檢測/認證不容輕忽

Micro Focus企業資訊安全資深技術顧問李柏厚指出，很多人認為維護物聯網安全就如同在建置網路設備一般，必須不斷加裝各種安全設備；結果在採購多樣設備之後發現資安問題還是發生了。因此，重點應該在於必須回頭去看各項產品的安全性檢測是否完善。如果有一個資訊安全標準驗證可以遵循，便不需要在設備採購上耗費多餘的心力。

優力國際安全認證(UL)身分識別管理安全部業務發展經理薛正分享，物聯網設備安全與終端消費者的安全有很大的關係，其中最受到關注的設備為智慧音箱、IP Cam以及智慧手表。物聯網設備所涉及到的層面也相當廣泛，更會由於駭客攻擊的手法每天都在進步，因此設備的弱點將一直不斷被發掘出來，也許這個月通過了相關的安全規範，下個月便已不再適用。這是物聯網安規與傳統安規認證之間最大的差異。

總結來說，物聯網已成了各行各業當前重要的發展主軸，其引發的資安危機已使各界高度關注，唯有深入掌握各種駭客手法與防禦技術，才能克服相關挑戰，創造最大獲利契機。