資安攻擊事件頻傳　物聯網安全防護湧現商機

當物聯網開始進入到交通、家庭、工業等應用後，物聯網的資訊安全愈來愈重要。根據IoT Analystics估計，全球物聯網資訊安全市場規模在2017年可達7.03億美元，2022年則達43.89億美元，年複合成長率高達44%(圖1)。探究其市場驅動力主要有二：物聯網資安威脅增加及物聯網資安攻擊頻傳。

物聯網資安發展快速是因物聯網應用深入到汽車、工業控制、家庭自動化等環境中，讓相關感測、控制設備暴露在危險的數位網路環境之中，資安威脅也隨之增加。具體而言，物聯網資安威脅主要包括：

1. 更多接觸點的暴露：物聯網應用使得載具、應用程式、系統及使用者等多個接觸點暴露在網路環境中，形成多重風險。

2. 物聯網設備風險：由於物聯網設備的運算能力提高，開始結合多種功能的硬體元件及軟體應用程式，當物聯網設備愈複雜、疊加應用愈多，風險也隨之提高。

3. 資安威脅影響層面擴大：當物聯網深入到重要的應用中，例如：交通號誌、工業控制設備、汽車元件、金融設備等，一旦發生資安攻擊，所衍生的人身安全影響程度也隨之提高。對於資安攻擊者而言，重要物聯網設備更是其覬覦、勒索的對象。

4. 異質系統風險增加：物聯網應用包括物聯網設備、通訊、應用系統等各種異質系統，透過不同網路連結，複雜的異質系統使得專業人員更不容易進行整體防護。此外，物聯網的資安標準及法規仍在發展中，也使得資安攻擊者有機可趁。

物聯網資安攻擊頻傳

自2009年開始，陸續發生許多物聯網資安攻擊事件。2009年，美國FBI指出Puerto Rico地區的一家電力公司，因採用智慧電表而遭到竊電。FBI調查指出嫌犯是該電力公司的離職員工，透過光學轉換裝置，從中攔截智慧電表傳輸信號，進而運用軟體進行修改智慧電表數據。嫌犯向家戶收取300至1,000美元竄改費用，商業用戶則收取3,000美元。

2013年，Foscam無線IP攝影機陸續被入侵，歹徒藉此監視幼兒並與之說話。Foscam公司稱這些攝影機是未上網更新韌體版本而被入侵。2015年，提供孩童電子遊戲產品的香港玩具公司Vtech，其Learning Lodge雲端資料庫被侵入，造成客戶住家地址、Email、相片及下載紀錄被盜。Learning Lodge雲端資料庫是讓孩童透過電子遊戲載具進行下載App、遊戲、電子書、影片及音樂的資料庫所在。Vtech也在2018年被美國政府以洩漏個人隱私權罰款65萬美元。

2015年，芬蘭Valtia公司管理的集合公寓的電熱系統，受到名為Mirai Botnet的殭屍病毒進行分散式服務阻斷攻擊(Distributed Denial-of-Service, DDoS)而無法啟動。Valtia公司緊急啟動手動控制，仍然無法成功，花費一星期才讓系統恢復正常。此外，2016年，台灣第一銀行ATM提款系統，因為倫敦的電話錄音主機被侵入，而被歹徒在各ATM共提取約8,000萬新台幣。

2017年，奧地利知名4星飯店Romantik Seehotel Jägerwirt，被駭客侵入電子鑰匙系統，造成旅客無法進出房門，飯店也無法產生新的數位鑰匙。最後，飯店付出1,500歐元贖金以化解這場危機。

物聯網資安攻擊類型

根據歐盟的分類，物聯網資安攻擊可分為以下數個類型：

1. 停止或服務拒絕：駭客運用分散式服務阻斷攻擊、殭屍病毒、特洛伊木馬、勒索病毒、獲取隱私、修改資訊等作法。主要入侵方式包含從物聯網設備、物聯網雲端系統等侵入。如芬蘭Valtia公司管理的公寓電熱系統被入侵即是這種手法。

2. 竊聽或中間攔截：駭客假扮通訊標的、透過通訊進行資料讀取、不被授權的讀取、內部通訊竊取及假造合法標的等。主要入侵方式包含從物聯網設備、通訊網路等侵入。如Foscam無線IP攝影機被入侵、Vtech Learning Lodge雲端資料庫被入侵即是這種手法。

3. 資源損耗：駭客損耗的作法可以透過中斷網路、中斷載具設備、中斷系統、中斷服務等造成損失。主要入侵方式包含從物聯網設備、通訊網路系統等侵入。如Romantik Seehotel Jägerwirt飯店被駭客停止電子鑰匙系統功能。

4. 環境災害：駭客也可以利用水災、風災、火災等造成目標物聯網系統及網路的毀損等，從中進行勒索。

5. 實體攻擊：駭客可透過對物聯網實體設備的攻擊或資訊修改來威脅受害者。如波多黎各電力公司電表遭駭客入侵，修改設備中的數據。

物聯網資安防護

物聯網牽涉到多種異質系統的整合，使得資安防護更為複雜。其資訊安全的防護範疇可從設備、通訊、雲端等三個體系來看：

1. 設備安全：物聯網設備包括感測器、致動器、微處理器、微控制器、通訊元件等硬體及作業系統、應用程式、儲存資料等。由於物聯網資安的重要性，許多軟硬體廠商協助在設備上增加其安全功能，如晶片認證與安全防護、設備授權與認證等。這也使得物聯網資安加入了晶片廠商、設備廠商等之參與。然而，許多老舊設備無法植入新安全功能成了物聯網資安的一項隱憂。

2. 通訊安全：物聯網通訊組成包含通訊網路、異質網路連結閘道器、通訊協定、網路設備等。物聯網的通訊可能包含有線/無線或者開放/封閉以及不同協定的網路，使得通訊資安保護更顯得複雜。不安全的網路通訊會讓攻擊者從中擷取、進而進行竊聽或造假。物聯網通訊網路的防護包括存取控制、防火牆/入侵偵測、通訊加密等。

3. 雲端安全：許多物聯網應用會連結雲端服務上的應用軟體或服務進行。物聯網應用必須確保雲端服務之應用安全及資料安全等。此外，安全生命週期管理(即整體物聯網體系的資訊安全)也極為重要，包括設備的驅動程式管理、補丁的更新、政策與稽核管理、活動監視及安全地移除軟體等。

由於物聯網資安牽涉諸多體系的整體防護，使得物聯網資安相對傳統電腦資安更為複雜，並更需要軟硬體生態系的合作。

物聯網資安技術

物聯網資安的複雜性及相關標準未成熟，使其成為資訊安全技術與產品發展的新興重點。特別是傳統資訊安全無法保護到的地方，物聯網資安技術與產品補強更顯重要。例如：物聯網設備資產的安全保護、設備產品中的感測器或晶片安全確保、物聯網設備與閘道器溝通的網路保護等。目前物聯網資安有六大熱門技術：

1. 物聯網網路安全：物聯網的網路安全保護相較傳統資訊安全更為困難，原因在於物聯網具備多種通訊協定、工業標準以及各種設備運算能力等，使得傳統的端點保護、病毒防護、防火牆或入侵偵測產品，必須進行功能強化。此外，運算能力不足的物聯網設備，無法載入軟體進行保護，則須仰賴防火牆或網路行為偵測，以補強整體資安防護的弱點。

2. 物聯網設備認證：物聯網設備認證提供使用者認證合法的物聯網設備，包括多人共用相同設備的狀況，如聯網汽車。物聯網設備認證範疇包括靜態密碼、動態雙因子認證、數位憑證及身份辨識等。此外，物聯網設備或感測器之間也可能彼此進行通訊而不透過人為干涉，因此，物與物之間的認證成為物聯網資安的重點。

3. 物聯網資料加密：儲存在物聯網設備中的資料或是傳輸資料過程，都須要進行加密。特別是許多物聯網設備的運算能力不足，無法採用傳統資安的資料加密方式。此外，加密鑰匙的生命週期管理亦相當重要。

4. 物聯網加密鑰匙管理：包含公開鑰匙/私密鑰匙的產生、配送、管理與重申請等，必須妥善處理。特別是許多物聯網設備的硬體規格無法使用公開鑰匙管理，則需要製造商在製造時就把相關數位憑證放入，一旦設備使用時，透過其他軟體進行啟動、認證等。

5. 物聯網安全分析：蒐集、彙整、監視物聯網設備，並產生行動建議、警訊等，是物聯網資安重要的技術方案。許多方案運用機器學習、人工智慧或大數據的技術，進行異常偵測、預測等，以確保物聯網設備的安全。

6. 物聯網API安全：物聯網應用程式介面(API)安全也是重要發展技術領域。原因是物聯網會透過API介面，讓閘道器、應用程式或其他物聯網設備進行資料交換乃至於命令下達。應用程式介面在開發及使用階段，如果沒有進行良好的資安確保動作，有可能會被入侵而被盜取資料甚至下達命令。

雖國際大廠已布局物聯網資安領域，但物聯網之複雜與多樣性，亦提供資安新創公司相當大的發展機會。

物聯網資安應用範疇涵蓋多元的垂直領域，如汽車、醫療、工業、家庭設備等，大廠未必能夠全面布局，從而提供新創廠商發展空間。資安新創廠商可鎖定特定領域，如Karamba Security專注在汽車領域、ASIMILY專注在醫療領域等，並與領域專家、領域設備商進行合作，並由場域資安風險、領域特殊設備特性及領域特殊網路行為等議題，發展相關解決方案，以利商機掌握市場商機。

(本文作者為資策會MIC資深產業分析師)