【专访】物物联网资安风险升高,解析趋势科技层层布建的 IOT 防护架构

2020-06-12

【专访】物物联网资安风险升高,解析趋势科技层层布建的 IOT 防护架构

「勒索软体今日可以威胁你的电脑,明日就能威胁你的 IOT 装置。」趋势科技执行长陈怡桦看到随着 IOT 发展而带来的资安危机,但过去我们想到的资安防护就是安装防毒软体,那幺,IOT 装置上也能装防毒软体吗?在趋势科技东京举行的年度「Direction」大会上,《科技新报》访问到趋势科技开发部协理沈维明,请他说明 IOT 的资安防护架构,让所有开发 IOT 产品,提供 IOT 零组件,甚至是作为消费者的我们,都该知道怎幺避免 IOT 装至被骇客攻击入侵。

Q:趋势科技将 IOT 分三个领域,提供不同的解决方案,分别是 HOME(家庭)、Car(汽车)、Factory(工厂),为什幺要分为这三个?

沈维明说,未来没有东西不是连网,但如我不切产业去细看,解决方案无法针对这个产业的系统架构去保护他们所需要的东西,解决他们的痛点,因此在起步时先从产业别来划分,至于到最后会不会变成通用性的服务,还要再观察后续发展。

而会选择家庭,是因为趋势科技在家庭资安防护做 20 几年,有既有的伙伴以及既有市场;选择工厂也是因为趋势科技投入在工厂系统设备的资安防护已久,有既有客户在手边,而这些客户在工业 4.0、工厂自动化的趋势下,资讯的流通已经不再限缩于内部网路,当网络变得更複杂,因此也更加需要资安解决方案;选择汽车是因为连网汽车的发展已经具备雏形,而且他跟人的性命有关,汽车公司也深知这点,因此他们会更加愿意注重资安防护。

事实上,趋势科技用在这三种产业的解决方案也都不是新技术,而是老早就存在市场上的产品,只是重新组合。儘管 IOT 装置才要大量发展,但连网的东西像是电脑、手机已经发展很多年,因此早就有端点、Gateway、云端三种层面的产品,只是要开发出更符合产业的解决方案。

Q2:IOT  装置不像电脑一样可以装防毒软体,那要幺布建资安防护网络?它的资安防护架构长什幺样子?

在趋势科技的观察里,大部分使用者不会为了 IOT 装置个别买资安防护,所以在 IOT 装置的资安防护,趋势科技选择直接跟开发装置的厂商、系统整合的厂商或晶片商合作,把安全软体开发套件(SDK)整合在硬体里,让资安产品从云端、Gateway 连线端、终端装置端三个层面都能有相对应的资安防护。假设今天一个装置开发者买了具有趋势科技物联网安全 SDK 的晶片,那幺他就直接可以把 SDK 套用至他的韧体设计里。

沈维明进一步解释安全软体开发套件(SDK)能体宫的三步骤作用:危险侦测(Risk Detection)、系统保护(System Protection)、即时反应(Instant Response)。

Risk Detection:因为 IOT 装置不能装防毒软体扫毒,因此安全 SDK 要不断从各种使用行为去分析出异常状况。像在系统层级,如果某天 CPU、记忆体用量暴增,一直处在很忙碌的状态,跟平常使用状况不同,那就要发出异常状况的警讯;还有若程式执行(Code Flow)的顺序跟平常不一样,也要发出异常警讯,怀疑是不是被人改过;再来是连线异常,看平常都是该来自哪里的 IP 连线、从哪里的 IP 存取、平常网路用量、连线时间长短,假设过去都是从台湾的 IP 连进来,今天突然从欧洲、澳洲,那也该发出异常警讯。

另外还有一种是趋势科技针对漏洞发出的警讯,通常装置开发商不会去注意最新发布的漏洞、zero-day 的消息,而大部分开发者都是用第三方的函式库,于是当趋势科技注意到哪些第三方的函式库或系统函式库有必须注意的漏洞,那就会给予厂商警讯。

System Protection:在发现异常警讯时,安全 SDK 会阻断系统的行动;但像是工厂、汽车或一些不可以阻断而使得机器停止运转的产品类型,那就会以白名单的方式让 SDK允许某些程序执行,其他程序都阻断。还有一种入侵防御系统(Intrusion Prevention System,IPS),只要安装安全 SDK 就能有这个保护膜,能阻挡在某些漏洞之下的攻击模式,而且趋势科技会随时发布新的补钉阻断各种新出现的攻击,因此 IOT 装置开发商就不用为了某个资安漏洞,花很多时间与力气开发新的韧体。

Instant Response:这个其实是一个顾问性质的服务,趋势科技会给装置厂商、系统整合厂商或晶片商一些新的资讯,让他们可以着手布局新的补钉或新的韧体,或者还可以做什幺以保护自家的产品。

沈维明建议 IOT 装置厂商,可以直接使用晶片厂商或者云端平台商已经有提供的趋势科技资安 SDK,直接整合比较快,而且像在家用 IOT 装置的收费方式,主要是採流量付费(pay by usage),用多少再付钱,不会还没有赚钱就先付一笔资安布建费用。

Q3:汽车和工厂为了避免自己的资料受到危害,造成财产损失,愿意投资在资安防护,但很多家用 IOT 装置厂商或许是因为规模还小,或许是因为认为他们掌握的资料很不重要不会造成多大的财物损失,因此不愿意花很多钱投入资安,趋势科技有什幺方法可以解决?

沈维明坦言,以推动 IOT 解决方案两年的经验来看,家用厂商的确比较不以资安为优先,「我觉得是我们很热,但厂商现在是不是愿意跳进来」。

像 10 月 21 日域名服务器管理机构 Dynamic Network Service(Dyn)遭 50万台的网路摄影机 DDoS 的事件,被骇客利用的 50 万台网路摄影机,都是採用中国一间叫做雄迈(XiongMai)的主机板,就连卖出这幺大量产品的 IOT 零组件供应商都不注重资安解决方案,沈维明只能无奈表示,许多装置商转型做 IOT,但原先从单纯做硬体、封闭系统起家的厂商没有资安专业,因此会忽略这一块,或者有做但可能不是做到很完整,曾经沈维明在跟这些厂商谈资安防护时,他们都说自己的产品没有问题,但请工程师检查现有资安架构,或多或少都会发现有漏洞。

但时间会让这些厂商慢慢愿意花钱在资安上,尤其 Dym事件让许多 IOT 装置厂商惊觉原来自己的设备会被用来做大规模的恶意攻击行为,于是就有很多 IOT 装置厂商主动来询问趋势科技该怎幺办。沈维明笑说,Dyn 事件意外成为趋势科技最大规模的行销活动。

至于该怎幺办,沈维明语气肯定的表示,趋势科技目前的 IOT 资安解决方案已经準备好,价格也可以负担,布建也不困难。

不过在家用 IOT 装置厂商把资安架构做到完备以前,为了让 IOT 使用者可以更放心使用,趋势科技也计画推出从家用路由器端检查 IOT 装置的流量是否有异常的解决方案,毕竟一个人家里可能有很多连网装置,要确知哪一个是安全的、哪一个可能不安全很困难,那就先从流量进出的 Gateway 加以提防。

上一篇: 下一篇:

相关新闻

推荐阅读