IoT資安、智慧製造 啓動防駭大作戰
配圖圖/美聯社、本報資料照片
配圖圖/美聯社、本報資料照片
趨勢科技2020年調查美國、德國、日本製造業面臨的IoT資安挑戰
根據美國衛生和公共服務部(HHS)於2020年下旬調查顯示,僅2020上半年醫療保健網路的安全漏洞數量便成長50%,遠距辦公方面,由AT&T、Cisco、IBM、SAP等大廠創立的數位經濟安全委員會(CSDE)於2021年3月報告亦指出,居家辦公措施使DDoS攻擊(分散式阻斷服務攻擊)在2020年達到上千萬次,2020年第四季相較2019年同期甚至成長542%。
與此同時,安全廠商SonicWall在其發佈的網路安全威脅報告中指出,2020年以IoT惡意軟體爲主的攻擊次數較2019年成長66%,整體逼近5,700萬次,主因在於居家辦公的疫後新常態,使家庭IoT設備成爲駭客鎖定目標。其中,資安大廠Palo Alto Networks在2021年2月發現Mirai病毒變體,便是針對VPN、防火牆的IoT漏洞。
全球物聯網設備數量至2025年上看300億臺發展趨勢,然伴隨而來的資安風險亦同幅成長。隨着新冠肺炎疫情使生活與工作型態驟變,物聯網的資安重心也同步轉移,其中最明顯的是遠端工作使居家與醫療網路成攻擊要點,常見IoT重大安全挑戰包括弱密碼、缺乏更新、數據保護不足、設備管理不佳等,迄今仍未能有效克服。
英國在2020年有超過86%關鍵國家基礎設施(CNI)其OT(營運技術)與工控系統(ICS)受到網路攻擊,且經檢視有三成以上政府組織使用的是10年以上舊版OT系統;2021年5月美國最大成品油管道營運商Colonial Pipeline亦遭駭,癱瘓美東輸油系統,導致美國進入緊急狀態。近幾個月海內外大廠諸如Sierra Wireless、宏碁、仁寶、日月光集團等紛紛傳出遭勒索軟體攻擊等IT災情,對其生產線、伺服器運作會產生一定程度影響。
然而,相較上述基礎設施來說,物聯網設備仍是駭客較易入侵,且使用者疏於防護的一環,不僅居家環境如此,近年製造業積極投入數位轉型打造智慧工廠,在IT與OT環境越顯複雜的趨勢下,加諸停工成本高,亦成IoT資安攻擊首選。市場也指出,智慧工廠中OT端相較IT端最大問題在於資產可視不落實、安全目標難訂定與風險威脅未識別,這些瓶頸源頭來自營運現場的物聯網設備過於繁雜。
整體而言,隨着數位轉型過程IT與OT漸不同步且後者往往老舊,或影子物聯網(Shadow IoT)設備管控不落實,僅靠內部防堵效果仍有限。因此扣除掉人爲因素,法治端的標準規範對智慧工廠來說也成爲落實資安準則,諸如NIST CSF、ISO 27001、CIS Controls等未來都可能是打進大廠供應鏈的基本要求。
從各產業大廠的策略佈局來看,除了智慧工廠的資安解決方案亦持續推陳出新,產業大廠近期亦將安全性納爲工業物聯網(IIoT)相關產品設計的關鍵考量點之一。
包含資安產業大廠Kaspersky在2021年4月中旬於德國漢諾威工業展推出首個網路免疫解決方案IoT安全閘道器,主要在將數據從工業設備直接安全傳送至雲端平臺。而臺灣廠商普萊德亦於該活動展示整合高階資安防護功能的網管交換器與閘道器、以及比利時國際通訊服務商BICS的工業物聯網SIM卡、Nozomi以AI檢測OT環境異常等。
Arm也在2021年3月底發表v9架構藍圖推出Arm機密運算架構(CCA),藉由將資源劃分到機密領域(Realm),確保程式碼即資料不被惡意存取和修改。恩智浦半導體同期則推出針對工業物聯網邊緣應用的系列處理器,可透過信任配置、金鑰管理等自主安全功能強化保護邊緣裝置。另一方面,企業受到疫情刺激而加速數位轉型,進一步使工廠大量採用物聯網設備。因此,建立大規模安全性、驗證遠端上雲身分便成企業的首要考量,較具代表性案例有法國航天技術商Thales與加拿大無線網路營運商TELUS、加拿大網路註冊管理局(CIRA)合作,藉由整合從晶片、平臺至雲端設備的安全性與身分驗證,確保數據的機密與完整性,預計將大量應用於簡化醫療保健、能源與基礎設施三領域的遠端管理。
3.着眼源頭防護 MCU爲主要切入點
在物聯網資安仍待持續優化,以及使用者習慣與知識難以立即改善的挑戰下,相關廠商與產業聯盟皆有共識從供應商與設備源頭着手防堵,依據產品設計、供應鏈管理與完整產品生命週期等面向進行資安管控。
依據性能、成本、可靠度、生命週期與適用範圍等綜合考量,物聯網上游關鍵零組件端的設備處理器與晶片朝低功耗、高性能方向發展,促使MCU被廣泛應用於IoT各式終端設備,其中資安爲其近年重要加值效益。如瑞薩(Renesas)的32位元RX65N MCU於2021年4月通過NIST的FIPS 140-2安全標準,獲得加解密模組驗證計劃(CMVP)三級認證,並與臺灣廠商尚盛科技合作,結合兩者的硬體安全功能與韌體加密保護服務,從產品設計源頭導入防護機制。
產業聯盟端同樣就這個議題提出標準規範,近期較重要的標準規範包括可信計算集團(TCG)着眼供應商的網路彈性、FIDO聯盟推出最新的開放式IoT標準FDO協議、CSDE發佈殭屍病毒以及物聯網的安全指南等。
其中,甫於今年四月推出的FIDO的FDO能安全、快速且簡便的在企業或工廠環境部屬物聯網裝置,並在設備製造初期便先行在其上安裝軟體並使用安全密鑰,待制造商將設備運送給客戶且提供安全密鑰時,客戶便能將其註冊到FDO雲中確保設備身分。
整體而言,諸多標準、協議一方面突顯產業對物聯網安全關注程度,然也顯示出僅藉由少數標準將難以對IoT資安有效管控,其原因在於物聯網包括數據、設備、應用程式、網路、雲端等,不同風險級別與複雜使用場景對資安防護來說都是極大挑戰,也因此從源頭防護至產品生命週期的身分驗證,都是產業試圖提升IoT整體安全性的切入點。
4.臺灣IoT防護產值 2024拚抵40億
聚焦臺灣物聯網安全防護領域,預估2021年將達有機會達新臺幣27億元,至2024年逼近新臺幣40億元,年複合成長率達10.11%。此外,根據經濟部工業局資料顯示,臺灣資安總產值於2021年預估可達新臺幣597億元;其中以網路安全、終端與行動裝置防護、資安系統整合建置代理三項最高,佔比分別爲29.2%、21.6%與16.1%,考量總體環境發展趨勢,2021年5月國發會再將2025年資安總產值上修爲新臺幣800億元。
目前臺灣廠商除了傳統資安廠商外,許多大廠如研華、仁寶、旺宏、訊舟等藉其產業專業亦有涉足,以物聯網軟硬體、平臺等防護產品爲主要發展項目,其中旺宏着眼車用電子關鍵安全性元件設計、訊舟則強調其空氣盒子的產業鏈完全臺灣生產,且具PKI+X.509資安伺服器簽發的安全憑證防護;另有少數廠商同時提供IoT、OT系統安全檢測或防護服務,如趨勢科技、力麗等。
TrendForce補充,在此產業背景下,2021年臺灣資安大會便以近期市場熱議的目標式勒索威脅、軟體漏洞、零信任、AI、雲端、5G、工控等爲展會關鍵探討議題,垂直應用領域則以製造、金融與醫療爲主要範疇,廠商產品服務多聚焦在智慧製造相關流程掌控、異常偵測與設備防護,IoT資安防護則多體現於OT環境與裝置。
整體而言,TrendForce認爲,智慧製造持續受到資安產業重視,短期主要是疫情加速工廠數位轉型步伐,加上駭客針對製造業的勒索金額逐漸攀升;長期則是受到中美貿易摩擦致使供應鏈彈性優化所影響,儘管整體針對OT資安產品服務,如工控安全系統、產線安全防護、異常活動偵測等沒有大幅更新,但已成爲產官日趨關注的焦點。相較同樣受駭客攻擊的醫療與家庭場域,後續製造業的IoT資安產品服務將更受矚目。