【TechOrange 編輯部導讀】

你家中使用的是智慧冰箱嗎?如果是的話,你一定得知道這些具備智慧物聯網機能的家電產品,就跟電腦一樣,都有遭到駭客攻擊的風險。甚至汽車也是近年來駭客的攻擊目標之一,他們可以利用潛在的資安漏洞,竊取你的電子郵件、信用卡數據等敏感資訊。那麼,在物聯網資安上,該怎麼做好防護呢?

疫情後迎來產業大變局, IoT(物聯網)設備開始迅速普及,卻也讓資安問題快速增加。

全球大約有 170 億台物聯網設備,從印表機到車庫門的開啟器,這些日常生活中隨處可見的設備所使用的軟體,都有可能被駭客入侵。其中與人們生活密切相關的汽車和企業的製造工廠設備,更是容易受到駭客攻擊的切入點。

萬物皆聯網,成 2023 年新型態資安犯罪破口

Google 旗下網路安全公司 Mandiant 的情報分析副總裁 John Hultquist 表示,根據他長期在暗網上監控網路威脅組織的經驗,並觀察犯罪創新市場的發展。他認為,一種新型態的犯罪商業模式可能會再 2023 年迅速流行起來。

根據威脅情報機構 SonicWall 的一份報告指出,在 2022 年第 4 季檢測到的針對物聯網設備的惡意軟體增加了 98%;與此同時,過去沒有出現過的惡意軟體變種數量也快速增長了 22%。不過 SonicWall 表示,這些攻擊大多動機是出自於金錢,因此這些勒索組織常會向企業要求一筆相當高的贖金,以換取被竊取的數據。 

專家表示,由於生活中 IoT 設備的迅速普及,例如醫療設備或是可下載軟體的汽車,過去針對製造工廠的攻擊逐漸開始轉變到人們的日常生活中。大量的物聯網設備,甚至可能成為駭客攻擊國家關鍵基礎設施(如電網)的一個切入點

想知道 2023 年關於「資安」的最新趨勢與台灣企業行動方案嗎?
→ 立即下載《TechOrange 2023 趨勢觀察報告

「沒有更新」是物聯網資安的一大問題

隨著資安問題不斷增加,企業以及製造商也開始關注物聯網安全,並加強設備連接網路的端點。 但是,資安風險評估與防禦管理平台 Forescout 董事長 Greg Clark 表示,物聯網安全的關鍵問題之一在於,雖然新的漏洞、駭客攻擊不斷出現,但企業和設備卻沒有執行更新的良好流程

從燈泡和汽車等消費品到無人機和整個發電廠等工業設備,構成 IoT 的許多連接設備非常容易被入侵,但其中許多設備幾乎沒有安全措施。網絡安全公司 Synack 的研究主管 Patrick Wardle 表示,物聯網設備就是一種電腦,駭客可以透過任何方式對這些電腦進行攻擊。而更令人擔憂的是,由於物聯網設備通常直接連接到網路,因此世界各地的攻擊者都可以看到它們。

在日常生活中,電腦和手機常常跳出下載更新檔的提醒,不過大部分的用戶大概都懶得進行更新。這樣的習慣看似沒什麼影響,但是到物聯網中,問題就會變得嚴重得多。Clark 舉例說明,很少用戶會認為更新車庫門的開啟軟體是非常重要的問題,也很少企業會時時刻刻更新這類軟體。而這可能就會成為駭客的一個破口。

對於製造工廠中的設備機台來說,更是有著經濟效益、工安、以及程序的問題。若老舊 OT 設備出現資安問題或是需要更新,通常會需要停機檢查,動輒數小時,或甚至幾天的時間。但這不僅會影響整條生產線,甚至影響工廠企業的品牌名聲,因此大多工廠只會選擇用「貼補丁」的方式,在機台前面加裝另一台防護裝置做補強。

這樣的處理方法雖然可以暫時解決程式漏洞問題,又不需要暫停產線,但終究不能治本。當工廠因為有特殊狀況必須繞過防護裝置時,往往就會露出破綻而遭受到攻擊。

另外,由於這類物聯網的資安問題對於社會來說仍較少見且較新,目前各國在法規上也尚不完善。這也導致大部分的物聯網網路安全問題責任必須由消費者和公司自行面對,而非由製造物聯網設備的製造商負責後續的處理。

汽車為何也會受到駭客攻擊?

2015 年,兩名駭客攻擊了一輛汽車,他們在高速公路上關閉了引擎,並讓剎車失靈。隨著車聯網與電動車的普及,汽車也成為了駭客可以攻擊的目標之一。攻擊者進入系統後,便可以快速竊取存儲在汽車中的敏感訊息,包括個人的地圖紀錄和信用卡數據

幫助汽車大廠提高其物聯網設備安全性的新創 Karamba Security 執行長 David Barzilai 表示,在過去的 12 個月裡,發生了數十起襲擊事件,其中包括嚴重的犯罪集團以及惡作劇的青少年。 2022 年 1 月,一名青少年也在網路上公開同時登入數十輛特斯拉控制系統的方法。

由於大部分聯網汽車都有 SIM 卡,駭客可以透過蜂巢式網路對其進行攻擊。特別是同一車型的汽車都會使用相同的軟體,一旦駭客發現了一個漏洞,並找到可以遠程操作的方法,就可以將這樣的攻擊複製到其他車輛上。 

不過由於攻擊汽車的經濟利益較低,因此針對汽車的駭客攻擊比例仍較低。儘管如此,汽車製造商仍在努力開發防禦措施,以保護他們的產品免於受網路攻擊傷害。而這些系統漏洞,目前仍只能靠事後修復和更新市場上已上市的軟體和硬體。

隨著未來越來越多車輛開始聯網和智慧化,汽車中累積的數據和資料也會越來越豐富,因此汽車仍可能成為未來駭客攻擊的一大受害族群。

》下載 TechOrange 2023 趨勢觀察報告《

*本文開放夥伴轉載,參考資料:cnbctechmonitorhologrampasswork圖片來源:create.vistaunsplash

(責任編輯:游絨絨)