Granite River Labs, GRL
Sanjay K Sharma
消費性類物聯網(IoT)設備的快速普及為我們日常生活帶來了前所未有的便利。調查預計全球物聯網設備數將在 2030 年達到 290 億台,其中也包括如嬰兒監視器、煙霧偵測器和門鎖的安全設備。此外,智慧相機、電視、揚聲器、穿戴式健康追蹤器等娛樂系統,家庭自動化和警報系統也讓生活管理的各個層面更無縫。然而,物聯網的擴散也增加了網路中的安全風險。連接到網路的每台備都有可能成為網路攻擊者的入點。由於許多物聯網設備在安全功能方面偏落後,也缺乏定期更新,使得物聯網系統成為了致命的空擋。
2023 年:物聯網軟體攻擊率激增
對物聯網安全來說,2023 年就是個關鍵的轉捩點。一份 Zscaler ThreatLabz 的報告顯示,物聯網惡意軟體攻擊比前一年增加了 400%1,而這激增也跟連網裝置的日益擴散有著密切關係。
2024 年 Roku 網路攻擊
美國高科公司 Roku 在 2024 年遭受了網路攻擊,使得超過 576,000 個帳戶2洩密。這事件也凸顯了互聯體制的漏洞,讓全世界再次考慮消費者信任、監管合規性以及網路安全措施等議題。而缺乏了足夠安全保障的設備更是有可能成為 DDoS 攻擊的起發點。不久之後所發生的 Mirai 殭屍網路攻擊3恰恰利用了如此設備擾亂了不少數的官網,透過智慧攝影機、健康監視器等設備將數十萬人置於危險之中,在次突顯了網路攻擊的潛在規模。
物聯網設備的安全漏洞
為了避免在物聯網設備連接到廣泛網路後暴露漏洞,建議提前彌補以下弱點:
- 薄弱身份驗證:如使用者名稱和密碼的身份驗證機制已無法提供足夠的保護,而仍依靠這樣落後措施的設備易讓網路分子上手。
- 未加密的儲存資料:物聯網裝置上儲存的個人資料必須加密,以免被提取和濫用。
- 未使用的介面:如果開放或未使用的介面沒有被妥善保護或停用,攻擊者能利用此介面取得未經授權的存取或對設備進行遠端控制。
- 缺乏定期更新: 缺乏定期安全更新的物聯網設備必然累積漏洞,隨著時間越來越容易被侵入。
製造商的角色:由於消費者往往對物聯網設備的漏洞不熟悉,製造商更是需要對產品的身份驗證協議,韌體更新,加密儲存等安全措施保持緊密。
根據歐盟 RED 規定,在歐盟區分佈的消費性物聯網設備必須在2025年8月之前獲得 CE 標誌認證,以證明該產品符合了最基本的網路安全要求。此外,製造商還要根據各種目標市場考慮 ETSI EN 303 645、NIST、OWASP Top 10、CWE 25 等私人認證計劃。這些標準則透過13項關鍵建議為連網消費產品提供以下安全措施:
- 取消預設密碼
- 實施漏洞揭露政策
- 持續的軟體更新
以獲得各種國家和國際標準認證的 GRL 實驗室根據上述的標準為消費性物聯網設備,應用以及電信設備進行全面的安全測試。在網路危機在日益進化的情況下,別等到為時已晚。現在就聯絡物聯網專家,積極做好應對最壞情況的準備,以保護您的客戶和品牌。
關於作者
Sanjay K Sharma
副總監 – 網路安全服務
Sanjay K Sharma 負責根據各種國家、國際和行業標準開發網路安全服務並建立評估設施。 支援物聯網和數位連接技術策略。
參考資料
1. Adm Ford. 11 Jan 2024. Securing Public Sector Against IoT Malware in 2024. Zscaler Blog.
2. Ty Roush. 12 Apr 2024. Roku Says 576,000 Accounts Compromised In Latest Security Breach. Forbes.
3. Cloudflare. What is the Mirai Botnet?