隨著雲端運算、人工智慧、物聯網及 5G 的蓬勃發展,現今已成為「萬物皆聯網」的時代,但面臨到的資安挑戰也日益升高,一旦數據透過網路傳輸,無論是感測端、裝置端或是應用端,都可能會在資安上產生漏洞,藉此形成「萬物皆可駭」的情況,因此企業在追求 AIoT 應用的同時也需要確保資訊安全,讓資訊能時刻保持機密性、完整性與可用性。
如果想要更了解 AIoT 的詳細介紹,可以參考「AIoT 是什麼?為何是 2023 年智慧製造的主流趨勢?」這篇文章。
AIoT 可能引發的資安問題
AIoT 是由「人工智慧(AI)」與「物聯網(IoT)」兩種技術結合而成,稱為「人工智慧物聯網(Artificial Intelligence of Things)」,也因為如此,企業在應用上所涉及的範圍更廣,需要的設備也大幅增加,伴隨而來的便是更多的節點數與更大的資安攻擊面積。
終端與雲端設備被攻擊
在終端設備與雲端設備上,若是沒有做好管理作業,像是定期變更管理員帳號/密碼及定期進行版本更新,或是確保使用者是否使用合法軟體,都很容易讓駭客有機可乘,並取得控制權。
通訊與網路傳輸有漏洞
透過通訊協定與網際網路進行數據傳輸,若是沒有進行加密作業,則有很大的機率能被駭客從中攔截,除了數據會直接被抓取之外,甚至還可能會被竄改後回傳,導致設備執行到錯誤的動作。
資安攻擊對企業造成的影響
資訊安全的本質有三大重點,分別為資訊的「機密性(Confidentiality)」、「完整性(Integrity)」與「可用性(Availability)」,合稱為 CIA Triad,三者若有其一無法達成,就會連帶影響到後續的數據傳輸、數據保管與數據分析等。
隨著物聯網裝置的擴增,節點也會隨之增加,即容易發生分散式阻斷服務(DDoS)的網路攻擊,駭客可以利用多個連接上網路的裝置作為攻擊來源,並建立殭屍網路將攻擊目標的流量資源耗盡,使得服務被迫暫停或中斷,企業的使用者也就無法訪問,此時駭客就能夠進行非法或惡意的工作,包括竊取企業機密資料以勒索贖金、透過虛擬加密貨幣洗錢、傳送垃圾郵件、以欺騙手段誘導點擊釣魚廣告等。
如何預先進行資安防護?
- 強化資產管理與軟體管理
- 善用一次性密碼與多重要素驗證
- 進行弱點掃描與滲透測試
強化資產管理與軟體管理
資產管理與軟體管理是進行資安防護的基礎,如果企業對於自身使用的資產及資料數據掌握度不夠,就等於是給了駭客絕佳的攻擊機會,不僅無從預防,當攻擊發生時也難以找出攻擊來源並即時解決。
在資產管理上除了可以將資產列成清冊以方便辨識之外,也需要定期維護將韌體更新到最新的版本,以防駭客利用舊韌體進入並攻擊。在軟體管理方面,確保使用者都是安裝合法的授權軟體,而非來路不明的綠色軟體、盜版軟體等,以降低駭客從外部轉進企業內部網路攻擊的機會。
善用一次性密碼與多重要素驗證
駭客能夠不斷地利用暴力破解,網路釣魚等方式來竊取企業內部裝置的帳號密碼,即便設置複雜度高的強密碼,若在多個裝置、系統使用的都是同一組帳號/密碼,也只是防止駭客盜用身份的第一道防線。
透過一次性動態密碼(OTP),根據單一事件以隨機產生亂數密碼,即便這一次的密碼被駭客攔截,也無法再進行下一次的登入;而多重要素驗證(MFA)可以利用使用者的知識、生物特徵、所持物品等,來授予使用者安全的存取權限,逐步建立無密碼環境以提升資訊安全度。
進行弱點掃描與滲透測試
企業大多會使用防火牆及防毒軟體來作為安全防禦系統,以將駭客阻擋於牆外,但就如同上述狀況,若駭客竊取到企業內部使用者的帳號密碼,這時築起再高的牆也沒有用處。
企業可以透過定期的自動化弱點掃描來找出隱藏的漏洞,並針對漏洞即時進行補救;而藉由模擬駭客的操作模式進行滲透測試,對特定的目標進行攻擊,以找出自身防禦機制潛藏的弱點,即能減少被駭客攻擊的機率。
結論
日新月異的科技技術雖然能夠幫助企業創造更多營收,但網路的攻擊手法也不斷的推陳出新,當企業以「零信任架構」作為資訊安全的準則,並做到「事先預防」、「即時處理」,才能夠在資安攻擊事件發生時將損失將降到最低。