过去五年来,物联网(IoT)已在各行业广泛应用,但其安全性是否同步提升?资安专家们指出,虽然有所进展,但改善速度仍然不够快。
根本问题依然存在
尽管组织越来越依赖IoT 设备和应用程式来提升营运效率或降低成本,这些技术本质上仍存在资安缺陷。 IoT 实现了万物互联,同时也使大量资料暴露于网际网路。更令人担忧的是,许多IoT 设备缺乏便于修补弱点的更新机制,有些甚至无法提醒使用者需要进行更新。
制造商常以简易的预设密码出货设备,例如「admin/admin」,但许多用户不知道需要重设这些密码来强化资安防护。随着攻击者在物联网领域的手法越来越精进,这个问题变得更加严重。
攻击与防御之间的拉锯
2018 年,美国加州立法推动提升连网装置的安全性,强制制造商采用更独特的预设密码。 runZero 资安研究副总裁Tod Beardsley 表示,这项法案为物联网安全带来进展,但后续改善仍然有限。
科技产业面临的一个共同挑战是在强化资安防护与维持良好使用者体验之间取得平衡。 Beardsley 指出,制造商和供应商担忧过于严格的安全措施可能会降低装置的易用性。
Beardsley 提到,DEF CON 资安会议中观察到物联网安全主题馆明显扩大,显示人们对此议题的关注度提高。他认为,过去五年来,变化主要集中在攻击方与研究领域,而防御方面则几乎维持原状。由于成本因素,制造商的改变通常较为缓慢,但物联网的研究与公众意识却持续增长。
新进厂商成为隐忧
尽管问题意识日益提升,制造商仍需采取更积极的行动。目前物联网资安防护透过更有效的实务做法已有所进步,但资安专家Beau Woods警告,市场上的新进企业可能阻碍这种发展。
随着从新创公司到资金充裕的大型组织纷纷投入物联网市场,一个令人忧虑的问题是:这些新公司常常未能汲取过去的教训。 Woods 指出,现阶段很难评估物联网安全是否确实进步。一方面安全措施在改善,但另一方面,设备供应商大量涌入、程式码基础急速扩张,加上连网程度持续攀升,这些因素都让攻击风险随之增加。
若没有「外部强制性」要求,这些安全问题将持续存在。政策导向的解决方案,可能是改善整个物联网生态系统的有效途径。
从僵尸网路到系统性威胁
2016 年Mirai 僵尸网路瘫痪了Netflix 和X 等大型企业的网路服务,成为物联网资安领域的重大警讯。 Veracode 共同创办人兼资安技术布道师Chris Wysopal 指出,过去五年来市场已透过新法规应对Mirai 类型的僵尸网路威胁。