七大要點！強化物聯網設備安全驗證

【作者： 盧傑瑞】

物聯網設備不僅被辦公室和家庭使用，還應用於農業、醫藥、工廠和許多其他領域。同時也不時傳出，物聯網設備的網路受到攻擊，而造成重大損失的案例。

因此隨著物聯網設備的增加，物聯網路設備受到攻擊，已經成為資安的一個主要風險。

以目前來說，最典型例子是在2016年所發現，利用DDoS攻擊為主的惡意軟體-Mirai。2016年9月20日，Krebs on資安公司遭遇了高達620Gbps的大規模DDoS攻擊。而該次的DDoS攻擊是因為物聯網設備感染了Mirai後，被構建的僵屍網路所造成。

此外，2016年10月21日，DNS服務提供者Dyn也遭遇大規模DDoS攻擊，被迫暫時關閉了客戶的網路服務，這些客戶包括Twitter、Netflix、PayPal和PSN（PlayStation Network）等大型網路服務業者。雖然隨著2016年9月底Mirai原始程式碼被公佈，大幅度將低被攻擊的危機，但隨後卻又出現Mirai的變種，因此網路攻擊風險仍然無法解除。

物聯網設備已成為惡意攻擊的主要目標

物聯網設備與PC、智慧手機等相比，PC和智慧手機的容量和處理能力都比較大，因此可以在OS層面提供安全功能。例如，發現Windows漏洞，則可以透過「Windows Update」的形式更新。

但是，由於物聯網設備的容量和處理能力相對較小，很多情況下，物聯網設備本身的安全功能不足，或者沒有更新功能。這使得它們很容易成為網路攻擊的目標，根據日本國家資訊與通信技術研究院在2020年公佈的《NICTER Observation Report 2019》，前11類攻擊目標中有6種是針對物聯網設備（圖一）。

物聯網設備受到網路的攻擊，不僅限辦公或家庭使用的設備，目前全球正積極進行數位轉型（Digital Transformation）下的智慧工廠，也發現已經開始受到網路惡意軟體的影響。

傳統上，工業機器人和自動控制設備幾乎完全是在工廠內運行，沒有必要與外部網路連接。當然，設備相互之間還是有一些聯繫，但這幾乎只限於M2M（機器對機器），而通訊也是透過工廠內配置的封閉式網路。

然而，為了實現智慧工廠，就必須透過網路來對外聯繫其他的物聯網設備。但目前最大的問題，是傳統工廠過時的現場作業指導方針。因為儘管工廠設備已經更新，但設備的運作仍然是基於過去的舊規則來進行。所以，針對物聯網設備至關重要的安全措施，例如定期被發布最新的韌體等，常常沒有獲得即時和充分的更新。

開放控制系統的趨勢也增加了網路攻擊的風險。工廠是製造業的核心，受到攻擊時更是會出現巨大的損失，因此成為了攻擊者的理想目標。在2005年，一個蠕蟲病毒的感染，導致了美國的13家汽車廠網路斷線，運營中斷了近一個小時，造成了1400萬美元的損失。

除了工廠之外，還有針對發電廠和淨水廠等民生基礎設施的網絡攻擊。這些因為網絡攻擊導致設備故障的發生，不僅衝擊了基礎設施的運轉，更會對人們生活和商業帶來程度不一的嚴重損失。

關鍵基礎設施的網路攻擊

以下是近期針對關鍵基礎設施的網路攻擊的三個例子，可以看到勒索軟體也是對關鍵基礎設施造成破壞的一個常見原因。

網路攻擊1：對美國一家大型石油輸送管路業者的攻擊

2021年9月，美國最大燃油管道系統業者—Colonial Pipeline，遭到駭客組織DarkSide利用勒索軟體攻擊，在關閉了其石油輸送管路後，要求用比特幣支付440萬美元的贖金。這也導致Colonial Pipeline停業6天。Colonial Pipeline是美東主要的燃料供應商，提供了美國東海岸50%的地區所需的燃料。因此衝擊了民眾的日常生活與商業、工業運轉。隨後，美國政府以緊急措施應對後才得以穩定混亂，所幸，後來大部分贖金都被追回。

網路攻擊2：巴西的世界最大的肉類加工業者遭到攻擊

巴西肉品加工業者—JBS，在2021年6月受到駭客攻擊了其北美以及澳洲據點後，支付了相當於1100萬美元（約新台幣3億800萬元）的比特幣，根據媒體報導，該次攻擊似乎是來自於俄羅斯的駭客組織-Revil。

【欲閱讀更豐富的內容，請參閱2022.11月(第372期)CTIMES雜誌】