藉助AI與ML技術 強化物聯網安全防護

Mirai可怕之處，在於只要任何物聯網設備疏於變更帳密，就可能成為駭客囊中物，或成為DDoS攻擊幫兇，或讓採用該裝置的企業，直接遭到入侵導致機密外洩。來源：Cyber Investigative Services

毋庸置疑，舉凡物聯網(IoT)或萬物聯網(IoE)，都是近年來炙手可熱的議題，也成為廠商亟欲搶攻的商機灘頭堡；但人們在享用IoT高度連結效益，繼而讓工作與生活變得更具智慧便利之餘，似乎也承受較以往更大的隱私與資安威脅。

在去年底(2016)，一支名為Mirai的僵屍病毒，釀成多起兇猛的分散式阻斷服務攻擊(DDoS)，無疑像是震撼教育，使大家幡然醒悟，總算明白當今被喊得震天價響的物聯網，原來如此弱不禁風。

回顧Mirai歷史，最早是在去年8月遭人發現，它意在攻擊諸如網路路由器、印表機、攝影機或數位監視錄影機(DVR)等植基於Linux韌體的物聯網設備，至於具體入侵手法，病毒會先選擇一個隨機IP位址，接著試圖運用一些預設的管理用帳密，看看能否登入裝置；只可惜不少物聯網設備供應商、用戶都太過輕忽大意，沿用預設帳號與密碼的情況比比皆是，以致Mirai攻擊者如入無人之境，接連攻陷各大網站，包括Twitter、Paypal、Spotify等網站都淪為苦主。

時至2017年，Mirai更優化了它的體質，不再只懂得利用殭屍程式與暴力破解來發掘潛在受害者，而進一步擅用新的Windows木馬程式，幫忙搜尋潛在攻擊對象，期以擴大Mirai殭屍病毒的感染範圍。

這支Windows木馬程式會根據C&C伺服器的指示，負責掃瞄被指定的IP位址，假使成功入侵目標裝置，會立即檢視裝置所用的作業平台為何，如果是Linux，便二話不說直接植入Mirai病毒，如果是Windows，就會將木馬程式複製一份到裝置上，接手搜尋其他Linux目標裝置。

可怕的是，Windows木馬程式比起原先的Linux版本，可掃瞄的連接埠數量更多、型態更廣，簡直把所有可能感染裝置的途徑，全都納入其中，得以有效擴大Mirai活動範圍。不禁讓人憂心，用戶在歷經2016年底的Mirai震撼教育後，是否亡羊補牢，趕緊改正了採用預設帳密的壞習慣？如果不能，縱使2016年僥倖未淪為受害者，如今仍可能在搭配Windows木馬程式的強大攻勢下難逃劫數。

台灣愛用預設帳密 高居世界第一

台灣民眾也許有所不知，有一個堪稱是智慧型IoT裝置超大型目錄的搜尋引擎－「Shodan」，只要全球的任何用戶未對裝置更改預設密碼，就會被Shodan網站納入統計，迄至目前，台灣符合「Default Password」的物聯網裝置，恆常維持在逼近1萬台的高水準，名列世界第一位，佔全球總數的10餘百分點，更始終比美國高出約3,000台。

看到這份數據，理應讓不少資安專家冷汗直流，直呼台灣人對於物聯網安全的認知程度，竟然如此之薄弱，這般「低級失誤」，恐讓台灣蒙受極高資安風險。

值得一提的，一個聲稱已彙集數萬支網路攝影機畫面的網站－「Insecam」，裡頭也有超過340個來自台灣的監視器畫面；其中最讓資安專家津津樂道的，是某家藝品店，駭客已成功換置該店的系統，而且還在監視器畫面上貼上一行紅色，表明店家的網路攝影機已經被入侵，但幾個月過去了，這行紅字始終呈現於畫面上，意謂店家對於自己的攝影機遭到入侵一事，依舊渾然不覺，更遑論採取任何因應措施，物聯網安全問題之嚴重，藉由此例即可充分表露無遺。

有人說，展望未來，人們現在所倚靠的一切開關按鍵都會消失，不再需要藉由遙控器來轉台，也不必透過開關來關閉照明設備，這些裝置都將依預先設計的情境範本來自動運作，譬如說，當家庭的所有成員都確定外出之際，假使廚房的瓦斯仍在繼續運作，便會立即由系統自動關閉瓦斯。

試想如果有一天，智慧家庭系統遭到駭客入侵，從而攪亂了情境控制功能，本該自動關閉的瓦斯卻未關閉，甚至原已關閉妥當的瓦斯又被駭客從遠端喚醒，那麼資訊安全不只帶來數位威脅，更危及實體安全，確實後患無窮。

那麼終究該怎麼做，才能遏止物聯網資安危機？去年底由美國國土安全部所發表的「物聯網安全策略準則」(Strategic Principles for Securing the Internet of Things)，無疑相當值得台灣的政府與產業界參考，該準則的制定初衷，在於喚起物聯網生態體系中所有成員的安全意識，不論位居產品設計、生產製造或使用等不同角色，都有義務維護物聯網安全。

IoT生態系成員 皆須肩負安全責任

深究美國之所以將IoT提升至國土安全等級，實為一般大眾對於連網裝置的倚重程度急遽增高所致，舉凡油、水、電等民生關鍵基礎設施的運作，乃至於自動駕駛車應用，都與物聯網息息相關，若不對此善加保護，任由相關設備商罔顧安全設計，繼續缺乏安全更新與漏洞管理機制，也放任使用者便宜行事採用預設帳密，因而向駭客敞開大門，勢必會造成不可逆料的巨大危害，因此必須訴諸法令規範，從根本上儘量解除物聯網安全威脅。

專家指出，論及物聯網安全防護，牽涉範圍頗廣，包括裝置的實體安全、網路通訊、軟體設計、韌體設計等不同構面，皆需要面面俱到，此一特性，也導致物聯網安全防護的難度，明顯高於傳統電腦安全；姑且不論製造商或使用者對於物聯網風險的認知是否足夠，也不管一味講求使用便利性的消費者，是否有足夠耐心來接受必要的安全檢查程序，光是從物聯網、電腦兩類裝置在於運算能力上的落差，也能顯而易見知道IoT設備難以支援太高階的加密技術，能夠用來擋住惡意份子入侵的武器，自然相對疲弱。

但無論如何，物聯網的組成，可大致區分為「終端裝置」(End-device)、「通訊媒介」(Network Media)及「後端系統」(Backend System)等幾個關鍵環節，其間經由網路來交換彼此資訊，因此如何把散佈於不同環節的漏洞關連起來，肯定是物聯網安全防護的一大關鍵。

總括而論，藉由上述重要環節所衍生的安全議題，至少分為六大項，其中屬於應用層者有三項，依序是物聯網裝置本身的隱私資料保護、物聯網裝置身份認證及存取權限控管，以及物聯網裝置本身的軟體漏洞更新與保護機制。

此外在網路層部份，有兩項值得留意的安全議題，包含了物聯網裝置資料傳輸過程的加密及保護，乃至於物聯網裝置之間更趨複雜的網路安全管控。至於位在IoT應用架構最底端的感知層方面，則需要防範感知設備攻擊，至少需要確認工業控制系統(ICS)或SCADA所接收到的資訊，確實100%與原始數據相吻合。

專家建議，有鑑於物聯網裝置為數眾多，且偏佈在不同環境，若要倚靠人工逐一管理，肯定力有未逮、緩不濟急，故企業不妨援引人工智慧(AI)或機器學習(Machine Learning；ML)等技術分析資安威脅情資，自動產生對應防護決策。