別被新科技誘惑,卻對風險視而不見

2019.10.15 by
Tony Jarvis
Tony Jarvis 查看更多文章

目前擔任Check Point的亞太區技術長,曾任職FireEye領導亞太地區,擁有卓越領導力與網路安全資訊專業,及超過十五年執業經驗並致力於提供業界符合其業務目標的網路安全解決方案。

別被新科技誘惑,卻對風險視而不見
Alex SG via shutterstock
物聯網、AR、5G、AI、無人機等新技術的出現,為人類生活帶來無限可能,卻也造成資安的諸多危害。如何從過往經驗汲取教訓,做好風險控管,是未來一大課題。

「這個世界唯一不變的,就是變」,這句話來形容科技進步再適合不過了。眾多新科技的出現,不但為企業開創新的可能性,也從個人化層面影響我們的生活方式。隨著物聯網、擴增實境(AR)、5G、無人機和人工智慧(AI)等技術的興起,有哪些相關的安全疑慮值得注意?

物聯網:連網功能產生額外風險

IDC預估到了2025年全球將有416億個連網裝置,產生的資料量高達79.4ZB(zettabyte,1ZB = 10的18次方TB)。物聯網的普及率以亞太地區最高,預計到了2023年其相關支出將達到3,986億美元。亞太區各地政府已積極推動各產業採用物聯網,包括運輸、製造、醫療照護和零售等。

物聯網裝置通常藉由嵌入感測器、處理器和通訊硬體來收集、傳送資料,並據此進行下一步行動;由於本身就具備連網特質,這些裝置已因其有限的安全性而備受關注。 單就醫療照護產業來看,像血糖偵測計、智慧藥盒和胰島素幫浦,都是目前已廣為使用的物聯網裝置,但近日傳出胰島素幫浦因產品內部存在資安漏洞而宣布召回。這個問題尤其令人擔憂,這類事件很可能直接影響病患健康。

物聯網裝置通常藉由嵌入感測器、處理器和通訊硬體來收集、傳送資料,並據此進行下一步行動;但也因這樣的連網特質,其安全性備受關注。
Sasin Paraksa via shutterstock

如2017年時就有團隊發現可以利用LG SmartThinQ行動與雲端應用程式的漏洞,從遠端登入SmartThinQ,管理使用者的合法LG帳戶,進而控制吸塵器及其內建攝影機。一旦攻擊者接管使用者的LG帳戶,所有與該帳戶連結的LG裝置或家電都可能連帶被控制,掃地機器人、冰箱、烤箱、洗碗機、洗衣機、烘乾機和空調等都無一倖免。不過後來LG在接受到這個漏洞訊息後,也立即修復SmartThinQ應用程式,阻止此應用程式與裝置遭利用。

此外,數位相機也極易在連接USB和WiFi時遭到勒索軟體與惡意軟體攻擊。由於攻擊者可將勒索軟體植入相機及其連接的電腦中,智慧裝置更容易受到威脅──這些照片最終可能被加密,直到使用者支付贖金才會解鎖。

直到現在,確保企業環境下的物聯網裝置安全都還是一項充滿挑戰的任務,部分原因是我們仍依賴功效有限的傳統安全控制方法。資安策略必須與時俱進,結合傳統和新型控制方法,才能解決這類裝置所產生的安全疑慮。

擴增實境:能否從過去經驗汲取教訓?

導入擴增實境對企業來說是很好的機會,可提升營運、顧客體驗等功能。相關技術的採用可望於2020年進入主流,特別是利用主動式(pre-emptive)手法來確保這類科技的安全。雖然擴增實境為企業帶來許多競爭優勢,卻也讓網路罪犯有機會發動新型攻擊,這與我們習以為常的模式大不相同。

擴增實境開發人員必須謹慎以對,牢記物聯網導入後的諸多教訓。這類裝置要修正程式是出了名的困難──從過往發現的大量漏洞來看,這的確是一大隱憂。我們強烈建議廠商將安全功能納入產品開發過程,不要事到臨頭才匆忙應對。

5G:資料量暴增,引發隱私問題

行動網路營運商正為5G服務鋪路,部分業者甚至誓言要在年底前進入商用階段。5G網路將帶動各種新型應用興起,讓使用者能夠將更多裝置連上網路並相互連結,同時鼓勵使用者擷取並分享更多的個人資料。

這類新型網路的主要特色之一,就是收集的資料量將因大量連網裝置和相關感測器而加速增長。舉例而言,智慧型手機將成為其他個人裝置的超級連結樞紐,電子醫療應用程式將收集使用者健康相關資料,連網汽車將偵測使用者的行動,而智慧城市應用程式則可收集使用者日常生活相關資訊。這些都將帶動個人資料量暴增。

許多安全專家都提到,使用者隱私是5G網路最大的挑戰。 諸多利害關係人未來必須協力合作才能解決這些疑慮。這將牽涉到業界團體、網路營運廠商、制訂準則及規定的政府機關,以保障通訊、資料和隱私的安全性。

無人機:潛藏的風險

無人機為一種獨特的威脅,其自由移動的特性,能輕易進入管制區域。他們多半為了拍攝照片或影片,非法闖入機場、政府用地和其他禁區,這已引起多方疑慮。一旦結合既有的攻擊向量,這些無人機裝置就可能變身非常有效的偵查和滲透工具。

無人機價格低廉且易於使用,可執行監控作業、擷取資料並中斷網路連線。為此目前市場正在開發專為無人機資安使用的專業服務,協助企業降低相關風險。

對無人機的威脅缺乏意識,是目前強化防護問題的最主要障礙,不過未來這個狀況可能會隨著媒體報導增加而改善。2018年11月,Check Point分析師就發現由無人機領導廠商大疆(DJI)所架設的線上論壇出現潛在資安漏洞,一旦遭到利用,攻擊者就可能取得無人機飛行時所拍攝的影像。

人工智慧:早期跡象均屬正面

傳統安全工具的挑戰之一,就是相關部署和管理都有一些行政管理上的負擔,必須制訂政策、進行維護,同時針對警示做出回應。

這個領域就是人工智慧大有可為之處。許多人期盼未來智慧工具不只能讓人力密集的工作自動化,還能利用蒐集而來的洞察資訊,發現人類可能忽略的地方。

雖然資安團隊已開始使用這類功能,對手卻也部署了人工智慧工具,發動的攻擊越來越複雜。舉例來說,只要利用機器學習技術,網路罪犯就能設計出更令人信服的訊息,成為網路釣魚詐騙活動的一部分。他們可針對每個被攻擊者量身訂做寫作風格和內容,以提高傳送訊息後達成目標的機率。

儘管人工智慧前景樂觀,還是建議企業不要太快放棄傳統的安全控制方式。專家建議目前最好的做法是選擇性地採用人工智慧解決方案,來補足既有防護措施的不足。

雖然上述技術的進展都能為企業及個人帶來極大好處,但還是有許多風險必須考量。每當突破式創新技術進入市場時,往往為了加速產品上市而忽略安全性。謹記從行動和雲端運算等過往科技轉變時汲取的教訓,能讓初期採用者降低投資結果出現意外的可能性。

責任編輯:陳建鈞

《數位時代》長期徵稿,針對時事科技議題,需要您的獨特觀點,歡迎各類專業人士來稿一起交流。投稿請寄edit@bnext.com.tw,文長至少800字,請附上個人100字內簡介,文章若採用將經編輯潤飾,如需改標會與您討論。

(觀點文章呈現多元意見,不代表《數位時代》的立場。)

每日精選科技圈重要消息