在資安威脅遽增的時代加強物聯網安全
本文旨在探討確保軟體供應鏈安全性與完整性的重要,以及採用通用且可驗證的技術標準有何好處。 構成物聯網 (IoT) 的各種網路裝置,正在改變我們與周遭環境的互動方式。物聯網為現實生活帶來更先進的應用服務,例如連網汽車、連網家庭、智慧電表與健康監控等。然而,在我們讚嘆物聯網潛能之餘,很容易就忽略伴隨而來的各種挑戰 ── 這當中有許多皆涉及隱私及資訊安全。 與 IT 系統如出一轍,物聯網網路與裝置很容易受到操控及破壞,進而衍生各種風險,例如重要資訊外洩、關鍵業務服務停止運作…等。此外,隱私問題的經常發生,則令消費者擔憂不已。根據數位安全公司 Gemalto 的研究,90% 的消費者對物聯網裝置的安全性缺乏信心1。 確實因為無法掌控資料的安全,會讓消費者感到不安。 新的動態挑戰 物聯網裝置會收集和傳送那些使用各種安全要求的資料。在實作上,有些資料串流僅需最基本的防護,例如工廠設備的操作資料,但有些資料串流則會包含高度機密的資訊,例如銀行交易或機密的醫療紀錄。 另一項挑戰在於對各式各樣物聯網硬體、軟體與網路基礎架構的管理。更複雜的是,企業還需要與許多供應商、內部團隊、合作夥伴甚至消費者共同維護各種元件、基礎架構與裝置的安全性。 防禦升級 隨著網路連線裝置數量呈倍數增長,企業需要完善的解決方案,以保護重要資料與系統。最好的方法是結合最佳實作方式與最新技術。以下這七種策略能協助實現您的物聯網計畫。 網路分段 (Segment networks) 透過網路分段,每個介面在處理流量前都會被指派到一個安全區域。接著資安團隊即能精細控管每一位使用者和其所存取的資料,並得以在常見的物聯網攻擊擴散至其他裝置前及時阻止。 要求驗證 (Require authentication) 強大的使用者驗證與存取控制機制可確保只有獲得授權的使用者才能存取網路與資料。為確保可靠性,建議企業使用可信賴的驗證平台管理驗證流程。 生命週期監控 (Lifecycle monitoring) 裝設監控工具可以幫企業確認韌體與軟體系統的健康狀況,不論是在開始執行、運作期間或是最容易遭到攻擊的升級階段。記得將自動更新預設為開啟狀態。 使用加密 (Use encryption) 不論是靜態或動態資料,皆應使用加密保護資料。在網路層與傳輸層使用加密可以提供層層保護,增加網路受到攻擊的困難度。 安全 API (Secure APIs) 若要在網路邊緣裝置、後端系統與核心應用程式之間安全移動資料,則 API 安全性是必要條件。此外,還要部署可在這些重要連結點中識別潛在威脅的技術。 威脅偵測 (Threat dectection) 人工智慧與機器學習等進階分析技術,可以偵測出傳統網路安全技術無法察覺的異常與漏洞。 加強流程 (Strengthen processes) 雖然技術是物聯網安全性的基石,企業仍需要在各個層面保持警覺。請務必確定您已清楚定義、定期更新與持續加強安全原則與訓練流程。 取得最佳平衡 物聯網為今日以資料為商務導向的企業帶來許多新的機會與挑戰。但隨著物聯網日趨普及,安全與 IT 專家也必須正面迎接接踵而來的重大典範轉變。以客戶為中心的品牌若要永續發展,勢必得建構可在使用者存取能力與資料安全性之間取得最佳平衡的物聯網環境。 隨著世界正步入 5G... read more