October 26, 2019
在資安威脅遽增的時代加強物聯網安全

本文旨在探討確保軟體供應鏈安全性與完整性的重要,以及採用通用且可驗證的技術標準有何好處。 構成物聯網 (IoT) 的各種網路裝置,正在改變我們與周遭環境的互動方式。物聯網為現實生活帶來更先進的應用服務,例如連網汽車、連網家庭、智慧電表與健康監控等。然而,在我們讚嘆物聯網潛能之餘,很容易就忽略伴隨而來的各種挑戰 ── 這當中有許多皆涉及隱私及資訊安全。 與 IT 系統如出一轍,物聯網網路與裝置很容易受到操控及破壞,進而衍生各種風險,例如重要資訊外洩、關鍵業務服務停止運作…等。此外,隱私問題的經常發生,則令消費者擔憂不已。根據數位安全公司 Gemalto 的研究,90% 的消費者對物聯網裝置的安全性缺乏信心1。 確實因為無法掌控資料的安全,會讓消費者感到不安。 新的動態挑戰 物聯網裝置會收集和傳送那些使用各種安全要求的資料。在實作上,有些資料串流僅需最基本的防護,例如工廠設備的操作資料,但有些資料串流則會包含高度機密的資訊,例如銀行交易或機密的醫療紀錄。 另一項挑戰在於對各式各樣物聯網硬體、軟體與網路基礎架構的管理。更複雜的是,企業還需要與許多供應商、內部團隊、合作夥伴甚至消費者共同維護各種元件、基礎架構與裝置的安全性。 防禦升級 隨著網路連線裝置數量呈倍數增長,企業需要完善的解決方案,以保護重要資料與系統。最好的方法是結合最佳實作方式與最新技術。以下這七種策略能協助實現您的物聯網計畫。 網路分段 (Segment networks) 透過網路分段,每個介面在處理流量前都會被指派到一個安全區域。接著資安團隊即能精細控管每一位使用者和其所存取的資料,並得以在常見的物聯網攻擊擴散至其他裝置前及時阻止。 要求驗證 (Require authentication) 強大的使用者驗證與存取控制機制可確保只有獲得授權的使用者才能存取網路與資料。為確保可靠性,建議企業使用可信賴的驗證平台管理驗證流程。 生命週期監控 (Lifecycle monitoring) 裝設監控工具可以幫企業確認韌體與軟體系統的健康狀況,不論是在開始執行、運作期間或是最容易遭到攻擊的升級階段。記得將自動更新預設為開啟狀態。 使用加密 (Use encryption) 不論是靜態或動態資料,皆應使用加密保護資料。在網路層與傳輸層使用加密可以提供層層保護,增加網路受到攻擊的困難度。 安全 API (Secure APIs) 若要在網路邊緣裝置、後端系統與核心應用程式之間安全移動資料,則 API 安全性是必要條件。此外,還要部署可在這些重要連結點中識別潛在威脅的技術。 威脅偵測 (Threat dectection) 人工智慧與機器學習等進階分析技術,可以偵測出傳統網路安全技術無法察覺的異常與漏洞。 加強流程 (Strengthen processes) 雖然技術是物聯網安全性的基石,企業仍需要在各個層面保持警覺。請務必確定您已清楚定義、定期更新與持續加強安全原則與訓練流程。 取得最佳平衡 物聯網為今日以資料為商務導向的企業帶來許多新的機會與挑戰。但隨著物聯網日趨普及,安全與 IT 專家也必須正面迎接接踵而來的重大典範轉變。以客戶為中心的品牌若要永續發展,勢必得建構可在使用者存取能力與資料安全性之間取得最佳平衡的物聯網環境。 隨著世界正步入 5G... read more

September 30, 2019
物聯網安全與品牌信任緊密相依

最新研究發現,由於物聯網 (IoT) 的興起,企業在網路安全上必須挹注更大且持續的投資與建置,以降低可能的資料外漏所導致的商譽風險。 要在整個供應鏈取得必要物料與產品能見度並不容易,更何況還想確保在供應鏈各層面維持一定水準的表現,更是難如登天的挑戰。根據近期的研究發現,只有 13% 的製造商表示,他們的「完整能見度」可達到第二等級 (Tier 2) 及以上。 最新研究發現連網裝置會置使用者和資料於風險中 無論您的企業是否運用物聯網來改善內部作業,或者正將其用於開發連網裝置的業務,您都應該將安全策略視為第一優先的要務。雖說物聯網整合可為企業提供數以萬計的商業效益,然而,隨著愈來愈多具備連網功能的產品進入市場時,也為駭客提供更多機會擷取後端系統和資料。 最新研究即顯示,許多企業並未充份了解連網裝置對企業帶來的風險,而這些風險有可能對客戶關係與品牌造成無法彌補的傷害。 現行資安措施依舊是亡羊補牢 端點安全解決方案供應商 ── 趨勢科技 (Trend Micro) 曾對全球 1,150 位 IT 和資安決策者就其 IoT 安全性實務與認知,進行了一項調查。 研究結果正好提醒了我們必須特別注意:企業在物聯網功能的投資與保護其用戶、品牌和商譽之間所需的安全性,存在顯著的落差。 儘管有 2/3 (63%) 的受訪者同意,網路安全威脅在過去 12 個月是增加了。即使在過去一年中,企業平均會遭受 3 起連網裝置攻擊,但僅約一半 (53%) 的受訪者認為連網裝置會對自己的企業帶來威脅。 而有 52% 的受訪企業認為失去客戶信任是物聯網資料洩漏事件最嚴重的後果,其次是財務損失 (49%)、個人資訊遭竊 (32%)、罰鍰 (31%)、以及違反資料安全法規 (28%)。不過,有近一半 (43%) 的 IT 和資訊安全主管表示,在物聯網專案部署中,資安問題的處理往往還是採取亡羊補牢的作法。 上述的統計數據證實,缺少強大的安全策略可能會使企業處於品牌風險中,進而付出極高的代價。 失去業務就失去信任 資料洩漏和網路攻擊會對業務運作帶來嚴重的破壞。幾起轟動一時的資安事件,如美國 Target 超市資料洩漏事件以及 Mirai 殭屍網路,皆一再顯示,攻擊連網裝置及對連結這些裝置的網路漏洞加以攻擊是多麼容易的一件事。在這些較極端的案例,駭客可能透過一台看起來幾乎無害的裝置就能入侵 (例如智慧型調溫器或安全監視器),然後嚴重破壞企業系統、設備或甚至是基礎設施。... read more