INFORMATION

信息资讯

確保物聯網安全性…到底該怎麼做?

2017-04-27
我們需不需要一個能驗證物聯網產品是否支援基本安全性與隱私保護標準的組織?如果是,該依循什麼標準?又該是哪個組織來做?筆者幾乎每個禮拜都會收到關於「物聯網(IoT)缺乏安全性」的投稿,開頭都是:「到2020年,總計將會有超級多的IoT節點互連…」但充其量只有少數幾篇能提供有關認證與加密的建議。
這是不夠的。在我們產業界有一些大思想家,在美國電腦協會(Association for Computing Machinery,ACM)贊助、慶祝圖靈獎(Turing Award)五十周年的探討網際網路未來之座談會上討論過這個議題;而在讀過座談會紀錄後,我在想我們是否需要一個工作小組,針對IoT定義一套基本的安全性/隱私保護標準以及簡單的認證測試方法?
一個認證標籤能讓消費者或是企業用戶知道有哪些物聯網產品能支援基礎安全功能,當嚴重的駭客攻擊事件發生,這些工具甚至能用來辨別哪些漏洞需要填補;而在一開始,或許多要素認證(multi-factor authentication)還有以硬體信任根(root-of-trust)為基礎的加密就足夠。

                                                                                       

但以上是非技術科班出身的我的看法,對於各位專業工程師讀者來說應該還有很多困難得克服;因此筆者想邀請大家發表看法。
而美國普林斯頓(Princeton)大學資訊科學教授、2016年ACM院士Nick Feamster在前面提到的座談會上,率先提供了非常不錯的看法;他大致是支持一種類似產品安全驗證機構UL (Underwriter’s Labs)的物聯網安全性概念,但也認為魔鬼藏在以下的細節裡:首先,誰該扮演驗證單位的角色?該組織是否應該完全由產業界的代表組成?如果是,有那些股東可以參與?其次,驗證程序應該包括那些要求?有鑑於技術(以及攻擊事件)進展的速度,如果過度規範有可能會造成反效果。
第三,消費者也許並不珍惜驗證的價值,特別是如果符合驗證的產品會因此提高成本;最後,驗證標準該如何實現?在盡力為一個驗證程序布置各種規則的同時,也要盡可能讓整個程序是供應商們容易遵循的。OK…所以還是有少數殘酷的現實需要釐清;好消息是,已經有一些組織正在關注這些議題。
需要能抬起巨石的槓桿
雲端安全性聯盟(Cloud Security Alliance)有一個定義最佳實作方法的IoT工作小組,但似乎並沒有任何關於驗證程序的計畫;工業網際網路聯盟(Industrial Internet Consortium)在去年公佈了一個安全性框架,不過並未著墨消費性IoT產品。
線上信任聯盟(Online Trust Alliance)已經推出了第二版的IoT信任框架(Trust Framework);今年稍早包括AT&T、IBM、Nokia等業者,則是成立了IoT網路安全聯盟(IoT Cybersecurity Alliance)。至於UL本身則在去年推出了網路安全軟體的測試,並發表了一篇實用的部落格文章探討IoT軟體安全性的漏洞;還不清楚該機構是否有任何驗證IoT硬體安全性的服務,筆者確認中。
無疑還有許多標準團體以及產業聯盟,正在致力於確保物聯網安全性的工作;而雖然我有時候看到投稿的文章提出一些不成熟的想法會忍不住想笑,但這個問題是確實存在的。以下還有幾個專家們在前面提到的座談會上提出的、令我激賞的想法:Feamster:「如果不可能修補的裝置從我們日常生活的各個方面產生影響,我們應該要不了多久就會看到大量基本無法修補、不安全以及困難的情況;這是一場驚濤駭浪…誰在十年前會想到,我們的冰箱供應商可能成為我們網際網路策略的股東之一?」
美國國家科學基金會運算、資訊科學與工程部門的副總監,暨2001年ACM院士Jim Kurose:「做為一個研究課題,以設計達到的復原能力(resiliency by design)──在包括攻擊的各種情境下,建立具備已知可預先驗證特性的系統──非常重要…在2014年上呈總統的物聯網NSTAC報告書也呼籲,IoT安全性特別重要。」
Google網際網路傳播長(chief Internet evangelist)暨1994年ACM院士Vint Cerf:「廠商若想要讓品牌有吸引力,就在使用者準備採用他們的產品時,得更注意安全性、隱私保護以及接取控制;這是一個在我們嘗試努力擴展網路連結性之前,必須要解決的基本問題。」所以這個問題真的很清楚也很重要,而我很希望有人能提供答案:到底我們可以提供什麼具體解決方案?
編譯:Judith Cheng
(參考原文: IoT Security: What We Need Next,by Rick Merritt)