文章提供:图文资通组
文章来源:https://www.bnext.com.tw/article/54506/twnicip2
资安事件频传,面对万物联网时代,您的资安做好没?
发佈日期:2019/08/19 消息来源:数位时代
2019.08.19 by TWNIC
随着物联网(IoT,Internet of Things)技术普及与5G释照在即,资通讯产业、电信事业莫不摩拳擦掌,准备抢攻智慧城市/家庭/工厂/医疗/零售……等庞大商机,各种智慧应用场域带来便捷生活,也为骇客带来更多有机可乘的攻击入侵弱点。新应用带来新弱点,未来该如何让民众享受智慧生活而不被侵害隐私?不只新应用,在现今环境下骇客就以不断创新手法挑战网际网路基础环境的秩序,例如边界闸道器协定(BGP,Border Gateway Protocol)路由挟持攻击拦截封包,造成企业机密与民众个资外洩。
图为NCC基础设施事务处罗金贤处长。图片来源:TWNIC
垂直领域整体系统及终端设备 从点到面推动资安
NCC基础设施事务处罗金贤处长指出,政府持续透过订定IoT终端设备资安标准及相关垂直应用管理规定两个面向,展开IoT及5G应用的资安工作。由于IoT的资安备受各界瞩目,目前已有许多国际组织针对IoT制定国际标准,包括由多个电信标准组织伙伴组成的3GPP所制定的NB-IoT及国际电信联盟通信标准化组(ITU-T)提出的标准等,这些标准从IoT整体架构的终端设备、传输层、应用系统层等都有着墨。因此政府目前正进行先期研究计画,锁定八大垂直应用领域,深入探讨各领域IoT应用可能面临哪些系统风险及盘点相关法规,同时亦建立实验场域以验证国际标准的实务作法,未来可据此订定各垂直应用领域的专属资安评估管理办法。
另一方面关于IoT终端设备的安全,NCC于107年已推出IoT设备资安检测制度及认证标章,目前已发布无线网路摄影机、智慧手机系统内建软体、Wi-Fi接取点、Wi-Fi路由器、具连网功能的机上盒等产品的资安检测指引,并鼓励业者自发性取得认证,NCC也唿吁消费者应购买取得资安认证标章的产品。
不只是消费性终端产品,未来智慧工厂、智慧零售等各种IoT应用场域的管理规范将回归到中央目的事业主管机关负责,以智慧交通、车联网为例,将由交通部主责,然而若电信业者跨足车联网5G应用市场,NCC则可藉由电信管理法子法,规定电信业者须採购取得资安认证标章的资通设备来提供服务。
RPKI加上BGP路由器安全管理 降低路由劫持风险
除了创新应用可能衍生新弱点,由于各种行动支付、行动商务日益普及,骇客也瞄准网际网路基础环境的漏洞,以窃取网路传递的信用卡号码等个资。107年即传出骇客集团入侵网际网路服务业者(ISP,Internet Service Provider)伺服器后,攻击边界闸道器协定(BGP),以广播不实的路由资讯,伪冒宣告拥有某区段IP位址,例如支付业者的伺服器,使原本要连向该位址的流量都导到骇客的恶意网站,因此骇客得以拦截封包、窃取信用卡资料。
对此,台湾网路资讯中心(TWNIC)执行长黄胜雄指出,从107年10月开始,TWNIC开始发放RPKI资源凭证,以证明资源持有者所声明的传输路由资讯是正确的,目前已有将近90%部署边界路由器的单位已导入使用。
罗金贤处长指出,向TWNIC登录资源凭证是保障路由安全的基本功,现今在互联的网际网路上,若是连结到的外国网站没有使用RPKI,封包还是有被劫持的风险,因此第二步是要求电信业者对于BGP路由的安全管理,需具备特定防护要求。有鑑于此,NCC已制定「BGP路由安全管理功能查核表」,并将要求电信业者应将此查核表纳入资通安全管理法规定的「资通安全维护计画」中加以落实,未来NCC将依法进行查核。
TWNIC执行长黄胜雄指出从107年10月开始发放RPKI资源凭证,目前已近90%部署边界路由器的单位导入使用。图片来源:TWNIC
新应用带来新风险,若能在各种IoT创新应用服务推出前,就先做好Security by design,才能建立起消费者的信任,而消费者认明选购有资安认证标章的产品,也才能促使设备制造商更重视资通安全。