IoT Security物聯網安全技術論壇

Posted on by

臺大SOC中心

網路科技發展日新月異,物聯網(IOT)成為產官學界積極發展的熱門領域,諸如人工智能家電、車用電子與行動裝置等新興應用,不斷推陳出新。然而隨著「萬物聯網」時代來臨,資安成為當前、也是未來最嚴重的威脅。

有鑒於此,臺灣大學系統晶片中心(SOC)9月13日舉辦「IoT Security 物聯網安全技術論壇」,邀集產學界專業人士,針對物聯網安全議題,分享最新技術發展現況,同時探討臺灣產業在物聯網資安技術發展的前景。

論壇中,安謀(ARM)國際科技業務總監粘靜芳分享安謀目前針對資安議題所做的努力。她表示,安謀曾與經濟學人共同做研究,發現企業高階主管普遍認為物聯網的未來有3大挑戰,且與營運成本密切相關。首先,物聯網設備的建置成本門檻依然很高,需要雄厚的資本規模才有辦法負荷。

其次,物聯網設備的發展與連結成本亦相當高,需要企業持續投入平台的研發;最後,則是這個產業對資安仍有疑慮,急需找到解決方案,而資安系統的建置、時間與人力,亦是企業成本之一。

粘靜芳說,為降低企業在建置資安系統的成本,安謀與許多公司合作,所建置的Mbed平台可運用在不同的晶片架構,提供客戶雲端與軟體服務,並協助顧客做好資安管理。

新思科技總經理李明哲指出,現在企業資安主要有三方面的威脅,一是軟體(Software),二是通訊(Communication),三是物理性的(Physical),尤其在物聯網時代,傳統用惡意程式攻擊軟體已經是小兒科,駭客會由內而外一關關突破,拉出資料後,針對漏洞進行攻擊。因此,如何建置一個可運作的平台,並確認各個環節都是安全的,就顯得非常重要。

他也提及安全的三大面向,包含機密性(Confidentiality)、完整性(Integrity),以及可鑑別性(Authenticity)。所謂機密性,指的是保障資訊取得的管道安全無虞,完整性則是確保資料不會被取代或竄改,可鑑別性則可確保傳遞者與接受者所獲得的訊息有一致性。

而現今常見的資安科技,則有密碼演算法(Cryptography)與安全協定(Secure Protocols)、安全平台(Security Platform)以及竄改偵測機制(Tamper Detection/Prevention)。

李明哲坦言,資安風險不斷增加,伴隨而來的就是企業營運成本將逐漸上升。不過他仍強調,資安是企業未來最重要的課題,且不能只關注一個點,而是一個整體政策(Policy),公司的防火牆可分為主動式與被動式,如何有效運作,是一連串的問題解決方案。

李明哲建議,企業首先必須意識到網路攻擊正持續進化,並辨識自身所處的環境威脅有哪些,且資安問題是從晶片設計的初期階段便已開始,無論是在開機或待機階段,都必須有妥善的資安防護,並得體認「沒有一個解決方案可以解決所有問題」的現實,進而針對問題選出最適合的解決方案。

資安如保險須防範未然

銓安智慧科技總經理鄭嘉信則以「保險」的概念來解釋企業資安。他指出,資安如同保險,是一種避險工具,而非生財工具。但許多臺灣企業主除了避險觀念不足外,另一個問題是資源有限,預算不足,「當生財狀況都不是那麼穩定,要他去想避險,是很困難的」。

鄭嘉信指出,企業為考量成本(Cost),常常使用免費軟體,「先不論版權,裡面有多少漏洞,大家都不知道。」此外,臺灣在資安領域的起步相對落後中國大陸,但許多觀念都還未建立,也令他相當憂心。

他也提及,現行的資安防護常透過密碼科技,但保護力相當不足,其中一個因素,是找不到安全處所隱藏演算法的密鑰,因為駭客可以透過逆向工程(反組譯程式)找出儲存演算法密鑰的地方。

此外,軟體無法建完美的亂數產生器,也很容易被能量消耗分析攻擊(Power Analysis Attack)、電磁波輻射(Electromagnetic Emission)等方式「隔空取密」,相當容易遭受攻擊,因此才有硬體信任基礎(Hardware Root-of-Trust)機制的出現。

鄭嘉信說明,信任基礎(Roots of Trust)指的是以資訊安角度而言,電腦軟硬體元件裡可被完全相信的部分。這部分必須事先設計,屬於有限範疇、並可完全被保護,因此通常以硬體方式實現較為可靠,可用以評估軟體是否完整可信任、保護密碼運算所用的密鑰,以及執行對裝置的認證識別等安全服務。

臺大系統晶片中心教授鄭振牟表示,在物聯網即將起飛的今天,安全方面的挑戰,或將成為關鍵的「最後一哩」,只利用軟體方式來提供安全,已被證明不足以防範層出不窮的資安威脅,且在萬物皆聯網的時代,大量物聯網設備也將遭受IP竊取的風險,且除了軟體外,硬體和嵌入式系統的安全威脅,也將愈來愈受到重視。因此,如何保護物聯網設備免受IP竊取、逆向工程、竄改與複製,同時阻止有心人士利用網路攻擊,將是物聯網製造商未來面臨最大的挑戰。

下半場的小組座談中,安華聯網總經理洪光均表示,臺灣企業以外銷為主,聯網產品需求強勁,因此廠商也積極發展軟體與網路應用,但在這個環節,就必須投入非常多的心血,以致於無暇論及資安;即便想做,也不知道從何做起。

此外,過去都是網路端的惡意程式攻擊較多,企業比較知道如何防護,但新的威脅已從網路端進入到韌體的破解,越來越複雜的情境以及攻擊的技術,更讓企業難以招架。但不管如何,對廠商來說,開始做資安,就是達成物聯網成功的第一步。

臺灣資安發展落後  但可掌握機會後發先至

新唐科技微控制器應用事業群技術經理凌立民也認同此一觀念,他認為資安已從過去的防範網路端攻擊,轉向硬體嵌入式安全防護(Embedded Security)與信任基礎(Root of Trust),但對於網路安全的需求,臺灣仍落後很多年,「不只是技術,還有行銷、觀念上的落後。」

然而,臺灣仍有機會「後發先至」。凌立民表示,以新唐科技來說,目前已積極發展嵌入式安全防護,雖然技術門檻高,成本也相對高,但應用層面發散,將有機會開拓新的藍海市場,未來商機可期。

其他與會專家學者也一致認為,網路安全已從過去駭客針對軟體攻擊,延伸至對硬體的破解,情境更加複雜、更難掌控,並坦言臺灣資安產業發展相對落後,企業對於避險觀念也不足。不過,在政府積極正視資安議題,強調「資安即國安」後,「資通安全管理法」已成為立法院下會期優先法案,明年可望上路,資通相關產業的資安標準,將有明確規範。

與會貴賓合影