欠缺統一標準！IoT 平台應如何做好資安防禦？

物聯網（IoT）將會為各個行業帶來重大的影響，例如汽車行業可通過物聯網提供無邊界、不受限的車聯網體驗，並適時向用戶傳送重要訊息；至於航空界亦可受惠於物聯網，令飛機可於飛行期間實時連接控制中心，控制中心除了能監測飛機的各種數據外，更可通過物聯網作即時的診斷及數據修正。

可見，物聯網將會成為未來的主要發展趨勢！不過物聯網本身仍存在嚴重的安全隱憂，而其中最令人擔心的就是欠缺統一性這個老問題。要知道，傳統的防禦方案在開發時，往往是針對已知的作業系統而進行的；但現時物聯網系統並沒有統一性，簡單說就是不同開發者會使用不一樣的系統作為 IoT 設備的基礎，如此一來傳統的防禦方式將不能提供有效的防禦。

全方位保護是解決方案？

面對這種全新的情況，現時業界正提倡採用端到端方式的防禦政策。所謂的端到端是指整個 IT 系統，包括由控制中心、雲端服務、實體硬件設備、傳感器到傳統的防禦方案；而要達此目的，聘請專家針對企業的基礎設施進行安全策略制定及評估是必不可少的。

北亞區新興技術專家侯嘉俊指：「要為 IoT 安全把關一點也不容易，你需要聘請專業人士協助，並針對 IoT 基建及相關設施的安全風險作評估才可；而設備生產商、部署人員、開發者、雲端服務供應商的協作亦十分重要，因為只有上下游通力合作下，才有機會堵塞所有漏洞。」

一般來說，專家都會就以下各點為企業制定針對 IoT 的策略或審計工作：

1. 就流行的威脅作評估

在檢視你的 IoT 基建設備前，專家會就現時流行的安全風險作估算，例如哪些流行的病毒、攻擊手法會對你造成最大影響？而針對來自內部的安全風險又有哪些？員工使用電腦的習慣是否會構成安全問題？

2. 針對性防禦

針對性攻擊大家可能聽說過，就是駭客會通過長時間對目標的觀測而作出十分精準的攻擊；而針對性防禦的原理就是針對最可能會攻擊企業的方式，從而作出十分精準的針對性防禦措施。

3. 進行滲透測試

策略制定後，便開始進行滲透測試。所謂的滲透測試其實就是模擬駭客的攻擊。這種做法可找出仍然存在的未知漏洞；而有些滲透測試更會同時針對員工使用電腦的習慣及警覺性進行，例如發送釣魚郵件看看有多少員工會按郵件內容進行相關的工作，這種做法持之有效。

4. 周詳的存取權限規劃

由於物聯網本身並沒有統一標準，因此良好的存取權限規劃亦是提升物聯網安全的不二法門！另外針對不同廠商的物聯網硬件更改預設密碼，並設定一個安全的密碼組合亦十分重要；最後當然亦需要定期與物聯網設備廠商聯絡並對物聯網硬件進行韌體（Firmware）更新。

除上面提及的各種安全層面之外，企業在制定策略前，亦應該從物聯網基礎設備起、一直到部署過程以至是營運的整個生命週期一併考慮；同時你亦需認真考慮針對物聯網的整個架構並且建立一個測試模型，就像以往的 Honeypot 一樣，以便吸引駭客進行攻擊，並就攻擊進行最全面的測試及分析，這樣便可有效提升整體物聯網系統與設備的安全性。

鳴謝：Check Point