“這個世界唯一不變的,就是變”,這句話來形容科技進步再適合不過了。眾多新科技的出現,不但為企業開創新的可能性,也從個人化層面影響我們的生活方式。隨著物聯網、增強現實(AR)、5G、無人機和人工智能(AI)等技術的興起,有哪些相關的安全疑慮值得注意?
物聯網:連網功能產生額外風險
IDC預估到了2025年全球將有416億個連網裝置,產生的數據量高達79.4ZB(zettabyte,1ZB=10的18次方TB)。物聯網的普及率以亞太地區最高,預計到了2023年其相關支出將達到3,986億美元。亞太區各地政府已積極推動各產業采用物聯網,包括運輸、制造、醫療照護和零售等。
物聯網裝置通常借助嵌入傳感器、處理器和通訊硬件來收集、傳送數據,并據此進行下一步移動;由于本身就具備連網特質,這些裝置已因其有限的安全性而備受關注。單就醫療照護產業來看,像血糖偵測計、智能藥盒和胰島素幫浦,都是目前已廣為使用的物聯網裝置,但近日傳出胰島素幫浦因產品內部存在安全漏洞而宣布召回。這個問題尤其令人擔憂,這類事件很可能直接影響病患健康。
物聯網裝置通常借助嵌入傳感器、處理器和通訊硬件來收集、傳送數據,并據此進行下一步移動;但也因這樣的連網特質,其安全性備受關注。
如2017年時就有團隊發現可以利用LGSmartThinQ移動與云端應用程序的漏洞,從遠程登錄SmartThinQ,管理使用者的合法LG賬戶,進而控制吸塵器及其內建攝影機。一旦攻擊者接管使用者的LG賬戶,所有與該帳戶鏈接的LG裝置或家電都可能連帶被控制,掃地機器人、冰箱、烤箱、洗碗機、洗衣機、烘干機和空調等都無一幸免。不過后來LG在接受到這個漏洞訊息后,也立即修復SmartThinQ應用程序,阻止此應用程序與裝置遭利用。
此外,數字攝像頭也極易在連接USB和WiFi時遭到勒索軟件與惡意軟件攻擊。由于攻擊者可將勒索軟件植入攝像頭及其連接的計算機中,智能裝置更容易受到威脅──這些照片最終可能被加密,直到使用者支付贖金才會解鎖。
直到現在,確保企業環境下的物聯網裝置安全都還是一項充滿挑戰的任務,部分原因是我們仍依賴功效有限的傳統安全控制方法。安全策略必須與時俱進,結合傳統和新型控制方法,才能解決這類裝置所產生的安全疑慮。
增強現實:能否從過去經驗汲取教訓?
導入增強現實對企業來說是很好的機會,可提升營運、顧客體驗等功能。相關技術的采用可望于2020年進入主流,特別是利用主動式(pre-emptive)手法來確保這類科技的安全。雖然增強現實為企業帶來許多競爭優勢,卻也讓網絡罪犯有機會發動新型攻擊,這與我們習以為常的模式大不相同。
增強現實開發人員必須謹慎以對,牢記物聯網導入后的諸多教訓。這類裝置要修正程序是出了名的困難──從過往發現的大量漏洞來看,這的確是一大隱憂。我們強烈建議廠商將安全功能納入產品開發過程,不要事到臨頭才匆忙應對。
5G:資料量暴增,引發隱私問題
移動網絡營運商正為5G服務鋪路,部分業者甚至誓言要在年底前進入商用階段。5G網絡將帶動各種新型應用興起,讓用戶能夠將更多裝置連上網絡并相互鏈接,同時鼓勵使用者擷取并分享更多的個人資料。
這類新型網絡的主要特色之一,就是收集的數據量將因大量連網裝置和相關傳感器而加速增長。舉例而言,智能手機將成為其他個人裝置的超級鏈接樞紐,電子醫療應用程序將收集用戶健康相關數據,連網汽車將偵測使用者的移動,而智能城市應用程序則可收集用戶日常生活相關信息。這些都將帶動個人資料量暴增。
許多安全專家都提到,用戶隱私是5G網絡最大的挑戰。諸多利害關系人未來必須協力合作才能解決這些疑慮。這將牽涉到業界團體、網絡營運廠商、制訂準則及規定的政府機關,以保障通訊、數據和隱私的安全性。
無人機:潛藏的風險
無人機為一種獨特的威脅,其自由移動的特性,能輕易進入管制區域。他們多半為了拍攝照片或影片,非法闖入機場、政府用地和其他禁區,這已引起多方疑慮。一旦結合既有的攻擊向量,這些無人機裝置就可能變身非常有效的偵查和滲透工具。
無人機價格低廉且易于使用,可執行監控作業、擷取數據并中斷網絡聯機。為此目前市場正在開發專為無人機安全使用的專業服務,協助企業降低相關風險。
對無人機的威脅缺乏意識,是目前強化防護問題的最主要障礙,不過未來這個狀況可能會隨著媒體報導增加而改善。2018年11月,CheckPoint分析師就發現由無人機領導廠商大疆(DJI)所架設的在線論壇出現潛在安全漏洞,一旦遭到利用,攻擊者就可能取得無人機飛行時所拍攝的影像。
人工智能:早期跡象均屬正面
傳統安全工具的挑戰之一,就是相關部署和管理都有一些行政管理上的負擔,必須制訂政策、進行維護,同時針對警示做出回應。
這個領域就是人工智能大有可為之處。許多人期盼未來智能工具不只能讓人力密集的工作自動化,還能利用搜集而來的洞察信息,發現人類可能忽略的地方。
雖然安全團隊已開始使用這類功能,對手卻也部署了人工智能工具,發動的攻擊越來越復雜。舉例來說,只要利用機器學習技術,網絡罪犯就能設計出更令人信服的訊息,成為網絡釣魚詐騙活動的一部分。他們可針對每個被攻擊者量身訂做寫作風格和內容,以提高傳送訊息后達成目標的機率。
盡管人工智能前景樂觀,還是建議企業不要太快放棄傳統的安全控制方式。專家建議目前最好的做法是選擇性地采用人工智能解決方案,來補足既有防護措施的不足。
雖然上述技術的進展都能為企業及個人帶來極大好處,但還是有許多風險必須考慮。每當突破式創新技術進入市場時,往往為了加速產品上市而忽略安全性。謹記從移動和云端運算等過往科技轉變時汲取的教訓,能讓初期采用者降低投資結果出現意外的可能性。
京公網安備 11010502049343號