物聯(lián)網(wǎng)��、AR�����、5G�、AI、無人機(jī)等新技術(shù)的出現(xiàn)����,為人類生活帶來無限可能,卻也造成安全的諸多危害���。如何從過往經(jīng)驗(yàn)汲取教訓(xùn)���,做好風(fēng)險(xiǎn)控管���,是未來一大課題。
“這個(gè)世界唯一不變的��,就是變”���,這句話來形容科技進(jìn)步再適合不過了���。眾多新科技的出現(xiàn),不但為企業(yè)開創(chuàng)新的可能性�,也從個(gè)人化層面影響我們的生活方式。隨著物聯(lián)網(wǎng)���、增強(qiáng)現(xiàn)實(shí)(AR)�����、5G���、無人機(jī)和人工智能(AI)等技術(shù)的興起���,有哪些相關(guān)的安全疑慮值得注意?
物聯(lián)網(wǎng):連網(wǎng)功能產(chǎn)生額外風(fēng)險(xiǎn)
IDC預(yù)估到了2025年全球?qū)⒂?16億個(gè)連網(wǎng)裝置,產(chǎn)生的數(shù)據(jù)量高達(dá)79.4ZB(zettabyte�����,1ZB=10的18次方TB)�����。物聯(lián)網(wǎng)的普及率以亞太地區(qū)最高�,預(yù)計(jì)到了2023年其相關(guān)支出將達(dá)到3���,986億美元���。亞太區(qū)各地政府已積極推動(dòng)各產(chǎn)業(yè)采用物聯(lián)網(wǎng),包括運(yùn)輸�、制造、醫(yī)療照護(hù)和零售等�����。
物聯(lián)網(wǎng)裝置通常借助嵌入傳感器�、處理器和通訊硬件來收集����、傳送數(shù)據(jù)����,并據(jù)此進(jìn)行下一步移動(dòng);由于本身就具備連網(wǎng)特質(zhì),這些裝置已因其有限的安全性而備受關(guān)注���。單就醫(yī)療照護(hù)產(chǎn)業(yè)來看�,像血糖偵測(cè)計(jì)�����、智能藥盒和胰島素幫浦����,都是目前已廣為使用的物聯(lián)網(wǎng)裝置,但近日傳出胰島素幫浦因產(chǎn)品內(nèi)部存在安全漏洞而宣布召回����。這個(gè)問題尤其令人擔(dān)憂,這類事件很可能直接影響病患健康����。
物聯(lián)網(wǎng)裝置通常借助嵌入傳感器�����、處理器和通訊硬件來收集�、傳送數(shù)據(jù)��,并據(jù)此進(jìn)行下一步移動(dòng);但也因這樣的連網(wǎng)特質(zhì)�����,其安全性備受關(guān)注�����。
如2017年時(shí)就有團(tuán)隊(duì)發(fā)現(xiàn)可以利用LGSmartThinQ移動(dòng)與云端應(yīng)用程序的漏洞���,從遠(yuǎn)程登錄SmartThinQ,管理使用者的合法LG賬戶�����,進(jìn)而控制吸塵器及其內(nèi)建攝影機(jī)�����。一旦攻擊者接管使用者的LG賬戶,所有與該帳戶鏈接的LG裝置或家電都可能連帶被控制����,掃地機(jī)器人、冰箱��、烤箱�����、洗碗機(jī)�����、洗衣機(jī)���、烘干機(jī)和空調(diào)等都無一幸免���。不過后來LG在接受到這個(gè)漏洞訊息后,也立即修復(fù)SmartThinQ應(yīng)用程序���,阻止此應(yīng)用程序與裝置遭利用��。
此外�,數(shù)字?jǐn)z像頭也極易在連接USB和WiFi時(shí)遭到勒索軟件與惡意軟件攻擊。由于攻擊者可將勒索軟件植入攝像頭及其連接的計(jì)算機(jī)中��,智能裝置更容易受到威脅──這些照片最終可能被加密���,直到使用者支付贖金才會(huì)解鎖����。
直到現(xiàn)在����,確保企業(yè)環(huán)境下的物聯(lián)網(wǎng)裝置安全都還是一項(xiàng)充滿挑戰(zhàn)的任務(wù),部分原因是我們?nèi)砸蕾嚬πв邢薜膫鹘y(tǒng)安全控制方法�。安全策略必須與時(shí)俱進(jìn),結(jié)合傳統(tǒng)和新型控制方法����,才能解決這類裝置所產(chǎn)生的安全疑慮�。
增強(qiáng)現(xiàn)實(shí):能否從過去經(jīng)驗(yàn)汲取教訓(xùn)?
導(dǎo)入增強(qiáng)現(xiàn)實(shí)對(duì)企業(yè)來說是很好的機(jī)會(huì),可提升營運(yùn)���、顧客體驗(yàn)等功能���。相關(guān)技術(shù)的采用可望于2020年進(jìn)入主流�,特別是利用主動(dòng)式(pre-emptive)手法來確保這類科技的安全���。雖然增強(qiáng)現(xiàn)實(shí)為企業(yè)帶來許多競(jìng)爭(zhēng)優(yōu)勢(shì)�,卻也讓網(wǎng)絡(luò)罪犯有機(jī)會(huì)發(fā)動(dòng)新型攻擊���,這與我們習(xí)以為常的模式大不相同�。
增強(qiáng)現(xiàn)實(shí)開發(fā)人員必須謹(jǐn)慎以對(duì)��,牢記物聯(lián)網(wǎng)導(dǎo)入后的諸多教訓(xùn)���。這類裝置要修正程序是出了名的困難──從過往發(fā)現(xiàn)的大量漏洞來看����,這的確是一大隱憂�。我們強(qiáng)烈建議廠商將安全功能納入產(chǎn)品開發(fā)過程,不要事到臨頭才匆忙應(yīng)對(duì)����。
5G:資料量暴增,引發(fā)隱私問題
移動(dòng)網(wǎng)絡(luò)營運(yùn)商正為5G服務(wù)鋪路����,部分業(yè)者甚至誓言要在年底前進(jìn)入商用階段����。5G網(wǎng)絡(luò)將帶動(dòng)各種新型應(yīng)用興起����,讓用戶能夠?qū)⒏嘌b置連上網(wǎng)絡(luò)并相互鏈接,同時(shí)鼓勵(lì)使用者擷取并分享更多的個(gè)人資料�。
這類新型網(wǎng)絡(luò)的主要特色之一,就是收集的數(shù)據(jù)量將因大量連網(wǎng)裝置和相關(guān)傳感器而加速增長�����。舉例而言�����,智能手機(jī)將成為其他個(gè)人裝置的超級(jí)鏈接樞紐���,電子醫(yī)療應(yīng)用程序?qū)⑹占脩艚】迪嚓P(guān)數(shù)據(jù)���,連網(wǎng)汽車將偵測(cè)使用者的移動(dòng)���,而智能城市應(yīng)用程序則可收集用戶日常生活相關(guān)信息��。這些都將帶動(dòng)個(gè)人資料量暴增�����。
許多安全專家都提到���,用戶隱私是5G網(wǎng)絡(luò)最大的挑戰(zhàn)����。諸多利害關(guān)系人未來必須協(xié)力合作才能解決這些疑慮����。這將牽涉到業(yè)界團(tuán)體、網(wǎng)絡(luò)營運(yùn)廠商�����、制訂準(zhǔn)則及規(guī)定的政府機(jī)關(guān)�,以保障通訊、數(shù)據(jù)和隱私的安全性�。
無人機(jī):潛藏的風(fēng)險(xiǎn)
無人機(jī)為一種獨(dú)特的威脅,其自由移動(dòng)的特性���,能輕易進(jìn)入管制區(qū)域�����。他們多半為了拍攝照片或影片���,非法闖入機(jī)場(chǎng)�、政府用地和其他禁區(qū)��,這已引起多方疑慮����。一旦結(jié)合既有的攻擊向量,這些無人機(jī)裝置就可能變身非常有效的偵查和滲透工具��。
無人機(jī)價(jià)格低廉且易于使用����,可執(zhí)行監(jiān)控作業(yè)、擷取數(shù)據(jù)并中斷網(wǎng)絡(luò)聯(lián)機(jī)�。為此目前市場(chǎng)正在開發(fā)專為無人機(jī)安全使用的專業(yè)服務(wù),協(xié)助企業(yè)降低相關(guān)風(fēng)險(xiǎn)�����。
對(duì)無人機(jī)的威脅缺乏意識(shí),是目前強(qiáng)化防護(hù)問題的最主要障礙����,不過未來這個(gè)狀況可能會(huì)隨著媒體報(bào)導(dǎo)增加而改善�。2018年11月,CheckPoint分析師就發(fā)現(xiàn)由無人機(jī)領(lǐng)導(dǎo)廠商大疆(DJI)所架設(shè)的在線論壇出現(xiàn)潛在安全漏洞��,一旦遭到利用�,攻擊者就可能取得無人機(jī)飛行時(shí)所拍攝的影像。
人工智能:早期跡象均屬正面
傳統(tǒng)安全工具的挑戰(zhàn)之一��,就是相關(guān)部署和管理都有一些行政管理上的負(fù)擔(dān)�����,必須制訂政策����、進(jìn)行維護(hù),同時(shí)針對(duì)警示做出回應(yīng)���。
這個(gè)領(lǐng)域就是人工智能大有可為之處�����。許多人期盼未來智能工具不只能讓人力密集的工作自動(dòng)化��,還能利用搜集而來的洞察信息���,發(fā)現(xiàn)人類可能忽略的地方���。
雖然安全團(tuán)隊(duì)已開始使用這類功能,對(duì)手卻也部署了人工智能工具�����,發(fā)動(dòng)的攻擊越來越復(fù)雜�����。舉例來說��,只要利用機(jī)器學(xué)習(xí)技術(shù)���,網(wǎng)絡(luò)罪犯就能設(shè)計(jì)出更令人信服的訊息��,成為網(wǎng)絡(luò)釣魚詐騙活動(dòng)的一部分�。他們可針對(duì)每個(gè)被攻擊者量身訂做寫作風(fēng)格和內(nèi)容,以提高傳送訊息后達(dá)成目標(biāo)的機(jī)率�。
盡管人工智能前景樂觀,還是建議企業(yè)不要太快放棄傳統(tǒng)的安全控制方式��。專家建議目前最好的做法是選擇性地采用人工智能解決方案���,來補(bǔ)足既有防護(hù)措施的不足。
雖然上述技術(shù)的進(jìn)展都能為企業(yè)及個(gè)人帶來極大好處���,但還是有許多風(fēng)險(xiǎn)必須考慮�。每當(dāng)突破式創(chuàng)新技術(shù)進(jìn)入市場(chǎng)時(shí)����,往往為了加速產(chǎn)品上市而忽略安全性。謹(jǐn)記從移動(dòng)和云端運(yùn)算等過往科技轉(zhuǎn)變時(shí)汲取的教訓(xùn)�,能讓初期采用者降低投資結(jié)果出現(xiàn)意外的可能性。
