逐漸壯大的物聯網市場即將超越PC、平板與手機市場加起來的總合,伴隨而來的則是范圍更廣的資安及隱私風險。當各種應用不再只停留在企業資料中心內,將使得原本就充滿挑戰的應用資安防護變得更加棘手。 Security Intelligence報導指出,到了2020年,物聯網內上千億個連網裝置及300千兆位元組(Petabyte)的嵌入系統資料,將可產生近9兆美元的市值。而物聯網的爆炸性發展,促使操作技術(Operational Technology;OT)和資訊系統(Information Technology;IT)的整合,但也在應用資安防護方面產生許多艱鉅的挑戰。 物聯網應用主要可分為三個部分:第一個部分為用來控制物聯網裝置的移動或桌上型應用;第二個部分為物聯網韌體與嵌入式應用;第三個部分則是為Apple Watch等開放物聯網平臺所打造的App。 然而不論是哪部分的應用,都需受到保護,否則用戶便將承擔許多后果。像是不安全的物聯網裝置作業、機密資料、私人訊息、智能財產遭竊,未授權的支付管道存取,以及品牌形象受損、失去顧客及合作伙伴的信賴等。 隨著物聯網裝置的智能不斷提升,這些裝置也就暴露在更大的威脅之中,攻擊物聯網應用的方式有很多。以監控物聯網裝置的移動或桌上型應用為例,駭客只要找到能存取這些應用的管道,便可竄改應用設定,對裝置為所欲為。 要達到上述目的,駭客只需進行幾個簡單的步驟。首先,駭客可透過逆向工程(reverse engineering)取得應用源碼,再利用IDA Pro等工具拆解二進位編碼,重組成高層級的虛擬程式碼(pseudo code),再取得加密鑰匙與密碼。接著,駭客就能利用竄改后的應用操作裝置。 由于物聯網解決方案所暴露出的威脅面十分廣泛,因此有必要采取全面性的手段,從裝置、資料、網路、與應用等各個層面著手,才可能有效防護。然而要保護所有裝置和整個網路幾乎不太可能達成,有鑒于應用是多數物聯網流程的核心,因此從應用層面下手,應是處理物聯網防護的最佳選擇。而應用硬化(application hardening)與運行時的防護,則是對抗駭客入侵的重點。
