落實辨識與可視化 新興IoT裝置安全看得見 - 市場話題 - 新電子科技雜誌 Micro-electronics


熱門關鍵字:電源模組 | SiC | 機器視覺 | GaN | 5G

訂閱電子報

立刻輸入Email,獲取最新的資訊:


收藏功能:
分享報新知:
其他功能:
物聯網安全高峰論壇特別報導

落實辨識與可視化 新興IoT裝置安全看得見

文‧洪羿漣 發布日期:2020/01/02 關鍵字:物聯網安全 趨勢科技 IoT Security Raspberry Pi

資安防護的規畫與建置,必須涵蓋人力、流程、工具技術,三者缺一不可,然而實際在營運場域卻經常會有所偏重。常見已經對工作流程中的潛在風險之處運用工具技術設置防護措施,卻仍舊發生資安事故,究其根源,往往來自於人員疏失。前不久美國太空總署(NASA)旗下噴氣推進實驗室(JPL)爆發的駭客入侵事件即是典型案例。

趨勢科技先進應用市場開發部資深經理鄭朱弘毅說明,遭受駭客入侵的NASA噴氣推進實驗室,由加州理工學院代管,主要研究火箭推進技術。從2018年至2023年代管預算高達150億美元,其中包含NASA所要求的IT轉型計畫。實驗室內部大約有二萬多台桌機、三千多台伺服器,運行操作的標準作業程序皆必須符合美國國家標準與技術研究所(NIST)提出的CSF資安規範。近期爆發的進階持續攻擊(APT)事件,導致500MB的火星計畫相關資料遭竊,經過事件調查還原真相後發現,該攻擊活動已潛伏超過十個月,最初滲透入侵的破口則是一台被設置在內部、未經批准的樹莓派(Raspberry Pi)嵌入式單板電腦。

就NASA監察長辦公室公開的調查報告來看,顯然是裝置控管方面出現遺漏、網段分割未能及時阻止橫向移動、樹莓派的系統漏洞未安裝修補更新遭利用,再加上對於事件應變的控管疏失,才讓APT攻擊有機可乘。制度上,噴氣推進實驗室對於資產的控管都有標準規範,針對外部可接入的系統逐一列管,可依據人事時地物進行記錄,成為CIO與各個系統管理者溝通的依據。然而,被攻擊者滲透的樹莓派卻未登錄,成為可被利用來執行滲透的破口。

》想看更多內容?快來【免費加入會員】【登入會員】,享受更多閱讀文章的權限喔!
研討會專區
主題式電子報
熱門文章