“這個世界唯一不變的,就是變”,這句話來形容科技進步再適合不過了。眾多新科技的出現(xiàn),不但為企業(yè)開創(chuàng)新的可能性,也從個人化層面影響我們的生活方式。隨著物聯(lián)網(wǎng)、增強現(xiàn)實(AR)、5G、無人機和人工智能(AI)等技術(shù)的興起,有哪些相關(guān)的安全疑慮值得注意?
物聯(lián)網(wǎng):連網(wǎng)功能產(chǎn)生額外風險
IDC預估到了2025年全球?qū)⒂?16億個連網(wǎng)裝置,產(chǎn)生的數(shù)據(jù)量高達79.4ZB(zettabyte,1ZB=10的18次方TB)。物聯(lián)網(wǎng)的普及率以亞太地區(qū)最高,預計到了2023年其相關(guān)支出將達到3,986億美元。亞太區(qū)各地政府已積極推動各產(chǎn)業(yè)采用物聯(lián)網(wǎng),包括運輸、制造、醫(yī)療照護和零售等。
物聯(lián)網(wǎng)裝置通常借助嵌入傳感器、處理器和通訊硬件來收集、傳送數(shù)據(jù),并據(jù)此進行下一步移動;由于本身就具備連網(wǎng)特質(zhì),這些裝置已因其有限的安全性而備受關(guān)注。單就醫(yī)療照護產(chǎn)業(yè)來看,像血糖偵測計、智能藥盒和胰島素幫浦,都是目前已廣為使用的物聯(lián)網(wǎng)裝置,但近日傳出胰島素幫浦因產(chǎn)品內(nèi)部存在安全漏洞而宣布召回。這個問題尤其令人擔憂,這類事件很可能直接影響病患健康。
物聯(lián)網(wǎng)裝置通常借助嵌入傳感器、處理器和通訊硬件來收集、傳送數(shù)據(jù),并據(jù)此進行下一步移動;但也因這樣的連網(wǎng)特質(zhì),其安全性備受關(guān)注。
如2017年時就有團隊發(fā)現(xiàn)可以利用LGSmartThinQ移動與云端應(yīng)用程序的漏洞,從遠程登錄SmartThinQ,管理使用者的合法LG賬戶,進而控制吸塵器及其內(nèi)建攝影機。一旦攻擊者接管使用者的LG賬戶,所有與該帳戶鏈接的LG裝置或家電都可能連帶被控制,掃地機器人、冰箱、烤箱、洗碗機、洗衣機、烘干機和空調(diào)等都無一幸免。不過后來LG在接受到這個漏洞訊息后,也立即修復SmartThinQ應(yīng)用程序,阻止此應(yīng)用程序與裝置遭利用。
此外,數(shù)字攝像頭也極易在連接USB和WiFi時遭到勒索軟件與惡意軟件攻擊。由于攻擊者可將勒索軟件植入攝像頭及其連接的計算機中,智能裝置更容易受到威脅──這些照片最終可能被加密,直到使用者支付贖金才會解鎖。
直到現(xiàn)在,確保企業(yè)環(huán)境下的物聯(lián)網(wǎng)裝置安全都還是一項充滿挑戰(zhàn)的任務(wù),部分原因是我們?nèi)砸蕾嚬πв邢薜膫鹘y(tǒng)安全控制方法。安全策略必須與時俱進,結(jié)合傳統(tǒng)和新型控制方法,才能解決這類裝置所產(chǎn)生的安全疑慮。
增強現(xiàn)實:能否從過去經(jīng)驗汲取教訓?
導入增強現(xiàn)實對企業(yè)來說是很好的機會,可提升營運、顧客體驗等功能。相關(guān)技術(shù)的采用可望于2020年進入主流,特別是利用主動式(pre-emptive)手法來確保這類科技的安全。雖然增強現(xiàn)實為企業(yè)帶來許多競爭優(yōu)勢,卻也讓網(wǎng)絡(luò)罪犯有機會發(fā)動新型攻擊,這與我們習以為常的模式大不相同。
增強現(xiàn)實開發(fā)人員必須謹慎以對,牢記物聯(lián)網(wǎng)導入后的諸多教訓。這類裝置要修正程序是出了名的困難──從過往發(fā)現(xiàn)的大量漏洞來看,這的確是一大隱憂。我們強烈建議廠商將安全功能納入產(chǎn)品開發(fā)過程,不要事到臨頭才匆忙應(yīng)對。
5G:資料量暴增,引發(fā)隱私問題
移動網(wǎng)絡(luò)營運商正為5G服務(wù)鋪路,部分業(yè)者甚至誓言要在年底前進入商用階段。5G網(wǎng)絡(luò)將帶動各種新型應(yīng)用興起,讓用戶能夠?qū)⒏嘌b置連上網(wǎng)絡(luò)并相互鏈接,同時鼓勵使用者擷取并分享更多的個人資料。
這類新型網(wǎng)絡(luò)的主要特色之一,就是收集的數(shù)據(jù)量將因大量連網(wǎng)裝置和相關(guān)傳感器而加速增長。舉例而言,智能手機將成為其他個人裝置的超級鏈接樞紐,電子醫(yī)療應(yīng)用程序?qū)⑹占脩艚】迪嚓P(guān)數(shù)據(jù),連網(wǎng)汽車將偵測使用者的移動,而智能城市應(yīng)用程序則可收集用戶日常生活相關(guān)信息。這些都將帶動個人資料量暴增。
許多安全專家都提到,用戶隱私是5G網(wǎng)絡(luò)最大的挑戰(zhàn)。諸多利害關(guān)系人未來必須協(xié)力合作才能解決這些疑慮。這將牽涉到業(yè)界團體、網(wǎng)絡(luò)營運廠商、制訂準則及規(guī)定的政府機關(guān),以保障通訊、數(shù)據(jù)和隱私的安全性。
無人機:潛藏的風險
無人機為一種獨特的威脅,其自由移動的特性,能輕易進入管制區(qū)域。他們多半為了拍攝照片或影片,非法闖入機場、政府用地和其他禁區(qū),這已引起多方疑慮。一旦結(jié)合既有的攻擊向量,這些無人機裝置就可能變身非常有效的偵查和滲透工具。
無人機價格低廉且易于使用,可執(zhí)行監(jiān)控作業(yè)、擷取數(shù)據(jù)并中斷網(wǎng)絡(luò)聯(lián)機。為此目前市場正在開發(fā)專為無人機安全使用的專業(yè)服務(wù),協(xié)助企業(yè)降低相關(guān)風險。
對無人機的威脅缺乏意識,是目前強化防護問題的最主要障礙,不過未來這個狀況可能會隨著媒體報導增加而改善。2018年11月,CheckPoint分析師就發(fā)現(xiàn)由無人機領(lǐng)導廠商大疆(DJI)所架設(shè)的在線論壇出現(xiàn)潛在安全漏洞,一旦遭到利用,攻擊者就可能取得無人機飛行時所拍攝的影像。
人工智能:早期跡象均屬正面
傳統(tǒng)安全工具的挑戰(zhàn)之一,就是相關(guān)部署和管理都有一些行政管理上的負擔,必須制訂政策、進行維護,同時針對警示做出回應(yīng)。
這個領(lǐng)域就是人工智能大有可為之處。許多人期盼未來智能工具不只能讓人力密集的工作自動化,還能利用搜集而來的洞察信息,發(fā)現(xiàn)人類可能忽略的地方。
雖然安全團隊已開始使用這類功能,對手卻也部署了人工智能工具,發(fā)動的攻擊越來越復雜。舉例來說,只要利用機器學習技術(shù),網(wǎng)絡(luò)罪犯就能設(shè)計出更令人信服的訊息,成為網(wǎng)絡(luò)釣魚詐騙活動的一部分。他們可針對每個被攻擊者量身訂做寫作風格和內(nèi)容,以提高傳送訊息后達成目標的機率。
盡管人工智能前景樂觀,還是建議企業(yè)不要太快放棄傳統(tǒng)的安全控制方式。專家建議目前最好的做法是選擇性地采用人工智能解決方案,來補足既有防護措施的不足。
雖然上述技術(shù)的進展都能為企業(yè)及個人帶來極大好處,但還是有許多風險必須考慮。每當突破式創(chuàng)新技術(shù)進入市場時,往往為了加速產(chǎn)品上市而忽略安全性。謹記從移動和云端運算等過往科技轉(zhuǎn)變時汲取的教訓,能讓初期采用者降低投資結(jié)果出現(xiàn)意外的可能性。
京公網(wǎng)安備 11010502049343號