物联网的安全由人工智能和机器学习来保障

Mirai可怕之处，在于只要任何物联网设备疏于变更帐密，就可能成为黑客囊中物，或成为DDoS攻击帮凶，或让采用该装置的企业，直接遭到入侵导致机密外泄。来源：Cyber InvesTIgaTIve Services

毋庸置疑，说到物联网（IoT）或万物联网（IoE），都是近年来炙手可热的议题，也成为厂商亟欲抢攻的商机滩头堡；但人们在享用物联网IoT高度连结效益，继而让工作与生活变得更具智慧便利之余，似乎也承受较以往更大的隐私与安全威胁。

在去年底（2016），一支名为Mirai的僵尸病毒，酿成多起凶猛的分布式阻断服务攻击（DDoS），无疑像是震撼教育，使大家幡然醒悟，总算明白当今被喊得震天价响的物联网，原来如此弱不禁风。

回顾Mirai历史，最早是在去年8月遭人发现，它意在攻击诸如网络路由器、打印机、摄影机或数字监视录像机（DVR）等植基于Linux固件的物联网设备，至于具体入侵手法，病毒会先选择一个随机IP地址，接着试图运用一些预设的管理用帐密，看看能否登入装置；只可惜不少物联网设备供货商、用户都太过轻忽大意，沿用预设帐号与密码的情况比比皆是，以致Mirai攻击者如入无人之境，接连攻陷各大网站，包括Twitter、Paypal、SpoTIfy等网站都沦为苦主。

时至2017年，Mirai更优化了它的体质，不再只懂得利用殭尸程序与暴力破解来发掘潜在受害者，而进一步擅用新的Windows木马程序，帮忙搜寻潜在攻击对象，期以扩大Mirai殭尸病毒的感染范围。

这支Windows木马程序会根据C&C服务器的指示，负责扫瞄被指定的IP地址，假使成功入侵目标装置，会立即检视装置所用的作业平台为何，如果是Linux，便二话不说直接植入Mirai病毒，如果是Windows，就会将木马程序复制一份到装置上，接手搜寻其他Linux目标装置。

可怕的是，Windows木马程序比起原先的Linux版本，可扫瞄的端口数量更多、型态更广，简直把所有可能感染装置的途径，全都纳入其中，得以有效扩大Mirai活动范围。不禁让人忧心，用户在历经2016年底的Mirai震撼教育后，是否亡羊补牢，赶紧改正了采用预设帐密的坏习惯？如果不能，纵使2016年侥幸未沦为受害者，如今仍可能在搭配Windows木马程序的强大攻势下难逃劫数。

民众也许有所不知，有一个堪称是智能物联网IoT装置超大型目录的搜索引擎－Shodan，只要全球的任何用户未对装置更改默认密码，就会被Shodan网站纳入统计，迄至目前，台湾符合Default Password的物联网装置，恒常维持在逼近1万台的高水平，名列世界第一位，占全球总数的10余百分点，更始终比美国高出约3，000台。

看到这份数据，理应让不少安全专家冷汗直流，直呼人民对于物联网安全的认知程度，竟然如此之薄弱，这般“低级失误”，恐让我们蒙受极高安全风险。

值得一提的，一个声称已汇集数万支网络摄影机画面的网站－Insecam，里头也有超过340个来自台湾的监视器画面；其中最让安全专家津津乐道的，是某家艺品店，黑客已成功换置该店的系统，而且还在监视器画面上贴上一行红色，表明店家的网络摄影机已经被入侵，但几个月过去了，这行红字始终呈现于画面上，意谓店家对于自己的摄影机遭到入侵一事，依旧浑然不觉，更不论采取任何应对措施，物联网安全问题之严重，借助此例即可充分表露无遗。

有人说，展望未来，人们现在所倚靠的一切开关按键都会消失，不再需要借助遥控器来转台，也不必透过开关来关闭照明设备，这些装置都将依预先设计的情境模板来自动运作，譬如说，当家庭的所有成员都确定外出之际，假使厨房的瓦斯仍在继续运作，便会立即由系统自动关闭瓦斯。

试想如果有一天，智能借助系统遭到黑客入侵，从而搅乱了情境控制功能，本该自动关闭的瓦斯却未关闭，甚至原已关闭妥当的瓦斯又被黑客从远程唤醒，那么信息安全不只带来数字威胁，更危及实体安全，确实后患无穷。

那么终究该怎么做，才能遏止物联网安全危机？去年底由美国国土安全部所发表的《物联网安全策略准则》（Strategic Principles for Securing the Internet of Things），无疑相当值得政府与产业界参考，该准则的制定初衷，在于唤起物联网生态体系中所有成员的安全意识，不论位居产品设计、生产制造或使用等不同角色，都有义务维护物联网安全。

物联网生态系成员 皆须肩负安全责任

深究美国之所以将物联网IoT提升至国土安全等级，实为一般大众对于连网装置的倚重程度急遽增高所致，例如油、水、电等民生关键基础设施的运作，乃至于自动驾驶车应用，都与物联网息息相关，若不对此善加保护，任由相关设备商罔顾安全设计，继续缺乏安全更新与漏洞管理机制，也放任使用者便宜行事采用预设帐密，因而向黑客敞开大门，势必会造成不可逆料的巨大危害，因此必须诉诸法令规范，从根本上尽量解除物联网安全威胁。

专家指出，论及物联网安全防护，牵涉范围颇广，包括装置的实体安全、网络通讯、软件设计、固件设计等不同构面，皆需要面面俱到，此一特性，也导致物联网安全防护的难度，明显高于传统计算机安全；姑且不论制造商或使用者对于物联网风险的认知是否足够，也不管一味讲求使用便利性的消费者，是否有足够耐心来接受必要的安全检查程序，光是从物联网、计算机两类装置在于运算能力上的落差，也能显而易见知道物联网IoT设备难以支持太高阶的加密技术，能够用来挡住恶意份子入侵的武器，自然相对疲弱。

但无论如何，物联网的组成，可大致区分为终端装置（End-device）、通讯媒介（Network Media）及后端系统（Backend System）等几个关键环节，其间经由网络来交换彼此信息，因此如何把散布于不同环节的漏洞关连起来，肯定是物联网安全防护的一大关键。

总括而论，借助上述重要环节所衍生的安全议题，至少分为六大项，其中属于应用层者有三项，依序是物联网装置本身的隐私数据保护、物联网装置身份认证及访问权限控管，以及物联网装置本身的软件漏洞更新与保护机制。

此外在网络层部份，有两项值得留意的安全议题，包含了物联网装置数据传输过程的加密及保护，乃至于物联网装置之间更趋复杂的网络安全管控。至于位在IoT应用架构最底端的感知层方面，则需要防范感知设备攻击，至少需要确认工业控制系统（ICS）或SCADA所接收到的信息，确实100%与原始数据相吻合。

专家建议，有鉴于物联网装置为数众多，且偏布在不同环境，若要倚靠人工逐一管理，肯定力有未逮、缓不济急，故企业不妨援引人工智能（AI）或机器学习（Machine Learning；ML）等技术分析安全威胁情资，自动产生对应防护决策。