因应物联网(IoT)时代来临,NCC昨(31)日宣布,将陆续制定并公布无线IP CAM、Wi-Fi AP、无线路由器等资通安全检测技术指引,经由物联网设备资安检测,逐步健全台湾资通安全环境,并促进物联网各项创新应用服务的发展。
NCC表示,5月已预告「无线网路摄影机资通安全检测技术指引」草案,下半年将进一步预告Wi-Fi AP、无线路由器及数位机上盒等物联网设备资安检测技术指引,作为推动物联网设备资安检测之参考。
另外,NCC正与经济部工业局协力推动物联网设备资安检测制度及认证标章,同时鼓励物联网设备之设计者、制造商、服务提供者重视连网设备之资通安全。
近年来物联网服务快速崛起,并横跨智慧城市、智慧运输、智慧能源、智慧医疗等领域,相关创新服务发展虽带来生活便利,但层出不穷的资安事件也逐渐凸显数量庞大的连网设备面临潜在资安风险。
最知名的事件包括2016年10月,美国知名网域名称服务公司Dyn遭受Mirai殭尸网路DDoS攻击,造成CNN、Amazon、Twitter等大型网站因而中断。
去年2月,美国某大学遭到Mirai变种殭尸网路连续DDoS攻击54小时。思科旗下威胁情报组织Talos披露,由俄罗斯骇客集团主导之VPNFilter攻击行动已感染全球50万台路由器,并具备流量监控、窃取网站凭证、切断设备连网能力。
NCC引用资安业者Armis预估指出,目前约4.96亿的物联网设备曝露在DNS重新绑定(DNS rebinding)攻击风险中,骇客藉由浏览器的安全漏洞,可以绕过防火墙与内部网路进行通讯。
随着物联网资安攻击事件逐一浮上台面,物联网的资通安全防御,已成为数位经济下不容忽视的课题。NCC指出,若被攻击的对象涉及关键基础设施,更可能危及国家安全。
面对日益严峻的物联网资安挑战,美国国土安全部、英国皇家工程院、OWASP等国际机构纷纷发布物联网相关安全指引及报告,建议连网设备于设计阶段即应将资通安全纳入考量。至于台湾方面,NCC强调,未来将与各界携手推动物联网认验证制度,进一步带动物联网创新应用服务及设备制造蓬勃发展。
