5G物聯網資安 一個原則保平安
工研院研發車聯網系統iRoadSafe已在臺灣部分路口應用,未來結合5G將加速影像與圖資等傳輸運算資料時間。圖/工研院提供
中華電信領航隊去年4月在臺北流行音樂中心展示多視角高清直播、及觀看4.8K VR全景視訊直播等應用。圖爲工研院VR 360技術,透過頭戴式360度全景顯示器頭盔,觀看8K VR全景視訊直播,讓場內後方觀衆也能同步感受與最前排觀衆相同的臨場感。
5G各界找尋殺手級應用,積極規劃新服務,例如多視角高清直播、及觀看4.8K VR全景視訊直播等應用。圖/工研院提供
想像一下,工廠全面連網時,配戴AR眼鏡的工作人員,可與專家透過遠端連線來維護管線或操作加工機具,各界對5G應用充滿想像,萬物聯網下卻激起不少資安疑慮。外界所談的5G資安,嚴格來看可分爲三部分,5G通訊、5G通訊設備、5G IoT,資安影響範圍不同,卻有着同樣的解決方案:應用程式白名單。用最簡單的方式「正面表列」即可制定防護網。
資安問題的源頭,主要來自兩個軟體透過網路來發動網路攻擊,透過惡意程式軟體,與正常軟體溝通過程中,駭客依循發現弱點並植入病毒,或是勒索、殭屍電腦,或是透過釣魚郵件等攻擊手法,來達到目的。
而5G通訊與5G通訊設備是透過網路間的軟體溝通,通訊設備也有許多軟體需要相互溝通,或是與外部裝置如手機的軟體溝通,因此的確會有資安問題,但就如同3G、4G會發生的資安問題一樣,並不會因爲5G標準不同而減少攻擊或是容易受到攻擊,出現新的資安問題。因此只要增加防護強度即可解決。
5G IoT資安影響範圍則相對大,主因5G最大的應用初步來看爲物聯網,在萬物聯網之下,資安問題也會愈來愈多。物聯網發展關鍵即是感測器,小至土壤溼度傳感器、大至攝影機,這些物聯網設備都會被攻擊且機率很高,但也不用太緊張,鮮少有程式設計能讓物聯網感測器被攻陷後攻擊整體系統,因此係統被傷害範圍有限,不太會影響整體IoT系統穩定度與安全,只要在終端設備OT端、IT系統端設好防護網就可解決。
過去資安防護多以防毒軟體爲主,但近年惡意程式自動產生器的發明,駭客手法也持續進化恐防不勝防、緩不濟急,應用程式白名單也因此在近年嶄露頭角。5G通訊設備、5G通訊、IoT設備的資安問題,皆可透過「應用程式白名單」來提升資安防護強度,尤其是IoT設備,而且固定功能的裝置更適合正面表列防護。
相對於現行防毒軟體是認「壞人」來防止病毒進入應用程式並執行,所謂的應用程式白名單則是認「好人」,在電腦中事先設定被允許執行的程式,僅有這些程式能執行,因此若未來壞人/駭客再多、再變形植入病毒,也都無法「發作」,可大幅降低資安發生的機率。
目前包括美國國家標準暨技術研究院、美國國家安全局等負責關鍵基礎設施的單位,都已經表示加入白名單是資安防護的第一站,顯示許多國家都已重視應用程式白名單。
在全球資安領域,各國際大廠仍聚焦發展防毒軟體,現行應用程式白名單並非資安產業發展的主流,因此臺灣資安產業若想跟國際大廠競爭,白名單仍有發展空間,值得政府及產業重視,將有助於拓展國際商機。
應用程式白名單僅是發展資安的最基礎第一步,扎穩馬步後,資安第二步則得考量自動攻防,未來戰爭型態極有可能以資訊戰先行,臺灣需以類似國艦國造、國機國造的決心與規劃,有系統性的發展軍、民兩用的自動資安攻防技術,以確保在未來資訊網路戰爭中與敵國有對搏抗衡的實力。
政府資安戰力的養成策略雖要重視資安人才,但須更加重視「工具」發展,其他世界資安強國如美國國安局的TAO、以色列國防軍的8200部隊、中國網軍單位PLA Unit 61398的發展方向也是如此。
未來資訊系統愈來愈複雜,使用攻防工具,找出並運用目標軟體的弱點來進行攻擊已是不可逆的趨勢,所以未來資訊戰爭將取決於兩軍攻防工具的能力,每個國家自主發展的攻防工具變得相當重要,政府除培養資安人才,也要增加自動攻防工具。