研究機構Gartner於今年2月份時公布,全球於2017年使用中的連網物件,將達84億個,較2016年大幅增長31%;料至2020年,更會增加至204億個。此外,2017年相關的終端產品和服務支出,將會達到2萬億美元。
物聯網(IoT)的普及,的確為企業營運、工作流程,以至日常生活帶來了不少便利,然而IoT裝置如路由器、DVR錄影機、恆溫器、攝錄機、安全系統、咖啡機、雪櫃、智能手錶、健身手帶和醫療設備等可穿戴式設備,往往缺乏安全控制措施,因而容易被入侵,淪為阻斷服務攻擊(DoS),或分散式阻斷服務攻擊(DDoS)的傀儡。
據達科(Dimension Data)的《2017年全球威脅情報報告行政人員指南》資料顯示,IoT裝置缺乏安全控制措施,致使2016年的DoS或DDoS攻擊數目,由2015年佔整體攻擊數量的3%,攀升到6%,上升了一倍。在所有IoT攻擊中,有60%源自亞洲,21%源於歐洲、中東和非洲;19%則來自美洲。亞洲成為大量攻擊來源,主要是因為該地區的技術產品向來較易受感染,而這些已被入侵的基建設施,再被利用進行網上的不法活動。
逾半攻擊針對特定IoT裝置
達科的《2017年全球威脅情報報告行政人員指南》乃集合由NTT Security,和包括達科在內的多家NTT旗下公司,從五大洲的1萬名客戶、3萬5千億個安全日誌、62億宗攻擊,以及位於100多個國家的全球誘捕系統(honeypot)與沙盒(sandbox)收集的數據而成。
全球誘捕系統的感應器,監察了物聯網攻擊,及這些攻擊的目標6個月。結果根據構成威脅者,曾使用的身份驗證資訊發現,66%的攻擊均針對特定的物聯網裝置,如某型號的攝錄機。這些攻擊明顯來自受感染的物聯網裝置,並意圖搜尋和入侵更多同類型的裝置。情形就如黑客搜羅大量裝置,以進行DDoS或其他形式攻擊一樣。至於另外那34%已被分析的攻擊顯示,攻擊者亦試圖瞄準其他類型裝置,以增加其手上「武器」。
達科亞太區安全解決方案總經理Neville Burda補充道:「物聯網裝置能以無數方式,協助人們及企業發展。然而,有更多證據指出流動性、雲端應用及物聯網的普及,使互聯網的覆蓋範疇不斷擴展,促使更多攻擊範圍形成。這亦因而產生更多漏洞,令數據有爆炸性增長,更侵犯到個人私穩,而資料外泄對企業的影響也變得更深遠。」
企業應採取相應保安措施
利用物聯網裝置發動的DDoS攻擊,可於多方面影響企業,其中包括防礙客戶、工作夥伴,和其他相關人士存取企業的網上資源,因而影響銷售業務和日常運作。此外,受影響的員工和內部系統,無法連接互聯網,亦有礙公司多方面的運作,同時亦會影響提供網上服務之企業,使其供應鏈中斷。
達科網絡安全策略師Mark Thomas指出,縱使DDoS攻擊是最為人所知的網絡威脅,但這不是唯一因企業的物聯網,和操作技術(OT)裝置受感染而引發的結果。Thomas續指,攻擊者不會只利用物聯網裝置,還會盡可能尋找更多不同類型的裝置,來發動DDoS攻擊。
因此,達科建議企業在購買任何物聯網和操作技術裝置時,首先考慮其安全性,並且增撥資金,替換舊有物聯網及操作技術裝置。此外,亦可進行威脅及漏洞評估,確保裝置受企業內部監控。