【專訪】物聯(lián)網(wǎng)信息安全風(fēng)險升高，解析趨勢科技層層布建的 IOT 防護架構(gòu)

勒索軟件今日可以威脅你的電腦，明日就能威脅你的 IOT 設(shè)備。”趨勢科技CEO陳怡樺看到隨著 IOT 發(fā)展而帶來的信息安全危機，但過去我們想到的信息安全防護就是安裝防毒軟件，那么，IOT 設(shè)備上也能裝防毒軟件嗎？在趨勢科技東京舉行的年度“DirecTIon”大會上，我們訪問到趨勢科技開發(fā)部協(xié)理沈維明，請他說明 IOT 的信息安全防護架構(gòu)，讓所有開發(fā) IOT 產(chǎn)品，提供 IOT 零部件，甚至是作為消費者的我們都該知道怎么避免被黑客攻擊入侵。

Q：趨勢科技將 IOT 分三個領(lǐng)域，提供不同的解決方案，分別是 HOME（家庭）、Car（汽車）、Factory（工廠），為什么要分為這三個？

沈維明說，未來沒有東西不是連網(wǎng)，但如我不切產(chǎn)業(yè)去細看，解決方案無法針對這個產(chǎn)業(yè)的系統(tǒng)架構(gòu)去保護他們所需要的東西，解決他們的痛點，因此在起步時先從產(chǎn)業(yè)別來劃分，至于到最后會不會變成通用性的服務(wù)，還要再觀察后續(xù)發(fā)展。

而會選擇家庭，是因為趨勢科技在家庭信息安全防護做 20 幾年，有既有的伙伴以及既有市場；選擇工廠也是因為趨勢科技投入在工廠系統(tǒng)設(shè)備的信息安全防護已久，有既有客戶在手邊，而這些客戶在工業(yè) 4.0、工廠自動化的趨勢下，資訊的流通已經(jīng)不再限縮于內(nèi)部網(wǎng)絡(luò)，當(dāng)網(wǎng)絡(luò)變得更復(fù)雜，因此也更加需要信息安全解決方案；選擇汽車是因為連網(wǎng)汽車的發(fā)展已經(jīng)具備雛形，而且他跟人的性命有關(guān)，汽車公司也深知這點，因此他們會更加愿意注重信息安全防護。

事實上，趨勢科技用在這三種產(chǎn)業(yè)的解決方案也都不是新技術(shù)，而是老早就存在市場上的產(chǎn)品，只是重新組合。盡管 IOT 設(shè)備才要大量發(fā)展，但連網(wǎng)的東西像是電腦、手機已經(jīng)發(fā)展很多年，因此早就有端點、Gateway、云端三種層面的產(chǎn)品，只是要開發(fā)出更符合產(chǎn)業(yè)的解決方案。

Q2：IOT 設(shè)備不像電腦一樣可以裝防毒軟件，那要么布建信息安全防護網(wǎng)絡(luò)？它的信息安全防護架構(gòu)長什么樣子？

在趨勢科技的觀察里，大部分使用者不會為了 IOT 設(shè)備個別買信息安全防護，所以在 IOT 設(shè)備的信息安全防護，趨勢科技選擇直接跟開發(fā)設(shè)備的廠商、系統(tǒng)整合的廠商或芯片商合作，把安全軟件開發(fā)套件（SDK）整合在硬件里，讓信息安全產(chǎn)品從云端、Gateway 連線端、終端設(shè)備端三個層面都能有相對應(yīng)的信息安全防護。假設(shè)今天一個設(shè)備開發(fā)者買了具有趨勢科技物聯(lián)網(wǎng)安全 SDK 的芯片，那么他就直接可以把 SDK 套用至他的固件設(shè)計里。

沈維明進一步解釋安全軟件開發(fā)套件（SDK）能體宮的三步驟作用:危險偵測（Risk DetecTIon）、系統(tǒng)保護（System ProtecTIon）、即時反應(yīng)（Instant Response）。

Risk DetecTIon：因為 IOT 設(shè)備不能裝防毒軟件掃毒，因此安全 SDK 要不斷從各種使用行為去分析出異常狀況。像在系統(tǒng)層級，如果某天 CPU、內(nèi)存用量暴增，一直處在很忙碌的狀態(tài)，跟平常使用狀況不同，那就要發(fā)出異常狀況的警訊；還有若程序執(zhí)行（Code Flow）的順序跟平常不一樣，也要發(fā)出異常警訊，懷疑是不是被人改過；再來是連線異常，看平常都是該來自哪里的 IP 連線、從哪里的 IP 存取、平常網(wǎng)絡(luò)用量、連線時間長短，假設(shè)過去都是從臺灣的 IP 連進來，今天突然從歐洲、澳洲，那也該發(fā)出異常警訊。

另外還有一種是趨勢科技針對漏洞發(fā)出的警訊，通常設(shè)備開發(fā)商不會去注意最新發(fā)布的漏洞、zero-day 的消息，而大部分開發(fā)者都是用第三方的函式庫，于是當(dāng)趨勢科技注意到哪些第三方的函式庫或系統(tǒng)函式庫有必須注意的漏洞，那就會給予廠商警訊。

System Protection：在發(fā)現(xiàn)異常警訊時，安全 SDK 會阻斷系統(tǒng)的移動；但像是工廠、汽車或一些不可以阻斷而使得機器停止運轉(zhuǎn)的產(chǎn)品類型，那就會以白名單的方式讓 SDK允許某些程序執(zhí)行，其他程序都阻斷。還有一種入侵防御系統(tǒng)（Intrusion Prevention System，IPS），只要安裝安全 SDK 就能有這個保護膜，能阻擋在某些漏洞之下的攻擊模式，而且趨勢科技會隨時發(fā)布新的補釘阻斷各種新出現(xiàn)的攻擊，因此 IOT 設(shè)備開發(fā)商就不用為了某個信息安全漏洞，花很多時間與力氣開發(fā)新的固件。

Instant Response：這個其實是一個顧問性質(zhì)的服務(wù)，趨勢科技會給設(shè)備廠商、系統(tǒng)整合廠商或芯片商一些新的資訊，讓他們可以著手布局新的補釘或新的固件，或者還可以做什么以保護自家的產(chǎn)品。

沈維明建議 IOT 設(shè)備廠商，可以直接使用芯片廠商或者云端平臺商已經(jīng)有提供的趨勢科技信息安全 SDK，直接整合比較快，而且像在家用 IOT 設(shè)備的收費方式，主要是采流量付費（pay by usage），用多少再付錢，不會還沒有賺錢就先付一筆信息安全布建費用。

Q3：汽車和工廠為了避免自己的資料受到危害，造成財產(chǎn)損失，愿意投資在信息安全防護，但很多家用 IOT 設(shè)備廠商或許是因為規(guī)模還小，或許是因為認為他們掌握的資料很不重要不會造成多大的財物損失，因此不愿意花很多錢投入信息安全，趨勢科技有什么方法可以解決？

沈維明坦言，以推動 IOT 解決方案兩年的經(jīng)驗來看，家用廠商的確比較不以信息安全為優(yōu)先，“我覺得是我們很熱，但廠商現(xiàn)在是不是愿意跳進來”。

像 10 月 21 日域名服務(wù)器管理機構(gòu) Dynamic Network Service（Dyn）遭 50萬臺的網(wǎng)絡(luò)攝影機 DDoS 的事件，被黑客利用的 50 萬臺網(wǎng)絡(luò)攝影機，都是采用中國一間叫做雄邁（XiongMai）的主機板，就連賣出這么大量產(chǎn)品的 IOT 零部件供應(yīng)商都不注重信息安全解決方案，沈維明只能無奈表示，許多設(shè)備商轉(zhuǎn)型做 IOT，但原先從單純做硬件、封閉系統(tǒng)起家的廠商沒有信息安全專業(yè)，因此會忽略這一塊，或者有做但可能不是做到很完整，曾經(jīng)沈維明在跟這些廠商談信息安全防護時，他們都說自己的產(chǎn)品沒有問題，但請工程師檢查現(xiàn)有信息安全架構(gòu)，或多或少都會發(fā)現(xiàn)有漏洞。

但時間會讓這些廠商慢慢愿意花錢在信息安全上，尤其 Dym事件讓許多 IOT 設(shè)備廠商驚覺原來自己的設(shè)備會被用來做大規(guī)模的惡意攻擊行為，于是就有很多 IOT 設(shè)備廠商主動來詢問趨勢科技該怎么辦。沈維明笑說，Dyn 事件意外成為趨勢科技最大規(guī)模的營銷活動。

至于該怎么辦，沈維明語氣肯定的表示，趨勢科技目前的 IOT 信息安全解決方案已經(jīng)準(zhǔn)備好，價格也可以負擔(dān)，布建也不困難。

不過在家用 IOT 設(shè)備廠商把信息安全架構(gòu)做到完備以前，為了讓 IOT 使用者可以更放心使用，趨勢科技也計劃推出從家用路由器端檢查 IOT 設(shè)備的流量是否有異常的解決方案，畢竟一個人家里可能有很多連網(wǎng)設(shè)備，要確知哪一個是安全的、哪一個可能不安全很困難，那就先從流量進出的 Gateway 加以堤防。