Janus — 專職守護物聯網設備的智能資安管家
This article is reprinted from ITRI JOURNAL
工業技術研究院 資訊與通訊研究所 司徒寶儀 何貞儀 卓傳育
在全球數位化和巨大浪潮下,越來越多元、多樣且功能各異的物聯網 (IoT)設備被納入企業營運中,提升經營效率。但設備一旦連接到網路,便意味著企業需面臨其連帶而來的資訊安全風險。面對這些規格不一、類型繁多的物聯網設備,傳統的資訊部門往往難以應對這全新的資安挑戰。
Janus智能資安管家提供了一套專為物聯網設備量身打造的資安解決方案;基於零信任的架構,Janus透過將網路行為可視化及演算法自動化產生資安規則,讓過去繁瑣且耗時的資安管理變得簡單。Janus核心軟體技術也透過與硬體的整合,在客戶現場能隨插即用、立即開始自動化管理。即便是資源相對有限的中小企業,也能夠輕鬆部署並迅速上手。有效降低資安治理進入門檻。
Janus強勢推出,一舉奪得2023年經濟部研究機構創業潛力首獎,並在台灣具指標性ICT產業盛會「ITRI ICT TechDay」展出成果 。
數位化浪潮下企業資安新挑戰
物聯網設備使用率逐年增加,對企業營運帶來了巨大的效益,提升了工作的效率與品質;根據International Data Corporation(IDC)的預測,到2025年全球將連接超過557億個聯網設備[1],這些設備將涵蓋各種行業,從製造業到醫療保健、零售和農業。這些物聯網設備可以收集龐大的數據,並實現自動化、遠程監控和預測性分析,有助於企業提高生產力、減少成本和改進產品品質。 然而,隨著聯網設備的增加,資訊安全問題變得更加複雜和迫切。攻擊者可能利用設備的弱點,入侵企業網路,竊取機敏數據或造成營運中斷。儘管部份企業已逐步建構資訊安全防護,但隨著攻擊者技術的不斷進化,風險持續攀升。例如在2016年的Mirai僵屍網路攻擊,該攻擊利用了許多不安全的聯網攝影機和路由器,將它們變成了大規模的攻擊工具,癱瘓了許多聯網服務,包括社交媒體和電子郵件服務,最高峰的時期操控了數十萬台的物聯網裝置[2]。這一事件引起了全球對物聯網設備安全性的關注。
全球物聯網資安發展趨勢
萬物聯網時代的來臨,企業內部的資訊溝通結構越趨複雜,本文略整理產業面臨的物聯網資安挑戰如下:
高風險環境:物聯網裝置的快速增加意味著更多的攻擊弱點產生。
法規和合規性要求:多國和地區已經落實了相關的法規,要求企業保護物聯網數據的安全性和隱私性。
供應鏈攻擊:物聯網裝置的佈建和使用,常需供應商和合作夥伴配合,增加了供應鏈攻擊的風險。
專業技術要求:保護物聯網裝置和數據需要專業技術和解決方案,企業和組織需要具備相應的專業知識來應對不斷變化的威脅。
物聯網資安解決方案仍然是市場上待被滿足的需求。根據MarketsandMarkets的研究,2020年全球物聯網安全市場的規模約為15.14億美元,預計到2025年將達到53.14 億美元,年均增長率(CAGR)約為 28.5%[3]。這說明物聯網安全市場仍在不斷成長,市場對物聯網資訊安全的關注不斷增加。另一份市場研究報告來自Grand View Research,預測全球物聯網資安市場在2023-2030年期間年均增長率(CAGR)約為23.2%[4]。物聯網資安市場的快速增長,未來可能再進一步推升的因素還有法規合規性驅動、越來越受關注的供應鏈安全、新興技術應用的資安配搭,還有不斷被創造出來的多樣物聯網裝置。
Janus的技術發展及應用
Janus為微網段資安管理的工具(請見本文末延伸閱讀有更詳細的介紹),其在物聯網資安環境中扮演至關重要的角色,應用不僅涵蓋了智慧醫療、智慧工廠,還有智能能源管理等關鍵領域。以智慧醫療為例,Janus與醫院合作,在概念驗證的過程中,成功在四小時內識別出數十種異常資訊傳輸,說明該醫院設備與設備之間有非預期內的溝通,存在潛在資安風險,展現了其在資安威脅偵測方面的能力。
Janus的設計從零信任資安治理概念出發,基於「永不信任,一律驗證」原則的資安架構:它假設任何使用者或裝置,即使在內部網路中,都有可能構成資安威脅。零信任架構透過多層次的安全措施,包括身分驗證、授權、存取控制、威脅偵測和回應等,來保護組織的資訊資產。依據美國國家標準技術研究院(National Institute of Standards and Technology, NIST)發布的NIST Special Publication 800-207 Zero Trust Architecture標準文件探討了ZTA所必需的三個重要關鍵技術,包括:進階的身分治理(Enhanced Identity Governance)、微網段(Micro-Segmentation),以及軟體定義邊界(Software Defined Perimeters)。根據iThome的整理,針對這三項關鍵技術,NIST有簡單的說明。例如,關於進階身分治理的方法,可與資源入口部署的模型有很好的配合;使用微網段的零信任架構,企業可透過智慧交換機、次世代防火牆或特定用途的網路閘道器,用以作為資安政策落實點(PEP),以保護每個資源或相關小組資源;而使用網路基礎架構與軟體定義邊界的零信任架構,在此方法中,資安政策管理員(PA)可作為網路控制器,根據資安政策引擎(PE)所做的決策,以重新建立或配置網路[5]。
以微網段「Micro Segmentation」進行網路風險隔離與存取控制管理,為防堵網路入侵風險為關鍵的風險控制管理能力。主流的國際資安標準如:NIST Cybersecurity Framework(CSF)、歐盟的NIS/NIS2資安要求、ISO 27001、PCI DSS均主張要求組織需落實「實施網路分段,以隔離不同層級的系統和資料」、「實施安全控制措施,以限制對基礎設施、資訊和系統的存取」、「控制對資訊資產的存取,以防止未經授權的存取、使用、披露、修改或銷毀」等條文要求。
在當今資安重視的環境下,雖然一些大型企業已採取零信任安全模式,但這些模式往往涉及複雜的產品技術和策略,對於中小型企業或缺乏專業IT和資安團隊的企業來說,過於複雜的資安策略可能難以理解和實施。Janus的出發點即在解決這樣的痛點。
Janus以微網段隔離技術為核心,提供了一種以用戶為中心的安全策略。這種策略以保護單一設備和服務為出發點,從而使得安全策略的設定變得更加直觀和易於管理。微網段隔離使每一個設備或服務都像是在自己的小型保護網段內運作,這樣的策略有助於限制潛在的攻擊路徑,並減少安全漏洞的擴散。
更進一步,Janus的策略為中小型企業帶來的好處不僅限於易於理解和實施。它還提供了一個自主和彈性的操作方式,讓企業能根據自己的具體需求和風險評估來調整安全設置。隨著企業的成長,Janus的微網段隔離技術可以動態擴展,提供更多的客製化選項,從而確保隨著組織的擴展,其安全架構也能相對應地成熟和強化。Janus的端點向上堆疊模式,鼓勵從最基本的防護開始,逐步建立起整個組織的安全防護網。這種逐步堆疊的策略不僅降低了初始投資門檻,也使得安全管理更加靈活,並且能夠針對不同的成長階段提供適當的安全支援。因此,Janus不僅為中小型企業提供了堅實的安全基礎,也為他們的成長提供了一個可持續的安全策略。
結論
Janus重新賦予網路防火牆新的意義,將原本需要專業人力管理並時時監控的防火牆,變成自動收斂規則,主動隔離非正常模式風險的自動化設備。因此管理者無需具備資安專業背景,僅需熟知設備用途,以決定觀察到的網路活動行為是否合理,進而可自行決定套用網路規則或保持觀察。為確保機敏使用環境的安全,Janus在資安管理控制上,取無需將內部機敏資訊分享外部資安或IT廠商,減少隱私或機敏資訊流動。是一套不需仰賴外部資安專業團隊協助,亦即可自行管理使用的資安解決方案。
參考文獻
[1] Future of Industry Ecosystems : Shared Data and Insights published 。Available at: https://blogs.idc.com/2021/01/06/future-of-industry-ecosystems-shared-data-and-insights/ (Nov. 20th 2023)[2] 林妍溱 (2018) 惡名昭彰的殭屍網路病毒Mirai作者之一被判賠償860萬美元。Available at: https://www.ithome.com.tw/news/126699 (Nov. 20th 2023)[3] MarketsandMarket, IOT INTEGRATION MARKET - GLOBAL FORECAST TO 2025 (Report Code: TC 5388)[4]Grand View Research, Industrial Internet of Things Market Size, Share & Trends Analysis Report By Component (Solution, Services, Platform), By End-use (Manufacturing, Logistics & Transport), By Region, And Segment Forecasts, 2023 – 2030 (Report ID: GVR-1-68038-803-9)[5]羅正漢 (2022) 【ZTA 101】NIST SP 800-207第三章:零信任架構邏輯元件。Available at: https://www.ithome.com.tw/tech/152384 (Nov. 20th 2023)