物聯網下的供應鏈資安趨勢

隨著近年高科技大廠陸續遭駭客勒索，資安防護具攻防資訊不對稱的特性，資安威脅與風險的提升，除了在5G與IoT持續推波助瀾下，IT/OT/CT垂直領域技術整合所衍生出的資安風險，更因為Covid19疫情所帶來遠距工作，打破過去資安實體防護疆界，零信任的資安(Zero Trust)成為更重要的關鍵。此外，隨著美中貿易戰影響，資訊安全更成為供應鏈信賴重要一環，各個領域資通訊應用在設計階段就須考量國際供應鏈資安規範與檢測機制。

乾淨供應鏈下的資安合規需求

去年美國開始要求5G網路加入乾淨網路的行列，隨著網通設備被運用在重要的場域，尤其是國防軍事用途美國國防部於2020年1月公布了網路安全成熟度模型認證框架，目的是確保美國國防工業基礎供應鏈中的30多萬家公司，具有足夠能力保護敏感的國防資訊，該框架利用成熟度模型，由第三方評估人員審核公司的網路安全措施，並和訂一個級別，該級別分為五集一代表該公司已經濕濕的網路包糊成熟度。從2020年9月開始美國國防部的計畫書需求中要求承包商獲得CMMC認證，其內容涵蓋美國NIST-SP 800-171、NIST SP 800-53、ISO 27001與ISO27032等，框架涵蓋面廣泛且明確，資安的信任完全具體落實在CMMC規範上

其中，CMMC供應鏈資安風險管理，涵蓋從元件、次系統、系統整合與系統運作維運，鑒於整個國防資訊系統其不同次系統甚至元件，而其相關的供應商多元，其管理也頗為複雜，因此整體CMMC框架精神在於實作強化供應鏈資安，並且降低攻擊遭受面向，

圖一、美國CMMC在供應鏈風險管理的視野圖 (參考文獻)

資安規範朝向領域化發展

國內外資安檢測規範持續發展中，供應鏈資安考量到領域技術特性，同時考量到軟體安全的需求，也開始發展出，而國內也從工業局行動應用APP檢測開始，分別針對物聯網IPCAM、DVR、車載機、智慧路燈等訂出資安檢測規範與指引，無論是國內外，產業資安規範從通用合規規範，以落實到各垂直領域，包含醫療、工控等），而這些規範在政府推動下，將資通安全產業標準的角度，成為供應鏈資安在合規檢測的基礎，檢測基礎的建立有助於建立整體安全供應鏈的具體評估基礎。

標準	現況
工業局APP資安檢測基準	工業局委託資策會針對行動應用APP資安所建立之資安規範與檢測基準，目前已經進入第三年。已經建立完整實驗室與APP認驗證制度。目前由行動應用資安聯盟維護
NCC 手機內建軟體資安檢測規範	由NCC發布之手機內建軟體資安檢測規範，針對手機出廠內建軟體的資安檢測規範 。目前已公布實驗室與產品認驗證，2018開始實施
工業局影像監控系統系列-IP CAM/DVR/NAS 資安標準與檢測規範	2017由工業局委託資策會研擬之IP CAM資安標準，為我國首度研擬之物聯網資安標準。2018開始推動實驗室與產品認驗證制度。
NCC無人機資安檢測規範	NCC預計將於2018發展之無人機資安檢測規範
工業局巴士車載機資安標準	工業局於2018年推動之巴士車載機與智慧站牌資安標準

綜觀國際物聯網、工業控制等檢測規範，規範本質取決於推動單位籲倡議的資安價值，以ISA/IEC組織而言，以工控安全延伸到工控資安的IEC62443，IEC62443也是從領域驅動的資安合規規範，例如又像UL 2900，以物聯網產品安全測試為主，主要以消費者裝置市場為主。從資安領域以威脅角度發展的OWASP IoT Top 10以及GSMA IoT security guide，皆為物聯網檢測基準的重要關鍵。

標準/指引	目的
ISA/IEC 62443	強化工業控制物聯網元件或系統的安全性、可用性、完整性與保密性，解決工業自動化系統採購資訊安全需求。
OWASP IoT top 10	協助物聯網的製造商、開發者與消費者更佳了解IoT資安問題，同時讓各方使用者可以在建置、布署或評估IoT技術時可以做出最好的決策
UL 2900	美國UL公司發展之物聯網資安標準為連網產品與系統提供網路安全測試準則，以評估軟體漏洞與弱點。並陸續發展成UL資安保障計畫，涵蓋工業控制、醫療設備、汽車、智慧家電等不同範疇產業
GSMA IoT security guides	提供IoT 服務從安全設計、開發與測試的最佳實踐，安全措施的評估方法。涵蓋總論，端點，網路與雲端的安全指引
ISO 15408(CC)	又稱為共通準則為世界各國進行資通安全產品評估及驗證時所遵循之共同標準，依其定義之評估保證等級（Evaluation Assurance Level，簡稱EAL）來判定產品之安全等級，EAL共有7個等級提供申請者/贊助者、檢測實驗室與驗證，機關（構）評估及驗證資通安全產品安全性與功能性之依據。

資安信賴是公務員在數位轉型的核心

資訊科技發展快速，5G、物聯網、人工智慧、區塊鏈等資訊科技已逐步地落實於智慧城市、智慧製造、智慧醫療等垂直領域的應用，資安信賴則是公務員在以資訊科技進行數位轉型時的基礎，供應鏈資安發展趨勢以及物聯網檢測則須考慮資安成熟度(maturity)，方可在數位科技與政府發展建設中，奠定穩定信賴的數位轉型下值創造，而資安信賴將會是公務員在數位轉型發展中的核心價值之一。

從勒索軟體生態觀察駭客商業模式持續改變

若駭客以財物或政治意圖為目標，勒索病毒是近幾年來企業常見的資安威脅，勒索軟體相繼對組織造成服務或運作中斷，網路犯罪的工具背後的商業模式，參考CM在2019年的研究，目前前十大活躍的勒索軟體變種所造成的網路攻擊活動與文件勒索，然而在這樣的駭客組織背後更潛藏了一個完整的勒索軟體生態鏈，勒索軟體商業模式的變化可能導致勒索軟體活動的大幅上升，也因此我們會看到一個現象，在勒索病毒不斷變種的背後，潛藏著複雜分工的網路惡意活動的整合。

勒索軟體它使用強大的加密技術來鎖定檔案，如果沒有獲得金鑰或駭客攻擊潛在的加密實施缺陷，幾乎不可能解密。勒索軟體的攻擊很大程度上是隨機的，通常會感染無數容易感染的目標，並期待能獲得最高的金錢回報。

一般來說，在攻擊者使用勒索軟體加密受害者的資料後，攻擊者會發送一份贖金通知， 要求支付解密工具，以恢復被挾持的資料。除非企業有恢復資料的應急計畫，否則受害者最終會支付贖金或失去他們的檔。值得注意的是，即使受害者支付贖金，他們也可能無法重新獲得他們的資料。贖金的支付越來越昂貴，而勒索軟體的利潤率對攻擊者來說也越來越高，對於駭客來說，這種網路犯罪所獲得的經濟效益，比在暗網販賣資料有更明確的金流收入，以及更難以讓執法機構追蹤。這樣的架構稱為勒索軟體即服務(Ransomware as a Service, RaaS)，勒索軟體不再局限於創建它的開發者，透過勒索軟體發展者現在將他們的產品賣給勒索軟體的聯盟會員，這些公司用它來勒索組織支付避免資料外洩的贖金。

在整個RaaS的生態系中，過去我們認為的駭客，是深黯技術的技術人(Developer)，在過去網路威脅中是驅動的角色，取而代之的RaaS平台，操作RaaS平台的背後是金主(Money Launderer)，驅動了整個網路犯罪的生態系，而過去駭客為主的平台(Hosting/Exploit)與勒索軟體聯盟(Affiliate)則擔任執行的角色。整個供應鏈結構建立後，大幅增加勒索軟體多樣性與針對性，當目標Victim是一個跨國企業時，當預期的回報可觀下，則更驅動了整體分工運作更為精緻。因為加密貨幣具有匿蹤的價值，獲利機制就依賴加密貨幣避免被追蹤到源頭(Money Launderer)。

勒索軟體即服務(Ransomware as a Service)生態架構 (參考文件）

對於勒索軟體聯盟會員來說，透過勒索軟體獲利不需要從勒索軟體開始開發，因為會員可以使用預先構建的勒索軟體。RaaS 擴大了勒索軟體的威脅範圍，因為聯盟會員不再需要開發自己的變體來執行攻擊並賺錢。對於勒索軟體發展商來說，RaaS 可以像 直接支付贖金一樣賺錢，因為開發商和聯盟會員都可以獲得一定比例的已付贖金， 而且勒索軟體會影響更多的目標，發生的頻率也更高。RaaS將Developer、Affilliate及Money Launderer的角色切分開，可讓Developer更有效率的發展新的攻擊手法，也因此有效識別攻擊手法，須藉由情資導向的資安防護模式達成。

以智慧化為核心的情資聯防

結語