對付物聯網應有態度：敬而遠之！

物聯網將成為各大傳媒的熱話，而筆者一直對資安有所留意，所以筆者預計未來的世界，所有物品都應擁有獨立 IP，而與此同時所有物品均更易於進行入侵及攻擊，因此主宰著各國未來，必定是與 IT 相關的網絡攻防技術；至於應用在企業層面，資安人員亦將必定成為不可或缺一員。儘管現時只有大型企業才獨立聘請內部的資安人員，但隨著物聯網興起，加上傳統的防禦方案難以應付針對物聯網的攻擊，內部聘請安全專家相信是短期內較為可接受的一個解決方法。

物聯網安全難以實現

物聯網簡單形容就是通過在傳統的設備上安裝控制器從而令其能連接互聯網，並最終令管理員可通過中控台監測及管理遠端裝置；雖然這顯然是將傳統的 IT 管理模式搬到普通的物聯網設備之中，不過由於物聯網的設備/控制器很多時均採用獨立系統開發(當然亦有很多以 Unix Based 的系統)，因此暫時仍未見到有一個統一標準，而這亦代表了現今的保安方案假如應用在物聯網之中將會失去應有的防禦效能；所以曾經有讀者說過「誰人掌握物聯網保安技術，誰人將會成為下個 Bill Gates。」這比喻形容得恰到好處。

入侵後果更嚴重

既然所有物品都會連接互聯網，加上採用的平台、系統均無統一標準，可以遇見一旦黑客針對指定目標進行攻擊，目標便幾近無法預防；而在未來，由於日常生活的設備已與網絡連接，萬一黑客發動攻擊，其後果將直接影響現實世界的種種，比傳統的攻擊將帶來更大震憾。讓我舉個真實例子：現時大公司之中，很多都會有一台咖啡機，有些咖啡機十分大型，而且早已支援通過互聯網進行監控；基本上管理員可通過網絡控制每台咖啡機的糖、水、咖啡粉比例；某天，該公司的員工發現咖啡甜得要死，起初它們認為是設定上的錯誤，於是再三檢查，及後的確發現設定錯誤令糖與咖啡粉的比例不均；第二天，正當管理員已漸漸忘記昨天設定錯誤的事件時，咖啡機卻再次調製出極甜的咖啡，管理員開始懷疑是否機器本身出現問題，於是便找來廠商協助解決問題，檢查背後的 Log 資料後，最終得出的結論是咖啡機曾被入侵，而黑客入侵後更改了糖與咖啡粉的比例，來到此時，管理員才意識到原來一台小小的咖啡機也會被黑客入侵，同時亦令他們初嘗物聯網所帶來的安全問題。

在網絡上，筆者看到一段至理名言，就是：「所有人所有物體都將有一個 ID：如果你不能識別它，你就不能保護它；如果你不能保護它，你就不能控制它；如果你不能控制它，它就不屬於我們。」究竟物聯網是否屬於你呢？又是否需急於進入物聯網危險地帶？

物聯網安全發展方向

老實說，即使連知名的安全廠商亦無法回答筆者問題，不過綜合多次與資安廠商的對話，他們大致上認為未來針對物聯網的安全發展可通過現今針對網絡異常流量的方式偵測及阻擋網絡威脅又或者採用第三方提供的服務式保安方案，例如常見由 ISP 提供的 Managed Security 服務，不過顯然業界仍未有統一標準；儘管這些方式的確可降低部份物聯網所帶來的安全問題，然而這些防禦技術對於中小企來說是奢侈的，因此假如大家仍未準備好應付物聯網所帶來的種種危機，採取敬而遠之的態度，仔細思量物聯網是否為公司環境之中最急切的？假若答案是「否」的話，慢慢觀望一下才作決定，絕對是一個較為可取的做法。

SKY KWAN
資深 IT 傳媒人，曾於 PC3 Corporate、PC3、PCM 等多本 IT 雜誌從事編輯多年，現為 HKITBLOG 撰寫專欄及方案教學。SKY 一直醉心於 IT 方案的開發及研究，憑藉多年的業界經驗，對 IT 產業的發展往往有獨特見解；而他亦擁有資深的 Web Application 編程經驗，近年更與不同專家組成 IT Labs，致力專注於電腦黑客技術、電腦取證、電腦鑑證等工作；同時亦針對不同的方案進行深入的測試及分析，並為不同企業、學校提供專業的方案部署及採購 意見。