推行物聯網保安最佳實踐

物聯網技術在各行各業的應用已成為大趨勢。初創企業，中小企和其他企業開始應用物聯網技術，來創造業務價值並帶來新的客戶體驗。當大家著重物聯網技術帶來的功能與特點時，很少有人真正了解伴随而來的潛在保安風險。推廣物聯網安全最佳實踐對於至關重要。

當越來越多的設備應用智慧技術，例如通過行動裝置提供遠程控制，和使用無線技術或互聯網收集數據時，它們也提供了新的攻擊面。攻擊者可能會試圖控制設備，從設備中竊取敏感資訊，甚至造成其他實質損害。例如，一款直髮電器產品被發現有保安漏洞，可以讓攻擊者遠程調校溫度至高逹攝氏235度，如該電器恰巧放置在易燃物品附近，其熱量可能會導致火災。

與此同時，攻擊者已經開始利用物聯網設備的保安漏洞，將其變成殭屍網絡 （botnet）中的一員，並使用它們發動大規模分佈式阻斷服務（DDoS）攻擊。例如2016年10月，黑客入侵逾十萬部物聯網設備，組成名為「Mirai」的殭屍網絡，發動大規模DDoS攻擊，癱瘓了域名註冊服務提供商Dyn，導致Airbnb、Netflix、Twitter 等主要互聯網服務中斷。

香港電腦保安事故協調中心（HKCERT）曾發表過《Mirai 惡意軟件的清理及偵測》 和 《物聯網設備（網絡攝影機）保安研究》的保安建議，以回應與 IoT 設備相關的事故。同時，我們留意到很多保安問題源於物聯網設備在設計和開發中缺乏保安考慮。為解決此問題，本中心編制了《物聯網保安最佳實踐指引》，讓開發人員於產品設計和開發的早期階段開始應用。該指引涵蓋了物聯網解決方案中四個層面的常見保安問題：

• 感知層
• 網絡層
• 管理層
• 應用層

該指引包括保安最佳實踐和簡單的保安風險自我驗證清單。它旨在幫助開發人員從設計階段開始以及整個開發週期中，納入物聯網保安最佳實踐。此外，初創企業，中小企或企業在採購物聯網解決方案時可以指引作為保安規格要求的參考；一般用戶亦可透過該指引了解更多有關物聯網保安最佳實踐，在應用物聯網設備時，提高對物聯網設備的安全意識。

請按此下載 《物聯網保安最佳實踐指引》。用戶或開發者如對指南有任何意見或查詢，歡迎通過電郵 [email protected] 或熱線電話 81056060 與 HKCERT 聯絡。