什麼是「足夠好」的安全性？

實際上，安全性是否足夠好取決於要防禦的對象、攻擊的可能性，以及公司在嘗試保護資產上所配置的資源。許多公司在瞭解安全威脅上似乎有些遲鈍。隨著物聯網越來越受歡迎，裝置的可用性大幅增加，裝置受到攻擊的可能性也隨之增加。對您的愛車、家庭或任何線上裝置的威脅，已變得相當真實。

在某種程度上，科技確實能阻絕一些風險，但問題是能否持續做到這一點？例如，如果有人認為「足夠好」的資料安全性，在雲端運算時代已足夠好，但其實公共雲威脅會隨著雲端服務使用者數目的上升而增加，因此可能並非如此。

「足夠好」的要件是甚麼？

現今的時代，大型公司會受到非常公開的安全攻擊，但即便這些公司投入大量資金建立保護措施，較小型的公司仍會容易遭受攻擊。許多企業仍舊不瞭解網路安全是減少潛在威脅必須採取的措施。幾乎在所有的安全漏洞案例中，受害者都採取了「足夠好」的控制措施，而且也遵守業界法規要求。

目標與利弊權衡

一個很重要的問題是：「您想要保護什麼？」因為這最終會決定您的安全性目標。利弊權衡會涉及風險管理。您有多少資金可用？您要花多少錢來保護對您很重要的東西？請記住，這意味著資金是要持續地投入。

一般來說，企業組織趕不上威脅進展的速度，也不瞭解威脅的組成要件。首先要追蹤事件、受損資料、惡意程式、員工使用的裝置，以及採取了哪些政策來減緩潛在弱點。已採取措施包括防火牆、行動裝置閘道、VPN、認證方法及加密等。目前保護方法的成功機率有多大？成效可以量化嗎？如果發生攻擊了，是如何發生？這種威脅相關的情報有助於建立優先順序，並合理地評估現有弱點。哪些是不安全的？可以多快且多好地修復這些問題？

當漏洞確實發生時，必須分配資源以回應威脅、停止攻擊，並且清理攻擊的後果。真正有風險顧慮的是智慧財產、個人資料、財務資料、商業機密，這些都會因只採取「足夠好」的保護措施而喪失。

實施預防及保護措施

許多弱點可以相當簡單地處理。在某些情況下，需要採用特定的偵測方式，或藉由實作特定技術來防止存取。在其他情況下，可藉由預防竄改或建立無法竄改或更改資訊的鏈結，來緩解某些弱點。

具體預防方法可能包括臉部及指紋識別等技術。例如，Omron 的 HVC-P2 臉部識別模組提供兩個相機鏡頭，一個屬於長距離偵測型，另一個則屬於廣角偵測型。這類模組使用 Omron 影像辨識演算法，可決定人臉與身體的偵測結果，而且也擅長於預測性別、年齡、表情以及其他臉部特徵。

圖 1：Omron 相機模組提供臉部識別技術，其遠遠超過特定的臉部特徵。(圖片來源：Omron)

內嵌 HVC-P2 的設備可偵測其鄰近的使用者，但使用者渾然不知有相機存在。此外，開發人員可以使用現成的微控制器及相機組合，將臉部識別功能快速增加至嵌入式系統。

另一種解決方案是 DFRobot 的 SEN0188，這是一款與 Arduino 相容的自足式指紋模組。該模組具備高速 DSP 特點，可搭配 MSP430、AVR®、PIC®、STM32、Arm® 及 FPGA 元件使用。藉由能夠儲存 1000 個指紋的特性，產品可支援指紋輸入、智慧型影像處理、指紋比較與搜尋模式。

圖 2：DFRobot SEN0188 指紋模組可提供比較、影像處理及指紋搜尋模式。(圖片來源：DFRobot)

在安全保護領域中，Infineon 的 Blockchain Security 2 GO 入門套件提供一種快速簡便的方式，讓用戶將同級最佳安全性構建至區塊鏈系統設計中。此套件提供一個適合各種區塊鏈技術的評估環境，其中包括五張現成可用的 NFC 卡，可支援安全金鑰生成、PIN 碼保護與簽署方法等基本區塊鏈功能。

簡單地說，區塊鏈是一種基於一鏈區塊的非集中式數位帳本技術，其中每個區塊都以加密方式與前一個區塊連結，每一次交易都受到數位簽章的保護。Blockchain Security 2GO 入門套件具備硬體式保護機制，以安全地生成並儲存私鑰。

Maxim 的 DS28C40 防破壞與安全介面評估板，可提供所需的硬體與軟體來評估 DS28C40 安全驗證器。此元件提供加密工具核心組合，包含整合式非對稱與對稱的安全功能。除了硬體加密引擎提供的安全服務外，產品還整合 FIPS/NIST 真實亂數產生器，適用於使用者資料、金鑰和憑證的一次性可編程記憶體、一個可設定的 GPIO，以及獨特的 64 位元 ROM 識別碼。

圖 3：Maxim 的 DS28C40 安全驗證器評估板可為開發人員提供加密工具核心組合。(圖片來源：Maxim Integrated)

DS28C40 的 DeepCover 嵌入式保全解決方案可將敏感資料藏匿在多層進階安全性底下，提供強大的金鑰儲存功能。為了防護裝置層級的安全攻擊，產品實作了侵入性和非侵入性安全措施，包括主動式晶粒屏蔽、金鑰加密儲存，以及演算法。相關應用包括汽車零件的汽車安全驗證、識別與校正；IoT 節點加密保護；配件與周邊裝置的安全驗證；韌體的安全啟動或下載；以及主機控制器加密金鑰的安全儲存。

倚賴「足夠好」

「足夠好」的安全性將永遠是一個活動的標靶。在多數的情況下，「足夠好」絕對不會真正地夠用，因為市場的變化太快。隨著系統與駭客入侵複雜性增加，「足夠好」真正代表的意義是：公司在保護資產上願意負擔或有能力負擔的成本／效益比例。

可成功付諸實現的部份包括：人員內部訓練、保護企業網路的政策、驗證及加密法，再配合足夠的技術；這樣至少可提供合理的保護。幸好，由於犯罪者會嘗試找到最容易侵入的帳號，因此「足夠好」就可能是：實作足夠好的安全保護法，能讓犯罪者遠離您而轉向其他攻擊目標。