Business Email Compromise Vulnerability Assessment Penetration Test appGuard DEVCORE OSSTMM OWASP App檢測 弱點掃描 資安服務 中華電信 果核數位 戴夫寇爾 NIST 安華聯網 滲透測試 安資捷

法規帶動檢測服務 軟硬體安全掛保證

2016-11-10
面對防不勝防的外部資安威脅,政府針對敏感度較高的公務機關及金融業,正逐步推動更嚴謹的法規,強制要求相關單位定期實施資安健診。
安華聯網總經理洪光鈞說明,公部門方面初期是針對一級與二級機關先行實施,再逐步擴大其他轄下單位;銀行業向來遵循ISMS規範,每年至少執行兩次資安檢測,但並非全面強制,兩年前開始亦由銀行公會發文要求實施。需求量的增長,正是推動本土資安服務業發展的主因。

相較於其他資安服務業者,安華聯網的營業項目更偏重於協助解決本土公司於擴展業務時,在不同區域面臨的法規遵循問題。「以往主要為提供軟體檢測服務,今年更進一步跨足到韌體、硬體方面的測試,可說是安華聯網較獨特之處。」洪光鈞說。

▲ 安華聯網總經理洪光鈞觀察,滲透網路監視器通常不需高明的技術,因為大多是預設密碼未變更,或韌體過於老舊,利用常見的漏洞攻擊手法即可突破。須在產品設計階段即納入控管機制,才得以減少安全事件發生。
安華聯網協理劉作仁進一步說明,今年初,安華聯網實驗室就已取得設備測試實驗室資格,日前又納入經濟部工業局正在推動的App檢測規範,目前也正等待實驗室審查通過。由於行動應用程式發展相當快速,但開發人員的專業技能通常是以App功能性為主,未具備安全性思維,因此App實際上有相當高的潛在資安風險,經濟部工業局也是著眼於此才制定自主管理規範,期盼業者建立基本防護能力。在規範的項目中即包含驗證報告,須經由可被信任的第三方檢測實驗室來執行,並給予公正的評鑑。「對承接政府App開發專案的廠商來說,亟待解決的即是最後交付時必須附上通過實驗室檢測的報告。」洪光鈞說。

App對於終端用戶而言就如同網頁瀏覽器,關鍵在於連線到遠端應用系統,彼此進行連線溝通、資料傳遞,在行動裝置上勢必會存放基本登入資訊,因此App測試就會著重在資料儲存、保護傳輸的機制。以連線安全為例,會檢查App與遠端伺服器溝通過程中是否建立SSL/TLS加密,以及採用的演算法、通訊協定、金鑰長度等資訊,甚至必須具備實體連線對象的憑證確認機制,以防止中間人攻擊。

「除了App檢測實驗室資格,安華聯網既有的嵌入式產品檢測,像是路由器、網路監視器等設備,更是核心競爭力。」劉作仁強調,即便是現在,產品研發設計團隊仍有多數未具備安全性思維。從國際間發生的重大資安新聞來看,攻擊者控制連網裝置所利用的漏洞,多數在測試過程中即可發現,雖然無法保證測試完成後百分之百安全,至少常見的漏洞攻擊,可以經由現有的測試流程發現並補強,才能在物聯網時代中不致成為攻擊的幫兇。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!