將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2019/1/2

集結物聯網生態鏈首次盛會 跨界全面探討新世代應用安全

強化物聯網裝置管理性 及早因應潛在漏洞攻擊

洪羿漣
在數位轉型的浪潮下,區塊鏈、物聯網(IoT)、人工智慧與機器學習等新興趨勢,幾乎成了各行各業當前重要的發展主軸。台灣身為全球製造重鎮,半導體、晶片設計、連網裝置等具競爭優勢的科技業,正積極地佈局物聯網應用需求,在數位化時代中站穩腳步,而安全性更是其中的關鍵議題。


市場上已有許多晶片廠商可提供相關技術,並且已取得FIPS 140-2(ISO/IEC 19790)、Common criteria(ISO/IEC 15408)國際標準認證。假設連網裝置會產生高機敏性的資料,除了應用層建立保護措施以外,勢必得搭載安全晶片,才得以達到完整地保護。

連網裝置安全驗證樹立顧客安心品質

以往廠商生產製造的產品通常是為了符合傳統安規必須送交檢驗。優力國際安全認證(UL)身分識別管理安全部業務發展經理薛正觀察,如今的資安議題挑戰相當大,就算通過驗證,可能在短時間內隨即不再適用,例如在設備中搭載國際知名的SSL安全模組,卻在出貨後被揭露發現漏洞。因此必須持續不斷地監控與更新,確保安全等級隨著應用發展、駭客手法改變而進化,否則安全水平勢必衰退,讓營運風險失去控制。

安全等級愈高,評估時間愈長,較適合企業營運導入建置的設備。

至於消費性市場上的連網裝置,能接受認證費用的程度較低,因為使用場景的不同,例如政府單位相當注重共通準則(Common Criteria),但是營運環境則未必。畢竟驗證費用可能需高達50萬美元,歷時一年半時間,明顯地不適用於低價位的IoT設備。

至於UL 2900的風險控管程度較為彈性,卻也未必適用於多數的連網裝置,儘管目前在業界較多應用於網路攝影機,但是針對智慧家電等更廣泛的範疇,則不見得適用。薛正指出,現階段市場上可見的是AVS(Amazon Voice Service)與UL IoT Star Rating計畫。AVS是由Amazon所提出,列出安全性需求,整合Alexa語音服務的供應商必須遵循,目前UL即為其全球授權實驗室夥伴之一;IoT Star Rating則是由UL所提出的新計畫。 市售的眾多消費性電子設備,使用者根本難以判斷安全度,優力國際安全認證提出IoT Star Rating計畫的理念,目標並非為打造滴水不漏的安全連網裝置,較偏向是基本資安能力的認證,讓消費者得以有簡單的方式鑑別安全等級。

畢竟資安相當複雜又難以達到全面性,技術能力再強大的廠商也無法保證百分之百不會遭受攻擊,IoT Star Rating計畫可以證明的是有能力排除已知型漏洞攻擊手法。事實上,物聯網集結的龐大殭屍網路,往往並非攻擊者擁有強大的技術能力,大多數是利用諸如連網設備出廠預設登入帳密進行控制,抑或是前端操作介面設計不良進行滲透,只要排除這些基本弱點,就有機會控制住八成以上的連網裝置資安風險。

以往的安全性認證制度須投入的金額較高,對於物聯網產品來說過於不切實際,因此降低服務價格,讓多數的製造商得以負擔,同時驗證時間縮短到以星期為單位,以提升IoT Star Rating計畫的接受度。經過驗證通過後,在產品外觀上會有明顯可見的標誌,藉此讓消費者目視即可識別。

「從我接觸客戶的經驗,台灣有許多ODM/OEM製造商已有投入建立安全性措施,遭遇到的困境並非功能性問題,而是沒有公信力的認可。」薛正強調。IoT Star Rating計畫中提出的安全規範涵蓋多個層面,例如軟體安全性更新,必須經過程式碼檢驗,以及避免明碼傳輸,防止被攻擊者攔截封包後植入木馬程式,進而操控連網裝置。裝置上若存放的資料具機密性,必須予以加密。制定諸如此類的檢驗規範,期能藉此協助ODM/OEM製造商,有能力證明產品設計已具備嚴謹的安全防護措施,來提高市場競爭優勢。

這篇文章讓你覺得滿意不滿意
送出
相關文章
軟硬整合跨界抗威脅 IoT資安大會師
分區隔離網路為基礎 雲端分析防偽裝者入侵
實體安全晶片把關 守護最後一哩路
實體隔離操作環境 雲端分析阻絕高風險存取
出廠即須可抗硬體入侵 IoT裝置安全從韌體做起
留言
顯示暱稱:
留言內容:
送出
熱門點閱文章