隨著大大小小的物聯網設備推出,資訊安全問題的重要性也隨之提升。從應用程式、韌體到硬體IC,皆有駭客有機可趁之處。除了在資料傳輸過程中需要嚴密監控,設備安全性的檢測也是一大重點。
Micro Focus企業資訊安全資深技術顧問李柏厚認為,有許多企業在加裝物聯網安全設備之後,發現資安意外依然發生,原因就在於其實加裝設備並不足以維護資訊安全;關鍵在於相關設備驗證與產品的安全性是否都有經過完整的檢測。若是物聯網設備在基本體質上是安全的,往後的資訊安全維護便會相對簡單許多。
|
▲Micro Focus企業資訊安全資深技術顧問李柏厚認為,若IoT設備有通過基本的安全驗證,往後的資安維護便會相對簡單許多。 |
李柏厚指出,物聯網的概念相當簡單,只是把設備透過網路串連在一起。但隨著各種設備資料上傳雲端管理控制的需求提升,市面上的物聯網設備也出現了爆炸性的成長。其中,設備架構涉及到大型的機台設備與小型的感應卡;而透過不同設備所收集到的數據都將進一步傳輸到後端分析,在此過程之中便出現許多資安弱點。
針對物聯網設備,常見的入侵方式分為:硬體入侵、韌體逆向工程以及應用介面入侵。其中,儘管透過硬體入侵的方式相對較為困難,但是在硬體開發過程中,多半會留下接口以供往後工程人員除錯與監控之用,因此勢必會留下安全漏洞。正因如此,在物聯網架構上,從前端的應用層、運作及控制物聯網的架構、連線層、收集器,一直到終端設備中的分散感應器及執行器皆是維護資訊安全需要考量的重點。
李柏厚也提到,在物聯網設備的發展中,許多開發商專注於功能面的開發,像是推出物聯網設備的新功能、新應用,卻往往忽略了在開發過程中會有安全性的問題。
在物聯網資訊的傳輸過程中,端點設備的安全維護格外重要。在軟體與硬體的拋轉過程中,韌體與系統核心功能的原始碼設定扮演維護資訊安全的關鍵角色。
為維護物聯網安全,必須同時維護設備安全與平台安全性。透過源碼掃描(白箱測試)與網站滲透(黑箱測試),能預防應用程式所產生的問題;儲存資料、連線與應用程式的加密更不容忽略。而針對韌體開發、各式檢驗測試與系統操作分析,Micro Focus皆有提供相對應的解決方案,協助企業做到完整的安全防護。