物联网设备漏洞频传 安华联网吁从提升网安思维着手

2020/11/03 - DIGITIMES企划

在消费市场的需求带动下，2019年物联网设备数量已破260亿。物联网发展从个人装置到企业设备、从工业系统到商业应用皆有需求，因此各大企业纷纷加入物联网投资行列，特别是在COVID-19(新冠肺炎)之后所带动的零接触经济，更是驱动各产业在物联网商机的蓬勃发展，如媒体业相信IoT对公司成长扮演至关重要角色，2021年零售业将运用IoT定制消费者临店体验，因此预估2025年使用量将突破750亿。只是商机无限的物联网，却也早成为黑客锁定的攻击目标，如2016年爆发的Mirai殭屍病毒，即在全球感染超过数十万台网络摄影机，最终对特定目标发动超过1Tb流量的DDoS攻击。

安华联网科技产品经理陈哲妤认为，物联网装置会频频遭到黑客入侵，成为发动网安攻击跳板的原因，关键在于产品本身的安全性不足。首先，不少业者为抢攻市场商机，产品问世前没有经过完整网安测试，以至于存在许多未经修补的漏洞。其次，消费者购买之后，多半没有更新口令的习惯，更遑论定时更新韧体或修补程序，自然也给予黑客可趁之机。安华联网在联网产品网安评估解决方案领域，有非常多的经验与技术能量，更有国际级的实验室，可为企业提供最完整的服务。

导入安全开发流程(SSDLC)，落实产品安全检测，可减少漏洞存在

根据安华联网多年投入联网产品检测的经验，目前物联网设备面临攻击的三大面向，分别是设备本身、通讯协议、软件等，其中又以软件最常被忽略。在考量进入市场速度、成本、供应商等因素下，多数物联网设备都采用开源软件进行开发，但是也衍生出弱点风险、许可证的法律问题。不少人以为，使用开源软件是免费，但大部分软件授权协议中，都已提到仅适用于非商业用途，因此目前已有不少争议出现。

事实上开源软件许可证的法律框架是复杂的，因每个类别的原始码对及衍生产品的使用都有不同限制或协议，若是在无意之间采用开源软件却没有遵守其要求协议的话，可能会导致法律问题或生产力的损失。另外，过去几年开源软件漏洞数量持续攀升，但是企业似乎没有注意到此问题。

陈哲妤说，全球各地会频频发生物联网设备遭到入侵关键，除黑客攻击手法进化之外，设计师在开发过程中缺乏网安意识，也是另个重要的因素。最常遇到的状况，莫过于开发过程引用第三方元件，却忽略第三方元件也存在弱点，以及不知道应该如何找出未知弱点。其实产品上市前，需考量的安全面向应提早至开发流程中进行规划，着手的重点可由满足合规规范、进行产品Pre-test，以及引进第三方检测评估等面向着手。我们可提供网安合规顾问服务、网安检测评估，以及完整的网安产品与工具。

安华联网建议企业在进军物联网市场时，可落实以下几项动作：将网安提前至开发流程：将网安意识提前至开发过程中执行，开发过程管理并修补发现弱点风险；在开发过程找出产品弱点：找出第三方套件的已知弱点，挖掘尚未被发现的未知弱点；以及善用工具满足不同规范需求：透过合规工具满足安全测试需求，运用涵盖率广的工具满足不同产业需求等，才能避免物联网产品遭受网安攻击。


图说：安华联网科技产品经理陈哲妤。