智能应用 影音
筛选条件▾

物联网设备漏洞频传 安华联网吁从提升资安思维着手

2020/11/03 - DIGITIMES企划

在消费市场的需求带动下,2019年物联网设备数量已破260亿。物联网发展从个人装置到企业设备、从工业系统到商业应用皆有需求,因此各大企业纷纷加入物联网投资行列,特别是在COVID-19(新冠肺炎)之后所带动的零接触经济,更是驱动各产业在物联网商机的蓬勃发展,如媒体业相信IoT对公司成长扮演至关重要角色,2021年零售业将运用IoT客制消费者临店体验,因此预估2025年使用量将突破750亿。只是商机无限的物联网,却也早成为黑客锁定的攻击目标,如2016年爆发的Mirai殭尸病毒,即在全球感染超过数十万台网络摄影机,最终对特定目标发动超过1Tb流量的DDoS攻击。

安华联网科技产品经理陈哲妤认为,物联网装置会频频遭到黑客入侵,成为发动资安攻击跳板的原因,关键在于产品本身的安全性不足。首先,不少业者为抢攻市场商机,产品问世前没有经过完整资安测试,以至于存在许多未经修补的漏洞。其次,消费者购买之后,多半没有更新口令的习惯,更遑论定时更新韧体或修补程序,自然也给予黑客可趁之机。安华联网在连网产品资安评估解决方案领域,有非常多的经验与技术能量,更有国际级的实验室,可为企业提供最完整的服务。

导入安全开发流程(SSDLC),落实产品安全检测,可减少漏洞存在

根据安华联网多年投入连网产品检测的经验,目前物联网设备面临攻击的三大面向,分别是设备本身、通讯协议、软件等,其中又以软件最常被忽略。在考量进入市场速度、成本、供应商等因素下,多数物联网设备都采用开源软件进行开发,但是也衍生出弱点风险、许可证的法律问题。不少人以为,使用开源软件是免费,但大部分软件授权协议中,都已提到仅适用于非商业用途,因此目前已有不少争议出现。

事实上开源软件许可证的法律框架是复杂的,因每个类别的原始码对及衍生产品的使用都有不同限制或协议,若是在无意之间采用开源软件却没有遵守其要求协议的话,可能会导致法律问题或生产力的损失。另外,过去几年开源软件漏洞数量持续攀升,但是企业似乎没有注意到此问题。

陈哲妤说,全球各地会频频发生物联网设备遭到入侵关键,除黑客攻击手法进化之外,设计师在开发过程中缺乏资安意识,也是另个重要的因素。最常遇到的状况,莫过于开发过程引用第三方元件,却忽略第三方元件也存在弱点,以及不知道应该如何找出未知弱点。其实产品上市前,需考量的安全面向应提早至开发流程中进行规划,着手的重点可由满足合规规范、进行产品Pre-test,以及引进第三方检测评估等面向着手。我们可提供资安合规顾问服务、资安检测评估,以及完整的资安产品与工具。

安华联网建议企业在进军物联网市场时,可落实以下几项动作:将资安提前至开发流程:将资安意识提前至开发过程中执行,开发过程管理并修补发现弱点风险;在开发过程找出产品弱点:找出第三方套件的已知弱点,挖掘尚未被发现的未知弱点;以及善用工具满足不同规范需求:透过合规工具满足安全测试需求,运用涵盖率广的工具满足不同产业需求等,才能避免物联网产品遭受资安攻击。


图说:安华联网科技产品经理陈哲妤。