科技产业报订阅
event
 

安华联网推DevSecOps安全关键动能 资安难题迎刃解

安华联网科技产品开发处处长暨开发总监李育杰表示,透过专利的智能式模糊测试技术,能有效补强客制化协议的资安检测缺口,降低IoT设备的资安风险。

身处物联网(IoT)时代,多数设备制造商或品牌商力推连网产品,并加快产品上市速度,但求快之余,难免对资安质量有所忽略,以致许多存在弱点的设备流向市面,履履被国外政府或黑客揭露产品上的资安弱点,除影响消费者权益外,甚至被提起诉讼,连带造成厂商的商誉与品牌价值受损。

肇因政府法规、资安标准与采购商要求日益严谨,迫使设备商面临愈来愈高的法遵需求,既需要做功能性测试,还得导入安全软件开发生命周期(Secure SDLC;SSDLC),以通过资安要求。无奈多数厂商的资安维运与检测能量仍待提升,尚不足以应付层层资安法遵考验。有监于此,长年对连网产品资安议题著力至深的安华联网科技,推出HERCULES SecFlow与SecDevice产品资安合规自动化平台,协助企业实现开发安全维运(DevSecOps)流程,可有效符合国际资安标准与终端采购客户的资安要求。

产品资安评估兼具DevSecOps敏捷开发,完整满足资安法遵需求

安华联网产品开发处处长暨开发总监李育杰表示,近年各国资安法令与政策的演进快速,包括台湾卫福部、美国FDA、欧盟相继对医疗器材制造商祭出资安规范,加州推出全美第一套IoT装置安全法案(SB-327),美国国防部发表网络安全成熟度模型认证(CMMC),及多家国际连网设备品牌商对其供应商提出产品资安要求;众多规章密集出炉,加重了设备制造商的产品上市与法遵应变压力。

综观接踵而至的法令与标准,厂商要以DevSecOps这样更敏捷的开发方式,争取产品上市时间,又必须兼顾产品的资安质量,因此,可采用DevSecOps这样的方法来实现与应对;但要实现这样的方法,须同时仰赖产品风险评估、软件安全开发、弱点检测技术等人才来执行,三者缺一不可;对多数厂商来说,欲建立前述专业团队的门槛与成本偏高,加上建立期程大约需至少一至两年的时间,堪称重大挑战。

安华联网的HERCULES产品资安合规自动化平台,设计初衷正是协助客户降低进入门槛、缩短期程。其中SecFlow是产品资安管理系统,要解决的是客户对于「资安规范」的需求,并连结开发团队、资安团队及维运团队三个角色之间的信息分享与协同合作,可帮助客户快速建立DevSecOps运行机制,同时确保开发流程符合资安法规,譬如建立产品资安风险评估机制,并实时向外部获取最新的产品资安威胁信息,以确保所有产品的资安风险可以被完整掌握;除辅助客户快速建立资安制度外,SecFlow还提供开源函式库风险分析、产品弱点管理、资安事件应变处理等多项关键功能,协助产品开发团队、资安团队及维运团队快速拟订相关因应对策。

至于SecDevice为弱点检测自动化工具,解决的是DevSecOps对于产品开发与检测的时效问题,主要针对开发团队完成的产品,透过网络端模拟黑客的攻击手法,快速且精准的进行弱点的扫描与测试,使产品在部署阶段、上市前,做好产品资安质量的完整确认。

汇聚多项专利技术,SecDevice展现独特的模糊测试能量

李育杰指出,市场上有一些同样以弱点检测或扫描为诉求的工具,但设计理念多围绕于一般信息系统,适合IT人员采用,解决的是技术问题,仅能补足个别检测缺口;反观HERCULES SecFlow与SecDevice从法规面出发,强调法规要求的项目内容与对应,解决的是物联网相关产品资安法遵议题,使产品能更快的进入市场。

「更重要的,HERCULES是100%台湾自主研发的产品资安合规解决方案,不仅发挥最高的专业服务能力,更蕴含独特的AI技术。」李育杰进一步说,「以资安的弱点检测为例,包含两个主要方法,一是弱点扫描,藉由比对国际弱点资料库(CVE)来发现已知问题,另一是模糊测试,意在探索未知的资安弱点,价值与技术门槛更高。」

而SecDevice就是主打以模糊测试来发掘物联网产品上的未知资安弱点,而这是由多项专利技术堆积而成。首先是「攻击测试案例的产生」专利,会依据独有的算法,产生不重复且最佳的测试项目,对受测设备进行最有效的弱点测试,使其以最精简的内容与时间,完成验证系统稳定性与错误处理的能力。其次是「受测设备的状态分析」,如医生探测病患的呼吸频率般,针对受测设备的反应状况做学习与分析,使侦测弱点的准确度更高,减少以往测试人员须经常处理的误判问题。

此外,SecDevice更加上AI自动学习技术,使其能够面对越来越多不同应用或类型的物联网设备与情境,对未来5G或厂商自行开发的网络协议仍可以很快速且轻易的进行弱点测试。也因为上述三项独到的技术,相较市面上其它工具,让SecDevice可以提供更快、更准确且更完整的协助客户完成产品的资安检测,符合DevSecOps的敏捷式精神。

谈到SecDevice现今用户结构,一部分为连网设备开发商,他们原来仅具备功能性测试能力,导入SecDevice后2个月内的时间,即建立起产品资安检测能力;另一部分为品牌公司客户,需针对众多的产品进行测试与验收工作,并将测试结果回馈给不同的软件开发团队,测试的量相对更大,但与前者的导入与建置时间相同。

一般而言,企业从无到有要建立自已的产品资安检测团队,平均而言至少须有5位专职人员,采购5套以上的商用专业检测工具,起码耗时一到两年的时间;SecDevice的最大价值,便是让原本高耸的门槛大大的降低,使企业更快拥有产品资安质量确保的能力。

借助开源函式库风险分析,即早并加速排除资安风险

SecFlow亦涵盖诸多细致功能,可协助客户提前在开发阶段就把资安问题减到最少,降低了上市后发现问题再来修补的成本。以「开源函式库风险分析」模块为例,开发团队预先将所有产品相关的信息内建于系统,并不断的优化其「关联性」,因此,每当维运团队接获产品被通报有漏洞发生时,资安团队在一天内就能协助开发团队彻查与了解影响范围,两周内共同把相关问题处理完毕;以往企业都是维运或资安团队听闻资安事件后,才分派其它团队执行调查,至少要花三个月的时间,且分工、责任不明,甚至无法解决问题,而SecFlow就是要连结起开发、资安及维运三个团队间的合作,共同解决现今各式各样的产品资安问题。

李育杰表示,以目前整体产品销售状况来看,SecFlow与SecDevice除了台湾客户品牌设备商与制造商都有导入成功案例外,在中国、日本及印度也都有国际大厂陆续采购与使用;依据每个案例的导入经验,他建议,假使台湾企业担心因导入DevSecOps而打乱产品上市步调,不妨采取渐进式做法,先从测试(SecDevice)开始确保资安质量,接著布建产品资安管理流程与机制(SecFlow),最终取得产品资安验证(资安法遵服务),据此优化流程、从根本上调理好企业的资安体质。

值得一提,HERCULES SecFlow & SecDevice挟著独到设计理念,屡屡成为国际奖项常胜军。SecFlow、SecDevice 连续两年分别荣获「InfoSecurity Product Guide」的资安事件管理、物联网等类别金质奖项,以及「CyberSecurity Excellence Awards」的漏洞管理与资安事件应变处理、嵌入式装置与工控设备资安等金奖殊荣。

不仅如此,今年两项产品在「InfoSec Awards」有所斩获,SecFlow 拿下「弱点与事件管理类别」最佳产品奖,SecDevice获得「物联网工控类别」次世代产品奖。究其主因,在于它们能够精准、有效地协助客户完成安全的软件开发流程建立与产品资安检测工作。

  •     按赞加入DIGITIMES智能应用粉丝团