安华联网推DevSecOps安全关键动能 网安难题迎刃解

安华联网科技产品开发处处长暨开发总监李育杰表示，透过专利的智能式模糊测试技术，能有效补强定制化协议的网安检测缺口，降低IoT设备的网安风险。

身处物联网(IoT)时代，多数设备制造商或品牌商力推联网产品，并加快产品上市速度，但求快之余，难免对网安品质有所忽略，以致许多存在弱点的设备流向市面，履履被国外政府或黑客揭露产品上的网安弱点，除影响消费者权益外，甚至被提起诉讼，连带造成厂商的商誉与品牌价值受损。

肇因政府法规、网安标准与采购商要求日益严谨，迫使设备商面临愈来愈高的法遵需求，既需要做功能性测试，还得导入安全软件开发生命周期(Secure SDLC；SSDLC)，以通过网安要求。无奈多数厂商的网安维运与检测能量仍待提升，尚不足以应付层层网安法遵考验。有监于此，长年对联网产品网安议题着力至深的安华联网科技，推出HERCULES SecFlow与SecDevice产品网安合规自动化平台，协助企业实现开发安全维运(DevSecOps)流程，可有效符合国际网安标准与终端采购客户的网安要求。

产品网安评估兼具DevSecOps敏捷开发，完整满足网安法遵需求

安华联网产品开发处处长暨开发总监李育杰表示，近年各国网安法令与政策的演进快速，包括台湾卫福部、美国FDA、欧盟相继对医疗器材制造商祭出网安规范，加州推出全美第一套IoT装置安全法案(SB-327)，美国国防部发表网络安全成熟度模型认证(CMMC)，及多家国际联网设备品牌商对其供应商提出产品网安要求；众多规章密集出炉，加重了设备制造商的产品上市与法遵应变压力。

综观接踵而至的法令与标准，厂商要以DevSecOps这样更敏捷的开发方式，争取产品上市时间，又必须兼顾产品的网安品质，因此，可采用DevSecOps这样的方法来实现与应对；但要实现这样的方法，须同时仰赖产品风险评估、软件安全开发、弱点检测技术等人才来执行，三者缺一不可；对多数厂商来说，欲建立前述专业团队的门槛与成本偏高，加上建立期程大约需至少一至两年的时间，堪称重大挑战。

安华联网的HERCULES产品网安合规自动化平台，设计初衷正是协助客户降低进入门槛、缩短期程。其中SecFlow是产品网安管理系统，要解决的是客户对于「网安规范」的需求，并连结开发团队、网安团队及维运团队三个角色之间的信息分享与协同合作，可帮助客户快速建立DevSecOps运作机制，同时确保开发流程符合网安法规，譬如建立产品网安风险评估机制，并实时向外部获取最新的产品网安威胁信息，以确保所有产品的网安风险可以被完整掌握；除辅助客户快速建立网安制度外，SecFlow还提供开源函式库风险分析、产品弱点管理、网安事件应变处理等多项关键功能，协助产品开发团队、网安团队及维运团队快速拟订相关因应对策。

至于SecDevice为弱点检测自动化工具，解决的是DevSecOps对于产品开发与检测的时效问题，主要针对开发团队完成的产品，透过网络端模拟黑客的攻击手法，快速且精准的进行弱点的扫描与测试，使产品在部署阶段、上市前，做好产品网安品质的完整确认。

汇聚多项专利技术，SecDevice展现独特的模糊测试能量

李育杰指出，市场上有一些同样以弱点检测或扫描为诉求的工具，但设计理念多围绕于一般信息系统，适合IT人员采用，解决的是技术问题，仅能补足个别检测缺口；反观HERCULES SecFlow与SecDevice从法规面出发，强调法规要求的项目内容与对应，解决的是物联网相关产品网安法遵议题，使产品能更快的进入市场。

「更重要的，HERCULES是100%台湾自主研发的产品网安合规解决方案，不仅发挥最高的专业服务能力，更蕴含独特的AI技术。」李育杰进一步说，「以网安的弱点检测为例，包含两个主要方法，一是弱点扫描，藉由比对国际弱点数据库(CVE)来发现已知问题，另一是模糊测试，意在探索未知的网安弱点，价值与技术门槛更高。」

而SecDevice就是主打以模糊测试来发掘物联网产品上的未知网安弱点，而这是由多项专利技术堆积而成。首先是「攻击测试案例的产生」专利，会依据独有的演算法，产生不重复且最佳的测试项目，对受测设备进行最有效的弱点测试，使其以最精简的内容与时间，完成验证系统稳定性与错误处理的能力。其次是「受测设备的状态分析」，如医生探测病患的呼吸频率般，针对受测设备的反应状况做学习与分析，使侦测弱点的准确度更高，减少以往测试人员须经常处理的误判问题。

此外，SecDevice更加上AI自动学习技术，使其能够面对越来越多不同应用或类型的物联网设备与情境，对未来5G或厂商自行开发的网络协议仍可以很快速且轻易的进行弱点测试。也因为上述三项独到的技术，相较市面上其他工具，让SecDevice可以提供更快、更准确且更完整的协助客户完成产品的网安检测，符合DevSecOps的敏捷式精神。

谈到SecDevice现今用户结构，一部分为联网设备开发商，他们原来仅具备功能性测试能力，导入SecDevice后2个月内的时间，即建立起产品网安检测能力；另一部分为品牌公司客户，需针对众多的产品进行测试与验收工作，并将测试结果回馈给不同的软件开发团队，测试的量相对更大，但与前者的导入与建置时间相同。

一般而言，企业从无到有要建立自已的产品网安检测团队，平均而言至少须有5位专职人员，采购5套以上的商用专业检测工具，起码耗时一到两年的时间；SecDevice的最大价值，便是让原本高耸的门槛大大的降低，使企业更快拥有产品网安品质确保的能力。

借助开源函式库风险分析，即早并加速排除网安风险

SecFlow亦涵盖诸多细致功能，可协助客户提前在开发阶段就把网安问题减到最少，降低了上市后发现问题再来修补的成本。以「开源函式库风险分析」模块为例，开发团队预先将所有产品相关的信息内建于系统，并不断的优化其「关联性」，因此，每当维运团队接获产品被通报有漏洞发生时，网安团队在一天内就能协助开发团队彻查与了解影响范围，两周内共同把相关问题处理完毕；以往企业都是维运或网安团队听闻网安事件后，才分派其他团队执行调查，至少要花三个月的时间，且分工、责任不明，甚至无法解决问题，而SecFlow就是要连结起开发、网安及维运三个团队间的合作，共同解决现今各式各样的产品网安问题。

李育杰表示，以目前整体产品销售状况来看，SecFlow与SecDevice除了台湾客户品牌设备商与制造商都有导入成功案例外，在国内、日本及印度也都有国际大厂陆续采购与使用；依据每个案例的导入经验，他建议，假使台湾企业担心因导入DevSecOps而打乱产品上市步调，不妨采取渐进式做法，先从测试(SecDevice)开始确保网安品质，接着布建产品网安管理流程与机制(SecFlow)，最终取得产品网安验证(网安法遵服务)，据此优化流程、从根本上调理好企业的网安体质。

值得一提，HERCULES SecFlow & SecDevice挟着独到设计理念，屡屡成为国际奖项常胜军。SecFlow、SecDevice 连续两年分别荣获「InfoSecurity Product Guide」的网安事件管理、物联网等类别金质奖项，以及「CyberSecurity Excellence Awards」的漏洞管理与网安事件应变处理、嵌入式装置与工控设备网安等金奖殊荣。

不仅如此，今年两项产品在「InfoSec Awards」有所斩获，SecFlow 拿下「弱点与事件管理类别」最佳产品奖，SecDevice获得「物联网工控类别」次时代产品奖。究其主因，在于它们能够精准、有效地协助客户完成安全的软件开发流程建立与产品网安检测工作。