在消費市場需求的帶動下,2019年物聯網裝置數量已突破260億。物聯網正逐漸擴張到各個領域,從個人裝置到企業裝置、從工業系統到商業應用均加入了物聯網,因此各大企業也紛紛加入物聯網投資行列,特別是因COVID-19(新冠肺炎)盛行的零接觸經濟,更進一步驅動了物聯網在各產業的蓬勃發展,媒體業相信IoT對公司成長扮演至關重要角色,2021年零售業將運用IoT為消費者定製到店體驗,因此預估2025年物聯網裝置數量將突破750億。然而蘊含無限商機的物聯網,卻早已成為駭客鎖定的攻擊目標,如2016年爆發的Mirai殭屍病毒,造成全球數十萬臺網絡攝像機受感染,同時還針對特定目標發動超過1Tb流量的DDoS攻擊。
仲至資訊產品經理陳哲妤女士認為,物聯網裝置之所以頻頻遭到駭客入侵併成為駭客發動攻擊的跳板,關鍵原因為產品本身的安全性不足。首先,不少業者為了加快搶佔市場商機,從而在產品上市前不實施完整的網路資訊保安測試,因此導致了許多未經修補的漏洞湧現。其次,消費者購買產品之後,他們普遍都沒有更新密碼的習慣,更遑論定時更新韌體或修補程式,這自然而然地讓駭客有機可乘。仲至資訊在連網產品網路資訊保安評估解決方案領域,不僅擁有豐富的產業成功經驗與技術研發成果,同時還擁有國際先進的網路安全實驗室,可為企業單位提供完整的一站式網路資訊保安合規解決方案服務。
匯入安全開發流程(SSDLC),落實產品安全檢測,能更有效地減少漏洞
根據仲至資訊多年的連網產品檢測經驗總結,目前物聯網裝置所遭受的攻擊總括為三大類,分別為裝置本身、通訊協議、軟體,其中軟體攻擊經常被忽略。基於對上市速度、成本、供應商等因素的考量,多數物聯網裝置都採用開源軟體進行開發,因而這就衍生出了漏洞風險、許可證的法律問題。不少人認為開源軟體有免費使用權,但是大部分的開源軟體都已在授權協議中說明僅適用於非商業用途,因此這導致了不少爭議問題。
事實上,開源軟體許可證的法律框架甚為複雜,因為每個類別的原始碼針對衍生產品的使用都有不同的限制或協議,若無意間採用了開源軟體卻沒有遵守協議要求,這可能會導致法律問題或生產力損失。另外,過去幾年來開源軟體漏洞數量一直在持續攀升,但是很多企業單位似乎沒有注意到此問題。
陳哲妤女士說,全球各地頻頻發生物聯網裝置攻擊事件,究其原因,除了駭客攻擊手法的進化之外,另外一個主因就是設計師在開發過程中缺乏網路資訊保安意識。目前產業內普遍存在這樣的問題,在開發過程採用第三方元件,然而卻忽略了存在於第三方元件的漏洞,同時採用者也不知道應該如何找出未知漏洞。其實,在產品上市前,需考量的安全標準規劃應提前在開發流程中執行,執行重點主要聚焦於滿足合規規範、產品安全預測以及引進第三方權威檢測評估等。仲至資訊可提供一站式的網路資訊保安合規顧問服務、網路資訊保安檢測評估服務,以及完整的網路資訊保安產品與配套工具。
各企業單位在進軍物聯網市場時,為了減少網路資訊保安方面的損失和成本,並使效益達到最大化,仲至資訊建議各企業單位應該切實落實好以下幾項事項:提前將網路資訊保安標準匯入到開發流程,即提前將網路資訊保安意識在開發過程中執行,在開發過程中管理並修補所發現的漏洞;在開發過程中找出產品漏洞,即找出第三方套件的已知漏洞,並挖掘尚未被發現的未知漏洞;合理且有效地利用工具來滿足不同規範需求,透過運用安全合規評估工具來滿足安全測試需求,並運用涵蓋廣泛安全標準的工具來滿足不同產業需求及其他需求,進而更好地讓物聯網產品免遭網路安全攻擊。
文章來源:仲至資訊科技
原文網址:https://www.onwardsecurity.com/laboratory/item/35
