物聯網設備漏洞頻傳 安華聯網籲從提升資安思維著手
在消費市場的需求帶動下,2019年物聯網設備數量已破260億。物聯網發展從個人裝置到企業設備、從工業系統到商業應用皆有需求,因此各大企業紛紛加入物聯網投資行列,特別是在COVID-19(新冠肺炎)之後所帶動的零接觸經濟,更是驅動各產業在物聯網商機的蓬勃發展,如媒體業相信IoT對公司成長扮演至關重要角色,2021年零售業將運用IoT客製消費者臨店體驗,因此預估2025年使用量將突破750億。只是商機無限的物聯網,卻也早成為駭客鎖定的攻擊目標,如2016年爆發的Mirai殭屍病毒,即在全球感染超過數十萬台網路攝影機,最終對特定目標發動超過1Tb流量的DDoS攻擊。
安華聯網科技產品經理陳哲妤認為,物聯網裝置會頻頻遭到駭客入侵,成為發動資安攻擊跳板的原因,關鍵在於產品本身的安全性不足。首先,不少業者為搶攻市場商機,產品問世前沒有經過完整資安測試,以至於存在許多未經修補的漏洞。其次,消費者購買之後,多半沒有更新密碼的習慣,更遑論定時更新韌體或修補程式,自然也給予駭客可趁之機。安華聯網在連網產品資安評估解決方案領域,有非常多的經驗與技術能量,更有國際級的實驗室,可為企業提供最完整的服務。
導入安全開發流程(SSDLC),落實產品安全檢測,可減少漏洞存在
根據安華聯網多年投入連網產品檢測的經驗,目前物聯網設備面臨攻擊的三大面向,分別是設備本身、通訊協議、軟體等,其中又以軟體最常被忽略。在考量進入市場速度、成本、供應商等因素下,多數物聯網設備都採用開源軟體進行開發,但是也衍生出弱點風險、許可證的法律問題。不少人以為,使用開源軟體是免費,但大部分軟體授權協議中,都已提到僅適用於非商業用途,因此目前已有不少爭議出現。
事實上開源軟體許可證的法律框架是複雜的,因每個類別的原始碼對及衍生產品的使用都有不同限制或協議,若是在無意之間採用開源軟體卻沒有遵守其要求協議的話,可能會導致法律問題或生產力的損失。另外,過去幾年開源軟體漏洞數量持續攀升,但是企業似乎沒有注意到此問題。
陳哲妤說,全球各地會頻頻發生物聯網設備遭到入侵關鍵,除駭客攻擊手法進化之外,設計師在開發過程中缺乏資安意識,也是另個重要的因素。最常遇到的狀況,莫過於開發過程引用第三方元件,卻忽略第三方元件也存在弱點,以及不知道應該如何找出未知弱點。其實產品上市前,需考量的安全面向應提早至開發流程中進行規劃,著手的重點可由滿足合規規範、進行產品Pre-test,以及引進第三方檢測評估等面向著手。我們可提供資安合規顧問服務、資安檢測評估,以及完整的資安產品與工具。
安華聯網建議企業在進軍物聯網市場時,可落實以下幾項動作:將資安提前至開發流程:將資安意識提前至開發過程中執行,開發過程管理並修補發現弱點風險;在開發過程找出產品弱點:找出第三方套件的已知弱點,挖掘尚未被發現的未知弱點;以及善用工具滿足不同規範需求:透過合規工具滿足安全測試需求,運用涵蓋率廣的工具滿足不同產業需求等,才能避免物聯網產品遭受資安攻擊。