威脅建模
- Advertisment -
專訪電信技術中心副執行長林炫佑 系統級檢測方法打造安全物聯網
財團法人電信技術中心副執行長林炫佑指出,國發會正在推動亞洲矽谷計畫,倡導物聯網應用,而強化物聯網的資訊安全,則是其中不可或缺的一環。但物聯網應用種類繁多,涉及的設備型態也十分多樣化,這使得守護物聯網資安的工作變得千頭萬緒,產業鏈的各方都必須承擔一定的責任。系統層級的資安檢測標準,則可協助設備製造商、使用者在實現安全物聯網的過程中,逐步理出頭緒,進而落實對應的防禦機制。
具體來說,要實現系統層級的物聯網安全,資安團隊必須先從威脅模型的建立著手,找出可能危害系統安全的資安威脅型態;第二步則是針對這些資安威脅型態進行系統漏洞偵測,找出防禦脆弱的環節;第三步則是針對這些環節進行滲透測試,確認是否能成功滲透。最後則是對此漏洞可能造成多大的損害進行衝擊評估。這套標準作業流程可用來評估物聯網系統的安全程度,且根據電信技術中心的經驗,目前市面上有很多物聯網設備都是有漏洞的,而且很難修補。
林炫佑分析,這些漏洞之所以難以修補,主要原因有以下幾個:一、系統過於老舊,早已有大量漏洞被發現,但原廠已停止對這些系統提供修補或維護;二、系統在設計時沒有把資安納入考量,當發現漏洞時,修補的代價太高。因此,當企業或組織在採購、招標時,就應該把資安規格寫入招標採購書內,這樣供應商才會在產品開發時,把資安納入設計考量。
財團法人電信技術中心副執行長林炫佑表示,系統層級的資安檢測標準可協助掌握物聯網系統的安全風險。
打造安全物聯網 系統層級檢測方法提對策
對有意導入物聯網應用的企業或組織而言,資安是不容妥協的重點。但若要守護物聯網的資安,光是靠防火牆或防毒軟體這類工具,是不夠的。資安是一個系統層級的問題,因此必須要有系統層級的對策。財團法人電信技術中心(Telecom Technology Center)正與國際大廠及各領域的成員合作,共同制定資安檢測標準,並發展對應的工具跟方法論。而為了鼓勵各界利用,此標準為開放標準,任何組織或企業都可以利用這套檢測標準,來為自家的物聯網應用進行全面性的健康檢查。
財團法人電信技術中心副執行長林炫佑表示,系統層級的資安檢測標準可協助物聯網設備製造、系統整合,甚至是應用服務提供者,掌握物聯網系統的安全風險,進而落實對應的防禦措施。
財團法人電信技術中心副執行長林炫佑指出,國發會正在推動亞洲矽谷計畫,倡導物聯網應用,而強化物聯網的資訊安全,則是其中不可或缺的一環。但物聯網應用種類繁多,涉及的設備型態也十分多樣化,這使得守護物聯網資安的工作變得千頭萬緒,產業鏈的各方都必須承擔一定的責任。系統層級的資安檢測標準,則可協助設備製造商、使用者在實現安全物聯網的過程中,逐步理出頭緒,進而落實對應的防禦機制。
具體來說,要實現系統層級的物聯網安全,資安團隊必須先從威脅模型的建立著手,找出可能危害系統安全的資安威脅型態;第二步則是針對這些資安威脅型態進行系統漏洞偵測,找出防禦脆弱的環節;第三步則是針對這些環節進行滲透測試,確認是否能成功滲透。最後則是對此漏洞可能造成多大的損害進行衝擊評估。
這套標準作業流程可用來評估物聯網系統的安全程度,且根據電信技術中心的經驗,目前市面上有很多物聯網設備都是有漏洞的,而且很難修補。
林炫佑分析,這些漏洞之所以難以修補,主要原因有以下幾個:一、系統過於老舊,早已有大量漏洞被發現,但原廠已停止對這些系統提供修補或維護;二、系統在設計時沒有把資安納入考量,當發現漏洞時,修補的代價太高。因此,當企業或組織在採購、招標時,就應該把資安規格寫入招標採購書內,這樣供應商才會在產品開發時,把資安納入設計考量。
簡言之,要實現物聯網安全,使用者、系統整合商、設備供應商,乃至更上游的晶片業者,每個成員都有自己的守備區,只有當整個生態系統中的各方都扮演好自己在資安上該扮演的角色,物聯網系統的安全才能得到保障。
目前電信技術中心所提出的檢測標準跟分析工具,已經獲得超過30家設備商、系統整合商和地方政府採用,而為了進一步吸引更多廠商採納此標準,電信技術中心採取開放策略,將相關文件、資料放在網路上供有興趣的使用者參考。電信技術中心也會根據使用者的回饋意見,持續進行標準更新,讓此一標準跟相關工具不斷與時俱進。