身處物聯網(IoT)時代���,多數設備制造商或品牌商力推連網產品����,并加快產品上市速度��,但求快之余��,難免對信息安全質量有所忽略�����,以致許多存在弱點的設備流向市面��,履履被國外政府或黑客揭露產品上的信息安全弱點���,除影響消費者權益外��,甚至被提起訴訟���,連帶造成廠商的商譽與品牌價值受損���。
肇因政府法規(guī)、信息安全標準與采購商要求日益嚴謹����,迫使設備商面臨愈來愈高的合規(guī)需求,既需要做功能性測試����,還得導入安全軟件開發(fā)生命周期(Secure SDLC, SSDLC)�,以通過信息安全要求。無奈多數廠商的信息安全運維與檢測能量仍待提升���,尚不足以應付層層信息安全合規(guī)考驗��。有鑒于此�����,長年對連網產品信息安全議題著力至深的仲至信息科技���,推出HERCULES SecFlow 與SecDevice產品信息安全合規(guī)自動化平臺,協(xié)助企業(yè)實現開發(fā)安全運維(DevSecOps)流程,可有效符合國際信息安全標準與終端采購客戶的信息安全要求�����。
產品信息安全評估兼具DevSecOps敏捷開發(fā)�����,完整滿足信息安全合規(guī)需求
仲至信息科技產品開發(fā)處處長暨開發(fā)總監(jiān)李育杰表示�,近年各國信息安全法令與政策的演進快速,包括美國FDA���、歐盟相繼對醫(yī)療器材制造商祭出信息安全規(guī)范�����,加州推出全美第一套IoT裝置安全法案(SB-327)�����,美國國防部發(fā)表網絡安全成熟度模型認證(CMMC)�����,及多家國際連網設備品牌商對其供貨商提出產品信息安全要求�;眾多規(guī)章密集出爐,加重了設備制造商的產品上市與合規(guī)應變壓力�����。
綜觀接踵而至的法規(guī)與標準��,廠商要以DevSecOps這樣更敏捷的開發(fā)方式�����,爭取產品上市時間�����,又必須兼顧產品的信息安全質量�,因此��,可采用DevSecOps這樣的方法來實現與應對�;但要實現這樣的方法,須同時仰賴產品風險評估����、軟件安全開發(fā)、弱點檢測技術等人才來執(zhí)行�,三者缺一不可�����;對多數廠商來說�,欲建立前述專業(yè)團隊的門坎與成本偏高�,加上建立期程大約需至少一至兩年的時間,堪稱重大挑戰(zhàn)����。
仲至信息科技的HERCULES產品信息安全合規(guī)自動化平臺,設計初衷正是協(xié)助客戶降低進入門坎�����、縮短期程��。其中SecFlow是產品信息安全管理系統(tǒng)�,要解決的是客戶對于「信息安全規(guī)范」的需求,并連結開發(fā)團隊�����、信息安全團隊及維運團隊三個角色之間的信息分享與協(xié)同合作��,可幫助客戶快速建立DevSecOps運作機制����,同時確保開發(fā)流程符合信息安全法規(guī)�,譬如建立產品信息安全風險評估機制��,并實時向外部獲取最新的產品信息安全威脅信息����,以確保所有產品的信息安全風險可以被完整掌握;除輔助客戶快速建立信息安全制度外���,SecFlow還提供開源函式庫風險分析�����、產品弱點管理����、信息安全事件應變處理等多項關鍵功能����,協(xié)助產品開發(fā)團隊����、信息安全團隊及運維團隊快速擬訂相關因應對策�����。
至于SecDevice為弱點檢測自動化工具�����,解決的是DevSecOps對于產品開發(fā)與檢測的時效問題�����,主要針對開發(fā)團隊完成的產品�,透過網絡端仿真黑客的攻擊手法���,快速且精準的進行弱點的掃描與測試�,使產品在部署階段���、上市前����,做好產品信息安全質量的完整確認�����。
匯聚多項專利技術,SecDevice展現獨特的模糊測試能量
李育杰指出�����,市場上有一些同樣以弱點檢測或掃描為要求的工具��,但設計理念多圍繞于一般信息系統(tǒng)�����,適合IT人員采用����,解決的是技術問題,僅能補足個別檢測缺口��;反觀HERCULES SecFlow 與SecDevice從法規(guī)面出發(fā)��,強調法規(guī)要求的項目內容與對應����,解決的是物聯網相關產品信息安全合規(guī)議題���,使產品能更快的進入市場���。
「更重要的��,HERCULES是100%國產自主研發(fā)的產品信息安全合規(guī)解決方案�����,不僅發(fā)揮最高的專業(yè)服務能力�,更蘊含獨特的AI技術�。」李育杰進一步說�,以信息安全的弱點檢測為例,包含兩個主要方法���,一是弱點掃描���,藉由比對國際弱點數據庫(CVE)來發(fā)現已知問題,另一是模糊測試��,意在探索未知的信息安全弱點����,價值與技術門坎更高。
而SecDevice就是主打以模糊測試來發(fā)掘物聯網產品上的未知信息安全弱點,而這是由多項專利技術堆積而成�。首先是「攻擊測試案例的產生」專利,會依據獨有的算法�,產生不重復且最佳的測試項目,對受測設備進行最有效的弱點測試��,使其以最精簡的內容與時間��,完成驗證系統(tǒng)穩(wěn)定性與錯誤處理的能力����。其次是「受測設備的狀態(tài)分析」,如醫(yī)生探測病患的呼吸頻率般���,針對受測設備的反應狀況做學習與分析�����,使偵測弱點的準確度更高�����,減少以往測試人員須經常處理的誤判問題�����。此外�����,SecDevice更加上AI自動學習技術�,使其能夠面對越來越多不同應用或類型的物聯網設備與情境��,對未來5G或廠商自行開發(fā)的網絡協(xié)議仍可以很快速且輕易的進行弱點測試�����。也因為上述三項獨到的技術����,相較市面上其他工具,讓SecDevice可以提供更快��、更準確且更完整的協(xié)助客戶完成產品的信息安全檢測����,符合DevSecOps的敏捷式精神。
談到SecDevice現今用戶結構�,一部分為連網設備開發(fā)商,他們原來僅具備功能性測試能力�,導入SecDevice后2個月內的時間,即建立起產品信息安全檢測能力;另一部分為品牌公司客戶�����,需針對眾多的產品進行測試與驗收工作��,并將測試結果回饋給不同的軟件開發(fā)團隊�,測試的量相對更大,但與前者的導入與建置時間相同�����。
一般而言�,企業(yè)從無到有要建立自已的產品信息安全檢測團隊,平均而言至少須有5位專職人員���,采購5套以上的商用專業(yè)檢測工具��,起碼耗時一到兩年的時間����;SecDevice的最大價值���,便是讓原本高聳的門坎大大的降低��,使企業(yè)更快擁有產品信息安全質量確保的能力�����。
借助開源函式庫風險分析�����,即早并加速排除信息安全風險
SecFlow亦涵蓋諸多細致功能���,可協(xié)助客戶提前在開發(fā)階段就把信息安全問題減到最少,降低了上市后發(fā)現問題再來修補的成本���。以「開源函式庫風險分析」模塊為例�����,開發(fā)團隊預先將所有產品相關的信息內建于系統(tǒng)��,并不斷的優(yōu)化其「關聯性」��,因此��,每當運維團隊接獲產品被通報有漏洞發(fā)生時��,信息安全團隊在一天內就能協(xié)助開發(fā)團隊徹查與了解影響范圍����,兩周內共同把相關問題處理完畢;以往企業(yè)都是運維或信息安全團隊聽聞信息安全事件后����,才分派其他團隊執(zhí)行調查,至少要花三個月的時間�,且分工、責任不明�,甚至無法解決問題,而SecFlow就是要連結起開發(fā)��、信息安全及維運三個團隊間的合作���,共同解決現今各式各樣的產品信息安全問題���。
李育杰表示,以目前整體產品銷售狀況來看����,SecFlow與SecDevice除了國內客戶品牌設備商與制造商都有導入成功案例外,在日本及印度也都有國際大廠陸續(xù)采購與使用���;依據每個案例的導入經驗�,他建議,假使國內企業(yè)擔心因導入DevSecOps而打亂產品上市步調��,不妨采取漸進式做法�����,先從測試(SecDevice)開始確保信息安全質量�,接著布建產品信息安全管理流程與機制(SecFlow)��,最終取得產品信息安全驗證(信息安全合規(guī)服務)�,據此優(yōu)化流程、從根本上調理好企業(yè)的信息安全體質�����。
值得一提�,HERCULES SecFlow & SecDevice 挾著獨到設計理念,屢屢成為國際獎項常勝軍��。SecFlow�����、SecDevice 連續(xù)兩年分別榮獲「InfoSecurity Product Guide」的信息安全事件管理、物聯網等類別金質獎項��,以及「CyberSecurity Excellence Awards」的漏洞管理與信息安全事件應變處理���、嵌入式裝置與工控設備信息安全等金獎殊榮���。
不僅如此,今年兩項產品在「InfoSec Awards」有所斬獲��,SecFlow 拿下「弱點與事件管理類別」最佳產品獎��,SecDevice 獲得「物聯網工控類別」次世代產品獎�。究其主因,在于它們能夠精準����、有效地協(xié)助客戶完成安全的軟件開發(fā)流程建立與產品信息安全檢測工作。
仲至信息科技產品開發(fā)處處長暨開發(fā)總監(jiān)李育杰表示�,透過專利的智慧式模糊測試技術,能有效補強客制化協(xié)議的信息安全檢測缺口��,降低IoT設備的信息安全風險�。
