DForum
IBM
 

安華聯網推DevSecOps安全關鍵動能 資安難題迎刃解

安華聯網科技產品開發處處長暨開發總監李育杰表示,透過專利的智慧式模糊測試技術,能有效補強客製化協議的資安檢測缺口,降低IoT設備的資安風險。

身處物聯網(IoT)時代,多數設備製造商或品牌商力推連網產品,並加快產品上市速度,但求快之餘,難免對資安品質有所忽略,以致許多存在弱點的設備流向市面,履履被國外政府或駭客揭露產品上的資安弱點,除影響消費者權益外,甚至被提起訴訟,連帶造成廠商的商譽與品牌價值受損。

肇因政府法規、資安標準與採購商要求日益嚴謹,迫使設備商面臨愈來愈高的法遵需求,既需要做功能性測試,還得導入安全軟體開發生命週期(Secure SDLC;SSDLC),以通過資安要求。無奈多數廠商的資安維運與檢測能量仍待提升,尚不足以應付層層資安法遵考驗。有鑑於此,長年對連網產品資安議題著力至深的安華聯網科技,推出HERCULES SecFlow與SecDevice產品資安合規自動化平台,協助企業實現開發安全維運(DevSecOps)流程,可有效符合國際資安標準與終端採購客戶的資安要求。

產品資安評估兼具DevSecOps敏捷開發,完整滿足資安法遵需求

安華聯網產品開發處處長暨開發總監李育杰表示,近年各國資安法令與政策的演進快速,包括台灣衛福部、美國FDA、歐盟相繼對醫療器材製造商祭出資安規範,加州推出全美第一套IoT裝置安全法案(SB-327),美國國防部發表網路安全成熟度模型認證(CMMC),及多家國際連網設備品牌商對其供應商提出產品資安要求;眾多規章密集出爐,加重了設備製造商的產品上市與法遵應變壓力。

綜觀接踵而至的法令與標準,廠商要以DevSecOps這樣更敏捷的開發方式,爭取產品上市時間,又必須兼顧產品的資安品質,因此,可採用DevSecOps這樣的方法來實現與應對;但要實現這樣的方法,須同時仰賴產品風險評估、軟體安全開發、弱點檢測技術等人才來執行,三者缺一不可;對多數廠商來說,欲建立前述專業團隊的門檻與成本偏高,加上建立期程大約需至少一至兩年的時間,堪稱重大挑戰。

安華聯網的HERCULES產品資安合規自動化平台,設計初衷正是協助客戶降低進入門檻、縮短期程。其中SecFlow是產品資安管理系統,要解決的是客戶對於「資安規範」的需求,並連結開發團隊、資安團隊及維運團隊三個角色之間的資訊分享與協同合作,可幫助客戶快速建立DevSecOps運作機制,同時確保開發流程符合資安法規,譬如建立產品資安風險評估機制,並即時向外部獲取最新的產品資安威脅資訊,以確保所有產品的資安風險可以被完整掌握;除輔助客戶快速建立資安制度外,SecFlow還提供開源函式庫風險分析、產品弱點管理、資安事件應變處理等多項關鍵功能,協助產品開發團隊、資安團隊及維運團隊快速擬訂相關因應對策。

至於SecDevice為弱點檢測自動化工具,解決的是DevSecOps對於產品開發與檢測的時效問題,主要針對開發團隊完成的產品,透過網路端模擬駭客的攻擊手法,快速且精準的進行弱點的掃描與測試,使產品在部署階段、上市前,做好產品資安品質的完整確認。

匯聚多項專利技術,SecDevice展現獨特的模糊測試能量

李育杰指出,市場上有一些同樣以弱點檢測或掃描為訴求的工具,但設計理念多圍繞於一般資訊系統,適合IT人員採用,解決的是技術問題,僅能補足個別檢測缺口;反觀HERCULES SecFlow與SecDevice從法規面出發,強調法規要求的項目內容與對應,解決的是物聯網相關產品資安法遵議題,使產品能更快的進入市場。

「更重要的,HERCULES是100%台灣自主研發的產品資安合規解決方案,不僅發揮最高的專業服務能力,更蘊含獨特的AI技術。」李育杰進一步說,「以資安的弱點檢測為例,包含兩個主要方法,一是弱點掃描,藉由比對國際弱點資料庫(CVE)來發現已知問題,另一是模糊測試,意在探索未知的資安弱點,價值與技術門檻更高。」

而SecDevice就是主打以模糊測試來發掘物聯網產品上的未知資安弱點,而這是由多項專利技術堆積而成。首先是「攻擊測試案例的產生」專利,會依據獨有的演算法,產生不重複且最佳的測試項目,對受測設備進行最有效的弱點測試,使其以最精簡的內容與時間,完成驗證系統穩定性與錯誤處理的能力。其次是「受測設備的狀態分析」,如醫生探測病患的呼吸頻率般,針對受測設備的反應狀況做學習與分析,使偵測弱點的準確度更高,減少以往測試人員須經常處理的誤判問題。

此外,SecDevice更加上AI自動學習技術,使其能夠面對越來越多不同應用或類型的物聯網設備與情境,對未來5G或廠商自行開發的網路協議仍可以很快速且輕易的進行弱點測試。也因為上述三項獨到的技術,相較市面上其他工具,讓SecDevice可以提供更快、更準確且更完整的協助客戶完成產品的資安檢測,符合DevSecOps的敏捷式精神。

談到SecDevice現今用戶結構,一部分為連網設備開發商,他們原來僅具備功能性測試能力,導入SecDevice後2個月內的時間,即建立起產品資安檢測能力;另一部分為品牌公司客戶,需針對眾多的產品進行測試與驗收工作,並將測試結果回饋給不同的軟體開發團隊,測試的量相對更大,但與前者的導入與建置時間相同。

一般而言,企業從無到有要建立自已的產品資安檢測團隊,平均而言至少須有5位專職人員,採購5套以上的商用專業檢測工具,起碼耗時一到兩年的時間;SecDevice的最大價值,便是讓原本高聳的門檻大大的降低,使企業更快擁有產品資安品質確保的能力。

借助開源函式庫風險分析,即早並加速排除資安風險

SecFlow亦涵蓋諸多細緻功能,可協助客戶提前在開發階段就把資安問題減到最少,降低了上市後發現問題再來修補的成本。以「開源函式庫風險分析」模組為例,開發團隊預先將所有產品相關的資訊內建於系統,並不斷的優化其「關聯性」,因此,每當維運團隊接獲產品被通報有漏洞發生時,資安團隊在一天內就能協助開發團隊徹查與瞭解影響範圍,兩週內共同把相關問題處理完畢;以往企業都是維運或資安團隊聽聞資安事件後,才分派其他團隊執行調查,至少要花三個月的時間,且分工、責任不明,甚至無法解決問題,而SecFlow就是要連結起開發、資安及維運三個團隊間的合作,共同解決現今各式各樣的產品資安問題。

李育杰表示,以目前整體產品銷售狀況來看,SecFlow與SecDevice除了台灣客戶品牌設備商與製造商都有導入成功案例外,在中國、日本及印度也都有國際大廠陸續採購與使用;依據每個案例的導入經驗,他建議,假使台灣企業擔心因導入DevSecOps而打亂產品上市步調,不妨採取漸進式做法,先從測試(SecDevice)開始確保資安品質,接著布建產品資安管理流程與機制(SecFlow),最終取得產品資安驗證(資安法遵服務),據此優化流程、從根本上調理好企業的資安體質。

值得一提,HERCULES SecFlow & SecDevice挾著獨到設計理念,屢屢成為國際獎項常勝軍。SecFlow、SecDevice 連續兩年分別榮獲「InfoSecurity Product Guide」的資安事件管理、物聯網等類別金質獎項,以及「CyberSecurity Excellence Awards」的漏洞管理與資安事件應變處理、嵌入式裝置與工控設備資安等金獎殊榮。

不僅如此,今年兩項產品在「InfoSec Awards」有所斬獲,SecFlow 拿下「弱點與事件管理類別」最佳產品獎,SecDevice獲得「物聯網工控類別」次世代產品獎。究其主因,在於它們能夠精準、有效地協助客戶完成安全的軟體開發流程建立與產品資安檢測工作。

  •     按讚加入DIGITIMES智慧應用粉絲團