安華聯網推DevSecOps安全關鍵動能 資安難題迎刃解

安華聯網科技產品開發處處長暨開發總監李育杰表示，透過專利的智慧式模糊測試技術，能有效補強客製化協議的資安檢測缺口，降低IoT設備的資安風險。

身處物聯網(IoT)時代，多數設備製造商或品牌商力推連網產品，並加快產品上市速度，但求快之餘，難免對資安品質有所忽略，以致許多存在弱點的設備流向市面，履履被國外政府或駭客揭露產品上的資安弱點，除影響消費者權益外，甚至被提起訴訟，連帶造成廠商的商譽與品牌價值受損。

肇因政府法規、資安標準與採購商要求日益嚴謹，迫使設備商面臨愈來愈高的法遵需求，既需要做功能性測試，還得導入安全軟體開發生命週期(Secure SDLC；SSDLC)，以通過資安要求。無奈多數廠商的資安維運與檢測能量仍待提升，尚不足以應付層層資安法遵考驗。有鑑於此，長年對連網產品資安議題著力至深的安華聯網科技，推出HERCULES SecFlow與SecDevice產品資安合規自動化平台，協助企業實現開發安全維運(DevSecOps)流程，可有效符合國際資安標準與終端採購客戶的資安要求。

產品資安評估兼具DevSecOps敏捷開發，完整滿足資安法遵需求

安華聯網產品開發處處長暨開發總監李育杰表示，近年各國資安法令與政策的演進快速，包括台灣衛福部、美國FDA、歐盟相繼對醫療器材製造商祭出資安規範，加州推出全美第一套IoT裝置安全法案(SB-327)，美國國防部發表網路安全成熟度模型認證(CMMC)，及多家國際連網設備品牌商對其供應商提出產品資安要求；眾多規章密集出爐，加重了設備製造商的產品上市與法遵應變壓力。

綜觀接踵而至的法令與標準，廠商要以DevSecOps這樣更敏捷的開發方式，爭取產品上市時間，又必須兼顧產品的資安品質，因此，可採用DevSecOps這樣的方法來實現與應對；但要實現這樣的方法，須同時仰賴產品風險評估、軟體安全開發、弱點檢測技術等人才來執行，三者缺一不可；對多數廠商來說，欲建立前述專業團隊的門檻與成本偏高，加上建立期程大約需至少一至兩年的時間，堪稱重大挑戰。

安華聯網的HERCULES產品資安合規自動化平台，設計初衷正是協助客戶降低進入門檻、縮短期程。其中SecFlow是產品資安管理系統，要解決的是客戶對於「資安規範」的需求，並連結開發團隊、資安團隊及維運團隊三個角色之間的資訊分享與協同合作，可幫助客戶快速建立DevSecOps運作機制，同時確保開發流程符合資安法規，譬如建立產品資安風險評估機制，並即時向外部獲取最新的產品資安威脅資訊，以確保所有產品的資安風險可以被完整掌握；除輔助客戶快速建立資安制度外，SecFlow還提供開源函式庫風險分析、產品弱點管理、資安事件應變處理等多項關鍵功能，協助產品開發團隊、資安團隊及維運團隊快速擬訂相關因應對策。

至於SecDevice為弱點檢測自動化工具，解決的是DevSecOps對於產品開發與檢測的時效問題，主要針對開發團隊完成的產品，透過網路端模擬駭客的攻擊手法，快速且精準的進行弱點的掃描與測試，使產品在部署階段、上市前，做好產品資安品質的完整確認。

匯聚多項專利技術，SecDevice展現獨特的模糊測試能量

李育杰指出，市場上有一些同樣以弱點檢測或掃描為訴求的工具，但設計理念多圍繞於一般資訊系統，適合IT人員採用，解決的是技術問題，僅能補足個別檢測缺口；反觀HERCULES SecFlow與SecDevice從法規面出發，強調法規要求的項目內容與對應，解決的是物聯網相關產品資安法遵議題，使產品能更快的進入市場。

「更重要的，HERCULES是100%台灣自主研發的產品資安合規解決方案，不僅發揮最高的專業服務能力，更蘊含獨特的AI技術。」李育杰進一步說，「以資安的弱點檢測為例，包含兩個主要方法，一是弱點掃描，藉由比對國際弱點資料庫(CVE)來發現已知問題，另一是模糊測試，意在探索未知的資安弱點，價值與技術門檻更高。」

而SecDevice就是主打以模糊測試來發掘物聯網產品上的未知資安弱點，而這是由多項專利技術堆積而成。首先是「攻擊測試案例的產生」專利，會依據獨有的演算法，產生不重複且最佳的測試項目，對受測設備進行最有效的弱點測試，使其以最精簡的內容與時間，完成驗證系統穩定性與錯誤處理的能力。其次是「受測設備的狀態分析」，如醫生探測病患的呼吸頻率般，針對受測設備的反應狀況做學習與分析，使偵測弱點的準確度更高，減少以往測試人員須經常處理的誤判問題。

此外，SecDevice更加上AI自動學習技術，使其能夠面對越來越多不同應用或類型的物聯網設備與情境，對未來5G或廠商自行開發的網路協議仍可以很快速且輕易的進行弱點測試。也因為上述三項獨到的技術，相較市面上其他工具，讓SecDevice可以提供更快、更準確且更完整的協助客戶完成產品的資安檢測，符合DevSecOps的敏捷式精神。

談到SecDevice現今用戶結構，一部分為連網設備開發商，他們原來僅具備功能性測試能力，導入SecDevice後2個月內的時間，即建立起產品資安檢測能力；另一部分為品牌公司客戶，需針對眾多的產品進行測試與驗收工作，並將測試結果回饋給不同的軟體開發團隊，測試的量相對更大，但與前者的導入與建置時間相同。

一般而言，企業從無到有要建立自已的產品資安檢測團隊，平均而言至少須有5位專職人員，採購5套以上的商用專業檢測工具，起碼耗時一到兩年的時間；SecDevice的最大價值，便是讓原本高聳的門檻大大的降低，使企業更快擁有產品資安品質確保的能力。

借助開源函式庫風險分析，即早並加速排除資安風險

SecFlow亦涵蓋諸多細緻功能，可協助客戶提前在開發階段就把資安問題減到最少，降低了上市後發現問題再來修補的成本。以「開源函式庫風險分析」模組為例，開發團隊預先將所有產品相關的資訊內建於系統，並不斷的優化其「關聯性」，因此，每當維運團隊接獲產品被通報有漏洞發生時，資安團隊在一天內就能協助開發團隊徹查與瞭解影響範圍，兩週內共同把相關問題處理完畢；以往企業都是維運或資安團隊聽聞資安事件後，才分派其他團隊執行調查，至少要花三個月的時間，且分工、責任不明，甚至無法解決問題，而SecFlow就是要連結起開發、資安及維運三個團隊間的合作，共同解決現今各式各樣的產品資安問題。

李育杰表示，以目前整體產品銷售狀況來看，SecFlow與SecDevice除了台灣客戶品牌設備商與製造商都有導入成功案例外，在中國、日本及印度也都有國際大廠陸續採購與使用；依據每個案例的導入經驗，他建議，假使台灣企業擔心因導入DevSecOps而打亂產品上市步調，不妨採取漸進式做法，先從測試(SecDevice)開始確保資安品質，接著布建產品資安管理流程與機制(SecFlow)，最終取得產品資安驗證(資安法遵服務)，據此優化流程、從根本上調理好企業的資安體質。

值得一提，HERCULES SecFlow & SecDevice挾著獨到設計理念，屢屢成為國際獎項常勝軍。SecFlow、SecDevice 連續兩年分別榮獲「InfoSecurity Product Guide」的資安事件管理、物聯網等類別金質獎項，以及「CyberSecurity Excellence Awards」的漏洞管理與資安事件應變處理、嵌入式裝置與工控設備資安等金獎殊榮。

不僅如此，今年兩項產品在「InfoSec Awards」有所斬獲，SecFlow 拿下「弱點與事件管理類別」最佳產品獎，SecDevice獲得「物聯網工控類別」次世代產品獎。究其主因，在於它們能夠精準、有效地協助客戶完成安全的軟體開發流程建立與產品資安檢測工作。