物聯網設備漏洞頻傳 安華聯網籲從提升資安思維著手

安華聯網科技產品經理陳哲妤。

在消費市場的需求帶動下，2019年物聯網設備數量已破260億。物聯網發展從個人裝置到企業設備、從工業系統到商業應用皆有需求，因此各大企業紛紛加入物聯網投資行列，特別是在COVID-19(新冠肺炎)之後所帶動的零接觸經濟，更是驅動各產業在物聯網商機的蓬勃發展，如媒體業相信IoT對公司成長扮演至關重要角色，2021年零售業將運用IoT客製消費者臨店體驗，因此預估2025年使用量將突破750億。只是商機無限的物聯網，卻也早成為駭客鎖定的攻擊目標，如2016年爆發的Mirai殭屍病毒，即在全球感染超過數十萬台網路攝影機，最終對特定目標發動超過1Tb流量的DDoS攻擊。

安華聯網科技產品經理陳哲妤認為，物聯網裝置會頻頻遭到駭客入侵，成為發動資安攻擊跳板的原因，關鍵在於產品本身的安全性不足。首先，不少業者為搶攻市場商機，產品問世前沒有經過完整資安測試，以至於存在許多未經修補的漏洞。其次，消費者購買之後，多半沒有更新密碼的習慣，更遑論定時更新韌體或修補程式，自然也給予駭客可趁之機。安華聯網在連網產品資安評估解決方案領域，有非常多的經驗與技術能量，更有國際級的實驗室，可為企業提供最完整的服務。

導入安全開發流程(SSDLC)，落實產品安全檢測，可減少漏洞存在

根據安華聯網多年投入連網產品檢測的經驗，目前物聯網設備面臨攻擊的三大面向，分別是設備本身、通訊協議、軟體等，其中又以軟體最常被忽略。在考量進入市場速度、成本、供應商等因素下，多數物聯網設備都採用開源軟體進行開發，但是也衍生出弱點風險、許可證的法律問題。不少人以為，使用開源軟體是免費，但大部分軟體授權協議中，都已提到僅適用於非商業用途，因此目前已有不少爭議出現。

事實上開源軟體許可證的法律框架是複雜的，因每個類別的原始碼對及衍生產品的使用都有不同限制或協議，若是在無意之間採用開源軟體卻沒有遵守其要求協議的話，可能會導致法律問題或生產力的損失。另外，過去幾年開源軟體漏洞數量持續攀升，但是企業似乎沒有注意到此問題。

陳哲妤說，全球各地會頻頻發生物聯網設備遭到入侵關鍵，除駭客攻擊手法進化之外，設計師在開發過程中缺乏資安意識，也是另個重要的因素。最常遇到的狀況，莫過於開發過程引用第三方元件，卻忽略第三方元件也存在弱點，以及不知道應該如何找出未知弱點。其實產品上市前，需考量的安全面向應提早至開發流程中進行規劃，著手的重點可由滿足合規規範、進行產品Pre-test，以及引進第三方檢測評估等面向著手。我們可提供資安合規顧問服務、資安檢測評估，以及完整的資安產品與工具。

安華聯網建議企業在進軍物聯網市場時，可落實以下幾項動作：將資安提前至開發流程：將資安意識提前至開發過程中執行，開發過程管理並修補發現弱點風險；在開發過程找出產品弱點：找出第三方套件的已知弱點，挖掘尚未被發現的未知弱點；以及善用工具滿足不同規範需求：透過合規工具滿足安全測試需求，運用涵蓋率廣的工具滿足不同產業需求等，才能避免物聯網產品遭受資安攻擊。