身處物聯(lián)網(wǎng)(IoT)時代��,多數(shù)設(shè)備制造商或品牌商力推連網(wǎng)產(chǎn)品��,并加快產(chǎn)品上市速度��,但求快之余�,難免對信息安全質(zhì)量有所忽略,以致許多存在弱點的設(shè)備流向市面�,履履被國外政府或黑客揭露產(chǎn)品上的信息安全弱點,除影響消費者權(quán)益外,甚至被提起訴訟��,連帶造成廠商的商譽與品牌價值受損�����。
肇因政府法規(guī)�、信息安全標(biāo)準(zhǔn)與采購商要求日益嚴(yán)謹(jǐn),迫使設(shè)備商面臨愈來愈高的合規(guī)需求���,既需要做功能性測試�,還得導(dǎo)入安全軟件開發(fā)生命周期(Secure SDLC, SSDLC)�����,以通過信息安全要求���。無奈多數(shù)廠商的信息安全運維與檢測能量仍待提升,尚不足以應(yīng)付層層信息安全合規(guī)考驗�����。有鑒于此���,長年對連網(wǎng)產(chǎn)品信息安全議題著力至深的仲至信息科技�,推出HERCULES SecFlow 與SecDevice產(chǎn)品信息安全合規(guī)自動化平臺,協(xié)助企業(yè)實現(xiàn)開發(fā)安全運維(DevSecOps)流程����,可有效符合國際信息安全標(biāo)準(zhǔn)與終端采購客戶的信息安全要求。
產(chǎn)品信息安全評估兼具DevSecOps敏捷開發(fā)�����,完整滿足信息安全合規(guī)需求
仲至信息科技產(chǎn)品開發(fā)處處長暨開發(fā)總監(jiān)李育杰表示����,近年各國信息安全法令與政策的演進(jìn)快速,包括美國FDA����、歐盟相繼對醫(yī)療器材制造商祭出信息安全規(guī)范,加州推出全美第一套IoT裝置安全法案(SB-327)��,美國國防部發(fā)表網(wǎng)絡(luò)安全成熟度模型認(rèn)證(CMMC)�����,及多家國際連網(wǎng)設(shè)備品牌商對其供貨商提出產(chǎn)品信息安全要求�����;眾多規(guī)章密集出爐,加重了設(shè)備制造商的產(chǎn)品上市與合規(guī)應(yīng)變壓力��。
綜觀接踵而至的法規(guī)與標(biāo)準(zhǔn)�����,廠商要以DevSecOps這樣更敏捷的開發(fā)方式�����,爭取產(chǎn)品上市時間�,又必須兼顧產(chǎn)品的信息安全質(zhì)量,因此��,可采用DevSecOps這樣的方法來實現(xiàn)與應(yīng)對����;但要實現(xiàn)這樣的方法�,須同時仰賴產(chǎn)品風(fēng)險評估、軟件安全開發(fā)�����、弱點檢測技術(shù)等人才來執(zhí)行,三者缺一不可�����;對多數(shù)廠商來說�����,欲建立前述專業(yè)團(tuán)隊的門坎與成本偏高��,加上建立期程大約需至少一至兩年的時間�����,堪稱重大挑戰(zhàn)�。
仲至信息科技的HERCULES產(chǎn)品信息安全合規(guī)自動化平臺,設(shè)計初衷正是協(xié)助客戶降低進(jìn)入門坎�、縮短期程。其中SecFlow是產(chǎn)品信息安全管理系統(tǒng)�,要解決的是客戶對于「信息安全規(guī)范」的需求,并連結(jié)開發(fā)團(tuán)隊�����、信息安全團(tuán)隊及維運團(tuán)隊三個角色之間的信息分享與協(xié)同合作�,可幫助客戶快速建立DevSecOps運作機制��,同時確保開發(fā)流程符合信息安全法規(guī)�����,譬如建立產(chǎn)品信息安全風(fēng)險評估機制��,并實時向外部獲取最新的產(chǎn)品信息安全威脅信息���,以確保所有產(chǎn)品的信息安全風(fēng)險可以被完整掌握;除輔助客戶快速建立信息安全制度外����,SecFlow還提供開源函式庫風(fēng)險分析、產(chǎn)品弱點管理�、信息安全事件應(yīng)變處理等多項關(guān)鍵功能,協(xié)助產(chǎn)品開發(fā)團(tuán)隊�����、信息安全團(tuán)隊及運維團(tuán)隊快速擬訂相關(guān)因應(yīng)對策��。
至于SecDevice為弱點檢測自動化工具�,解決的是DevSecOps對于產(chǎn)品開發(fā)與檢測的時效問題����,主要針對開發(fā)團(tuán)隊完成的產(chǎn)品��,透過網(wǎng)絡(luò)端仿真黑客的攻擊手法���,快速且精準(zhǔn)的進(jìn)行弱點的掃描與測試,使產(chǎn)品在部署階段�、上市前,做好產(chǎn)品信息安全質(zhì)量的完整確認(rèn)�����。
匯聚多項專利技術(shù)���,SecDevice展現(xiàn)獨特的模糊測試能量
李育杰指出��,市場上有一些同樣以弱點檢測或掃描為要求的工具��,但設(shè)計理念多圍繞于一般信息系統(tǒng)��,適合IT人員采用�����,解決的是技術(shù)問題�,僅能補足個別檢測缺口;反觀HERCULES SecFlow 與SecDevice從法規(guī)面出發(fā)���,強調(diào)法規(guī)要求的項目內(nèi)容與對應(yīng)����,解決的是物聯(lián)網(wǎng)相關(guān)產(chǎn)品信息安全合規(guī)議題�,使產(chǎn)品能更快的進(jìn)入市場��。
「更重要的,HERCULES是100%國產(chǎn)自主研發(fā)的產(chǎn)品信息安全合規(guī)解決方案�,不僅發(fā)揮最高的專業(yè)服務(wù)能力,更蘊含獨特的AI技術(shù)�����?��!估钣苓M(jìn)一步說�,以信息安全的弱點檢測為例�����,包含兩個主要方法�,一是弱點掃描,藉由比對國際弱點數(shù)據(jù)庫(CVE)來發(fā)現(xiàn)已知問題�,另一是模糊測試,意在探索未知的信息安全弱點����,價值與技術(shù)門坎更高。
而SecDevice就是主打以模糊測試來發(fā)掘物聯(lián)網(wǎng)產(chǎn)品上的未知信息安全弱點�,而這是由多項專利技術(shù)堆積而成。首先是「攻擊測試案例的產(chǎn)生」專利�����,會依據(jù)獨有的算法�����,產(chǎn)生不重復(fù)且最佳的測試項目��,對受測設(shè)備進(jìn)行最有效的弱點測試�����,使其以最精簡的內(nèi)容與時間�,完成驗證系統(tǒng)穩(wěn)定性與錯誤處理的能力。其次是「受測設(shè)備的狀態(tài)分析」��,如醫(yī)生探測病患的呼吸頻率般,針對受測設(shè)備的反應(yīng)狀況做學(xué)習(xí)與分析��,使偵測弱點的準(zhǔn)確度更高�,減少以往測試人員須經(jīng)常處理的誤判問題。此外�����,SecDevice更加上AI自動學(xué)習(xí)技術(shù)��,使其能夠面對越來越多不同應(yīng)用或類型的物聯(lián)網(wǎng)設(shè)備與情境��,對未來5G或廠商自行開發(fā)的網(wǎng)絡(luò)協(xié)議仍可以很快速且輕易的進(jìn)行弱點測試��。也因為上述三項獨到的技術(shù)����,相較市面上其他工具,讓SecDevice可以提供更快���、更準(zhǔn)確且更完整的協(xié)助客戶完成產(chǎn)品的信息安全檢測�,符合DevSecOps的敏捷式精神�。
談到SecDevice現(xiàn)今用戶結(jié)構(gòu),一部分為連網(wǎng)設(shè)備開發(fā)商,他們原來僅具備功能性測試能力�,導(dǎo)入SecDevice后2個月內(nèi)的時間,即建立起產(chǎn)品信息安全檢測能力��;另一部分為品牌公司客戶�,需針對眾多的產(chǎn)品進(jìn)行測試與驗收工作�,并將測試結(jié)果回饋給不同的軟件開發(fā)團(tuán)隊,測試的量相對更大�,但與前者的導(dǎo)入與建置時間相同。
一般而言�,企業(yè)從無到有要建立自已的產(chǎn)品信息安全檢測團(tuán)隊,平均而言至少須有5位專職人員�,采購5套以上的商用專業(yè)檢測工具,起碼耗時一到兩年的時間�;SecDevice的最大價值,便是讓原本高聳的門坎大大的降低�����,使企業(yè)更快擁有產(chǎn)品信息安全質(zhì)量確保的能力�����。
借助開源函式庫風(fēng)險分析�,即早并加速排除信息安全風(fēng)險
SecFlow亦涵蓋諸多細(xì)致功能,可協(xié)助客戶提前在開發(fā)階段就把信息安全問題減到最少�,降低了上市后發(fā)現(xiàn)問題再來修補的成本�����。以「開源函式庫風(fēng)險分析」模塊為例����,開發(fā)團(tuán)隊預(yù)先將所有產(chǎn)品相關(guān)的信息內(nèi)建于系統(tǒng)�����,并不斷的優(yōu)化其「關(guān)聯(lián)性」��,因此��,每當(dāng)運維團(tuán)隊接獲產(chǎn)品被通報有漏洞發(fā)生時,信息安全團(tuán)隊在一天內(nèi)就能協(xié)助開發(fā)團(tuán)隊徹查與了解影響范圍�����,兩周內(nèi)共同把相關(guān)問題處理完畢;以往企業(yè)都是運維或信息安全團(tuán)隊聽聞信息安全事件后��,才分派其他團(tuán)隊執(zhí)行調(diào)查��,至少要花三個月的時間�,且分工、責(zé)任不明����,甚至無法解決問題,而SecFlow就是要連結(jié)起開發(fā)�、信息安全及維運三個團(tuán)隊間的合作,共同解決現(xiàn)今各式各樣的產(chǎn)品信息安全問題��。
李育杰表示��,以目前整體產(chǎn)品銷售狀況來看�����,SecFlow與SecDevice除了國內(nèi)客戶品牌設(shè)備商與制造商都有導(dǎo)入成功案例外,在日本及印度也都有國際大廠陸續(xù)采購與使用;依據(jù)每個案例的導(dǎo)入經(jīng)驗��,他建議�����,假使國內(nèi)企業(yè)擔(dān)心因?qū)?strong>DevSecOps而打亂產(chǎn)品上市步調(diào)����,不妨采取漸進(jìn)式做法�,先從測試(SecDevice)開始確保信息安全質(zhì)量��,接著布建產(chǎn)品信息安全管理流程與機制(SecFlow)�,最終取得產(chǎn)品信息安全驗證(信息安全合規(guī)服務(wù))��,據(jù)此優(yōu)化流程����、從根本上調(diào)理好企業(yè)的信息安全體質(zhì)。
值得一提�����,HERCULES SecFlow & SecDevice 挾著獨到設(shè)計理念��,屢屢成為國際獎項常勝軍�����。SecFlow�����、SecDevice 連續(xù)兩年分別榮獲「InfoSecurity Product Guide」的信息安全事件管理、物聯(lián)網(wǎng)等類別金質(zhì)獎項�����,以及「CyberSecurity Excellence Awards」的漏洞管理與信息安全事件應(yīng)變處理�、嵌入式裝置與工控設(shè)備信息安全等金獎殊榮����。
不僅如此,今年兩項產(chǎn)品在「InfoSec Awards」有所斬獲��,SecFlow 拿下「弱點與事件管理類別」最佳產(chǎn)品獎�,SecDevice 獲得「物聯(lián)網(wǎng)工控類別」次世代產(chǎn)品獎。究其主因�����,在于它們能夠精準(zhǔn)�、有效地協(xié)助客戶完成安全的軟件開發(fā)流程建立與產(chǎn)品信息安全檢測工作�。
仲至信息科技產(chǎn)品開發(fā)處處長暨開發(fā)總監(jiān)李育杰表示�����,透過專利的智慧式模糊測試技術(shù)�,能有效補強客制化協(xié)議的信息安全檢測缺口,降低IoT設(shè)備的信息安全風(fēng)險�。
