客户故事
10.May.2021
友讯科技与仲至信息联手 取得IEC 62443-4-1国际认证 提升产品安全
随着物联网及智能家居等应用兴起,包括网络摄影机、无线路由器等联网产品安全,已开始被各国政府积极规范,以保障消费者的隐私与住家的网络安全。2016年友讯科技的路由器与网络摄影机面临来自美国政府的关注,原因起于产品标榜具备先进的网络安全能力,但却仍发生用户敏感数据外泄的网络安全事件,如实时影片或声音。此一事件让原本就在产品发布前有进行网络安全检测的友讯,开始进一步检视可能被忽略的安全环节,最后发现,要降低类似事件发生的风险,就必须从产品安全开发流程的源头着手;此外,若要以符合法规要求,且让消费者使用的安心,取得国际级的网络安全认证更具有说服力。而仲至信息是友讯在产品网络安全上长期的合作伙伴,除协助过多家网通、工控等大厂建立网络安全检测能量外,更有国际网络安全认证的能力与经验,且深知友讯面临的难题,因此,友讯随即与仲至信息洽谈进一步的合作,不仅在产品的安全测试上,而是建立完整的软件安全开发(SSDLC)计划,从开发源头将网络安全纳入设计中(Secure by design),并将网络安全控制措施整合至每一个流程节点上,最后成功取得IEC 62443-4-1的国际证书。
实现产品安全开发生命周期计划 - 「知易行难」
在过去的经验里,如何落实产品安全开发生命周期上的各项控制措施,对厂商而言才是最重要的课题,因此,将产品安全要求融入组织的网络安全政策与开发流程中是最至关重要的,包括产品风险评估(威胁建模)、风险处理及相对应网络安全要求的测试等作业程序。而友讯与仲至信息共同合作,开始着手导入SSDLC计划至全公司,自产品规格定义、开案审查、设计、风险评估、测试、验证到发行与运营部署,透过实例经验以及顾问咨询的方式,协助友讯的各部门产出安全开发流程的每个阶段应对应产出的结果,以确保每一个安全开发流程环节都有被执行。
仲至信息从访谈开始了解友讯实际的产品开发作业情况,协助制定符合现行产品开发以及SSDLC的作业流程,同时也透过大量的教育训练与会议讨论,确定适合友讯的安全开发流程。在这段期间,友讯与仲至信息分别串接起跨部门的分工与合作,全面施行SSDLC计划,同时建立起重要的产品EOL政策,除了考虑保护产品用户的网络安全外,也透过这个政策的实施,更完整掌握产品的开发计划与生命周期,解决老旧产品售后问题;除安全开发流程外,针对不同的部门职务角色,安排合适的教育训练,包括网络安全意识、安全开发作业、产品安全开发指导方针,建立各个职务角色的网络安全意识与知识也是此次导入的成功的因素。
此外,由于友讯的SSDLC计划实施范围为全组织,因此面临到另一个耗时的关键活动即是产品安全测试;为了缩短产品开发周期、产品上市时间并节省成本,友讯采用了仲至信息所自主研发高度自动化产品-SecDevice弱点检测自动化工具,协助友讯在开发过程中减少人工送测和报告产出时间;SecDevice采用自动化方式,仅须少量的人工介入,并具备快速找问题、自动产出测试报告等特色、对于Fail的测项上有详细的测试信息与修补建议,大幅降低修补时间与测试成本,给予测试人员与开发工程师很大的帮助。
透过仲至信息顾问辅导团队的协助,友讯快速建立并完成产品安全任务编组、制订开发安全检视项目、客制化产品网络安全测项、导入产品安全检测自动化工具与产品安全事件管理系统等控制措施,并于公司内部奠定了安全开发的基础。友讯建立的SSDLC各项网络安全活动如下图所示。
仲至信息从访谈开始了解友讯实际的产品开发作业情况,协助制定符合现行产品开发以及SSDLC的作业流程,同时也透过大量的教育训练与会议讨论,确定适合友讯的安全开发流程。在这段期间,友讯与仲至信息分别串接起跨部门的分工与合作,全面施行SSDLC计划,同时建立起重要的产品EOL政策,除了考虑保护产品用户的网络安全外,也透过这个政策的实施,更完整掌握产品的开发计划与生命周期,解决老旧产品售后问题;除安全开发流程外,针对不同的部门职务角色,安排合适的教育训练,包括网络安全意识、安全开发作业、产品安全开发指导方针,建立各个职务角色的网络安全意识与知识也是此次导入的成功的因素。
此外,由于友讯的SSDLC计划实施范围为全组织,因此面临到另一个耗时的关键活动即是产品安全测试;为了缩短产品开发周期、产品上市时间并节省成本,友讯采用了仲至信息所自主研发高度自动化产品-SecDevice弱点检测自动化工具,协助友讯在开发过程中减少人工送测和报告产出时间;SecDevice采用自动化方式,仅须少量的人工介入,并具备快速找问题、自动产出测试报告等特色、对于Fail的测项上有详细的测试信息与修补建议,大幅降低修补时间与测试成本,给予测试人员与开发工程师很大的帮助。
透过仲至信息顾问辅导团队的协助,友讯快速建立并完成产品安全任务编组、制订开发安全检视项目、客制化产品网络安全测项、导入产品安全检测自动化工具与产品安全事件管理系统等控制措施,并于公司内部奠定了安全开发的基础。友讯建立的SSDLC各项网络安全活动如下图所示。
成功取得IEC 62443-4-1证书
对多数制造商而言,导入软件安全开发流程的目的,除了可降低风险外,若能取得国际网络安全认证,更能取信于消费者或买家;而IEC 62443-4-1国际认证,主要就是针对组件供应商所应符合的安全开发生命周期要项,所制定的网络安全规范,是以SSDLC的方法论(Methodology)为主,并参考ISO 27001与ISO 15408的部分要求,所组成严谨的国际网络安全标准,主要重点要求包含强化产品生命周期安全管理,以及安全更新管理与安全指引说明等。
由于友讯已完成并实现SSDLC计划,因此,在仲至信息的协助下,6个月内即完成IEC 62443-4-1的导入与取证的作业。在此期间,更进一步建立起完善的外包厂商管理的网络安全政策,包含安全开发风险评估表、采用弱点检测自动化工具SecDevice的弱点验证,降低任何可能影响产品安全的网络安全风险。此外,由于友讯的产品线广泛,但维护管理的人力有限,因此在导入产品网络安全合规自动化平台SecFlow后,能依据产品组件与外包厂商,有效进行开源套件盘点及网络安全事件追踪管理,并能实时回复且进行相对应的处置,大幅加快产品弱点与网络安全事件的处理时效。
经过长时间的耕耘,友讯在2020年完成IEC 62443-4-1的稽核并取得IEC证书,证明了友讯在产品网络安全上的决心与努力,已达到国际级的水平,而仲至信息也成功透过自身的经验与自动化产品,协助友讯强化在产品网络安全上的国际竞争力。
随着新兴技术广泛应用于各产业及消费市场,带来新商机的同时也会产生更多网络安全风险,未来双方将持续投入心力在AI、5G、WiFi 6、边缘运算等领域的应用安全,保障产品网络安全,更让消费者放心。
由于友讯已完成并实现SSDLC计划,因此,在仲至信息的协助下,6个月内即完成IEC 62443-4-1的导入与取证的作业。在此期间,更进一步建立起完善的外包厂商管理的网络安全政策,包含安全开发风险评估表、采用弱点检测自动化工具SecDevice的弱点验证,降低任何可能影响产品安全的网络安全风险。此外,由于友讯的产品线广泛,但维护管理的人力有限,因此在导入产品网络安全合规自动化平台SecFlow后,能依据产品组件与外包厂商,有效进行开源套件盘点及网络安全事件追踪管理,并能实时回复且进行相对应的处置,大幅加快产品弱点与网络安全事件的处理时效。
经过长时间的耕耘,友讯在2020年完成IEC 62443-4-1的稽核并取得IEC证书,证明了友讯在产品网络安全上的决心与努力,已达到国际级的水平,而仲至信息也成功透过自身的经验与自动化产品,协助友讯强化在产品网络安全上的国际竞争力。
随着新兴技术广泛应用于各产业及消费市场,带来新商机的同时也会产生更多网络安全风险,未来双方将持续投入心力在AI、5G、WiFi 6、边缘运算等领域的应用安全,保障产品网络安全,更让消费者放心。
