企业网络安全
16.Mar.2020
仲至信息科技力推DevSecOps安全关键动能 网络信息安全合规难题迎刃而解
身处物联网(IoT)时代,多数设备制造商或品牌商力推连网产品,并加快产品上市速度,但求快之余,难免对网络信息安全品质有所忽略,以致许多存在漏洞的设备流向市面,履履被国外政府或黑客披露产品上的网络信息安全漏洞,除影响消费者权益外,甚至被提起诉讼,连带造成厂商的商誉与品牌价值受损。
肇因政府法规、网络信息安全标准与采购商要求日益严谨,迫使设备商面临愈来愈高的合规需求,既需要做功能性测试,还得导入安全软件开发生命周期(Secure SDLC, SSDLC),以通过网络信息安全要求。无奈多数厂商的网络信息安全维运与检测能力仍待提升,尚不足以应付层层网络信息安全合规考验。有鉴于此,长年对连网产品网络信息安全议题着力至深的仲至信息科技,推出HERCULES SecFlow 与SecDevice产品网络信息安全合规自动化平台,协助企业实现开发安全维运(DevSecOps)流程,可有效符合国际网络信息安全标准与终端采购客户的网络信息安全要求。
综观接踵而至的法令与标准,厂商要以DevSecOps这样更敏捷的开发方式,争取产品上市时间,又必须兼顾产品的网络信息安全品质,因此,可采用DevSecOps这样的方法来实现与应对;但要实现这样的方法,须同时仰赖产品风险评估、软件安全开发、漏洞检测技术等人才来执行,三者缺一不可;对多数厂商来说,欲建立前述专业团队的门槛与成本偏高,加上建立期程大约需至少一至两年的时间,堪称重大挑战。
仲至信息科技的HERCULES产品网络信息安全合规自动化平台,设计初衷正是协助客户降低进入门槛、缩短期程。其中SecFlow是产品网络信息安全管理系统,要解决的是客户对于「网络信息安全规范」的需求,并连结开发团队、网络信息安全团队及维运团队三个角色之间的信息分享与协同合作,可帮助客户快速建立DevSecOps运作机制,同时确保开发流程符合网络信息安全法规,譬如建立产品网络信息安全风险评估机制,并即时向外部获取最新的产品网络信息安全威胁资讯,以确保所有产品的网络信息安全风险可以被完整掌握;除辅助客户快速建立网络信息安全制度外,SecFlow还提供开源函式库风险分析、产品漏洞管理、网络信息安全事件应变处理等多项关键功能,协助产品开发团队、网络信息安全团队及维运团队快速拟订相关因应对策。
至于SecDevice为漏洞检测自动化工具,解决的是DevSecOps对于产品开发与检测的时效问题,主要针对开发团队完成的产品,透过网络端模拟黑客的攻击手法,快速且精准的进行漏洞的扫描与测试,使产品在部署阶段、上市前,做好产品网络信息安全品质的完整确认。
李育杰指出,市场上有一些同样以漏洞检测或扫描为诉求的工具,但设计理念多围绕于一般信息系统,适合IT人员采用,解决的是技术问题,仅能补足个别检测缺口;反观HERCULES SecFlow与SecDevice从法规面出发,强调法规要求的项目内容与对应,解决的是物联网相关产品网络信息安全合规议题,使产品能更快的进入市场。
「更重要的,HERCULES是100%国产自主研发的产品网络信息安全合规解决方案,不仅发挥最高的专业服务能力,更蕴含独特的AI技术。」李育杰进一步说,以网络信息安全的漏洞检测为例,包含两个主要方法,一是漏洞扫描,藉由比对国际漏洞资料库(CVE)来发现已知问题,另一是模糊测试,意在探索未知的网络信息安全漏洞,价值与技术门槛更高。
而SecDevice就是主打以模糊测试来发掘物联网产品上的未知网络信息安全漏洞,而这是由多项专利技术堆积而成。首先是「攻击测试案例的产生」专利,会依据独有的演算法,产生不重复且最佳的测试项目,对受测设备进行最有效的漏洞测试,使其以最精简的内容与时间,完成验证系统稳定性与错误处理的能力。其次是「受测设备的状态分析」,如医生探测病患的呼吸频率般,针对受测设备的反应状况做学习与分析,使检测漏洞的准确度更高,减少以往测试人员须经常处理的误判问题。此外,SecDevice更加上AI自动学习技术,使其能够面对越来越多不同应用或类型的物联网设备与情境,对未来5G或厂商自行开发的网络协议仍可以很快速且轻易的进行漏洞测试。也因为上述三项独到的技术,相较市面上其他工具,让SecDevice可以提供更快、更准确且更完整的协助客户完成产品的网络信息安全检测,符合DevSecOps的敏捷式精神。
谈到SecDevice现今用户结构,一部分为连网设备开发商,他们原来仅具备功能性测试能力,导入SecDevice后2个月内的时间,即建立起产品网络信息安全检测能力;另一部分为品牌公司客户,需针对众多的产品进行测试与验收工作,并将测试结果回馈给不同的软件开发团队,测试的量相对更大,但与前者的导入与建置时间相同。
一般而言,企业从无到有要建立自已的产品网络信息安全检测团队,平均而言至少须有5位专职人员,采购5套以上的商用专业检测工具,起码耗时一到两年的时间; SecDevice的最大价值,便是让原本高耸的门槛大大的降低,使企业更快拥有产品网络信息安全品质确保的能力。
李育杰表示,以目前整体产品销售状况来看,SecFlow与SecDevice除了国内客户品牌设备商与制造商都有导入成功案例外,在中国、日本及印度也都有国际大厂陆续采购与使用;依据每个案例的导入经验,他建议,假使国内企业担心因导入DevSecOps而打乱产品上市步调,不妨采取渐进式做法,先从测试(SecDevice)开始确保网络信息安全品质,接着布建产品网络信息安全管理流程与机制(SecFlow),最终取得产品网络信息安全验证(网络信息安全合规服务),据此优化流程、从根本上调理好企业的网络信息安全体质。
值得一提,HERCULES SecFlow & SecDevice 挟着独到设计理念,屡屡成为国际奖项常胜军。 SecFlow、SecDevice 连续两年分别荣获「InfoSecurity Product Guide」的网络信息安全事件管理、物联网等类别金质奖项,以及「CyberSecurity Excellence Awards」的漏洞管理与网络信息安全事件应变处理、嵌入式装置与工控设备网络信息安全等金奖殊荣。
不仅如此,今年两项产品在「InfoSec Awards」有所斩获,SecFlow 拿下「漏洞与事件管理类别」最佳产品奖,SecDevice 获得「物联网工控类别」次世代产品奖。究其主因,在于它们能够精准、有效地协助客户完成安全的软件开发流程建立与产品网络信息安全检测工作。
媒体报导
肇因政府法规、网络信息安全标准与采购商要求日益严谨,迫使设备商面临愈来愈高的合规需求,既需要做功能性测试,还得导入安全软件开发生命周期(Secure SDLC, SSDLC),以通过网络信息安全要求。无奈多数厂商的网络信息安全维运与检测能力仍待提升,尚不足以应付层层网络信息安全合规考验。有鉴于此,长年对连网产品网络信息安全议题着力至深的仲至信息科技,推出HERCULES SecFlow 与SecDevice产品网络信息安全合规自动化平台,协助企业实现开发安全维运(DevSecOps)流程,可有效符合国际网络信息安全标准与终端采购客户的网络信息安全要求。
产品网络信息安全评估兼具DevSecOps敏捷开发 完全满足网络信息安全合规需求
仲至信息科技产品开发处处长暨开发总监李育杰表示,近年各国网络信息安全法令与政策的演进快速,包括美国FDA、欧盟相继对医疗器材制造商祭出网络信息安全规范,加州推出全美第一套IoT装置安全法案(SB-327),美国国防部发表网络安全成熟度模型认证(CMMC),及多家国际连网设备品牌商对其供应商提出产品网络信息安全要求;众多规章密集出炉,加重了设备制造商的产品上市与合规应变压力。综观接踵而至的法令与标准,厂商要以DevSecOps这样更敏捷的开发方式,争取产品上市时间,又必须兼顾产品的网络信息安全品质,因此,可采用DevSecOps这样的方法来实现与应对;但要实现这样的方法,须同时仰赖产品风险评估、软件安全开发、漏洞检测技术等人才来执行,三者缺一不可;对多数厂商来说,欲建立前述专业团队的门槛与成本偏高,加上建立期程大约需至少一至两年的时间,堪称重大挑战。
仲至信息科技的HERCULES产品网络信息安全合规自动化平台,设计初衷正是协助客户降低进入门槛、缩短期程。其中SecFlow是产品网络信息安全管理系统,要解决的是客户对于「网络信息安全规范」的需求,并连结开发团队、网络信息安全团队及维运团队三个角色之间的信息分享与协同合作,可帮助客户快速建立DevSecOps运作机制,同时确保开发流程符合网络信息安全法规,譬如建立产品网络信息安全风险评估机制,并即时向外部获取最新的产品网络信息安全威胁资讯,以确保所有产品的网络信息安全风险可以被完整掌握;除辅助客户快速建立网络信息安全制度外,SecFlow还提供开源函式库风险分析、产品漏洞管理、网络信息安全事件应变处理等多项关键功能,协助产品开发团队、网络信息安全团队及维运团队快速拟订相关因应对策。
至于SecDevice为漏洞检测自动化工具,解决的是DevSecOps对于产品开发与检测的时效问题,主要针对开发团队完成的产品,透过网络端模拟黑客的攻击手法,快速且精准的进行漏洞的扫描与测试,使产品在部署阶段、上市前,做好产品网络信息安全品质的完整确认。
汇聚多项专利技术 SecDevice展现独特的模糊测试性能
李育杰指出,市场上有一些同样以漏洞检测或扫描为诉求的工具,但设计理念多围绕于一般信息系统,适合IT人员采用,解决的是技术问题,仅能补足个别检测缺口;反观HERCULES SecFlow与SecDevice从法规面出发,强调法规要求的项目内容与对应,解决的是物联网相关产品网络信息安全合规议题,使产品能更快的进入市场。「更重要的,HERCULES是100%国产自主研发的产品网络信息安全合规解决方案,不仅发挥最高的专业服务能力,更蕴含独特的AI技术。」李育杰进一步说,以网络信息安全的漏洞检测为例,包含两个主要方法,一是漏洞扫描,藉由比对国际漏洞资料库(CVE)来发现已知问题,另一是模糊测试,意在探索未知的网络信息安全漏洞,价值与技术门槛更高。
而SecDevice就是主打以模糊测试来发掘物联网产品上的未知网络信息安全漏洞,而这是由多项专利技术堆积而成。首先是「攻击测试案例的产生」专利,会依据独有的演算法,产生不重复且最佳的测试项目,对受测设备进行最有效的漏洞测试,使其以最精简的内容与时间,完成验证系统稳定性与错误处理的能力。其次是「受测设备的状态分析」,如医生探测病患的呼吸频率般,针对受测设备的反应状况做学习与分析,使检测漏洞的准确度更高,减少以往测试人员须经常处理的误判问题。此外,SecDevice更加上AI自动学习技术,使其能够面对越来越多不同应用或类型的物联网设备与情境,对未来5G或厂商自行开发的网络协议仍可以很快速且轻易的进行漏洞测试。也因为上述三项独到的技术,相较市面上其他工具,让SecDevice可以提供更快、更准确且更完整的协助客户完成产品的网络信息安全检测,符合DevSecOps的敏捷式精神。
谈到SecDevice现今用户结构,一部分为连网设备开发商,他们原来仅具备功能性测试能力,导入SecDevice后2个月内的时间,即建立起产品网络信息安全检测能力;另一部分为品牌公司客户,需针对众多的产品进行测试与验收工作,并将测试结果回馈给不同的软件开发团队,测试的量相对更大,但与前者的导入与建置时间相同。
一般而言,企业从无到有要建立自已的产品网络信息安全检测团队,平均而言至少须有5位专职人员,采购5套以上的商用专业检测工具,起码耗时一到两年的时间; SecDevice的最大价值,便是让原本高耸的门槛大大的降低,使企业更快拥有产品网络信息安全品质确保的能力。
借助开源函式库风险分析,即早并加速排除网络信息安全风险
亦涵盖诸多细致功能,可协助客户提前在开发阶段就把网络信息安全问题减到最少,降低了上市后发现问题再来修补的成本。以「开源函式库风险分析」模块为例,开发团队预先将所有产品相关的信息内置于系统,并不断的优化其「关联性」,因此,每当维运团队接获产品被通报有漏洞发生时,网络信息安全团队在一天内就能协助开发团队彻查与了解影响范围,两周内共同把相关问题处理完毕;以往企业都是维运或网络信息安全团队听闻网络信息安全事件后,才分派其他团队执行调查,至少要花三个月的时间,且分工、责任不明,甚至无法解决问题,而SecFlow就是要连结起开发、网络信息安全及维运三个团队间的合作,共同解决现今各式各样的产品网络信息安全问题。李育杰表示,以目前整体产品销售状况来看,SecFlow与SecDevice除了国内客户品牌设备商与制造商都有导入成功案例外,在中国、日本及印度也都有国际大厂陆续采购与使用;依据每个案例的导入经验,他建议,假使国内企业担心因导入DevSecOps而打乱产品上市步调,不妨采取渐进式做法,先从测试(SecDevice)开始确保网络信息安全品质,接着布建产品网络信息安全管理流程与机制(SecFlow),最终取得产品网络信息安全验证(网络信息安全合规服务),据此优化流程、从根本上调理好企业的网络信息安全体质。
值得一提,HERCULES SecFlow & SecDevice 挟着独到设计理念,屡屡成为国际奖项常胜军。 SecFlow、SecDevice 连续两年分别荣获「InfoSecurity Product Guide」的网络信息安全事件管理、物联网等类别金质奖项,以及「CyberSecurity Excellence Awards」的漏洞管理与网络信息安全事件应变处理、嵌入式装置与工控设备网络信息安全等金奖殊荣。
不仅如此,今年两项产品在「InfoSec Awards」有所斩获,SecFlow 拿下「漏洞与事件管理类别」最佳产品奖,SecDevice 获得「物联网工控类别」次世代产品奖。究其主因,在于它们能够精准、有效地协助客户完成安全的软件开发流程建立与产品网络信息安全检测工作。
媒体报导
