物联网设备漏洞频传 仲至信息呼吁从提升网络信息安全思维着手

在消费市场需求的带动下，物联网正逐渐扩张到各个领域，从个人设备到企业设备、从工业系统到商业应用均加入了物联网，因此各大企业也纷纷加入物联网投资行列，媒体业相信IoT对公司成长扮演至关重要角色，因此预估2025年物联网设备数量将突破750亿。然而蕴含无限商机的物联网，却早已成为黑客锁定的攻击目标，如前幾年爆发的Mirai殭尸病毒，造成全球数十万台网络摄像机受感染，同时还针对特定目标发动超过1Tb流量的DDoS攻击。

物联网设备之所以频频遭到黑客入侵并成为黑客发动攻击的跳板，关键原因是产品本身的安全性不足。首先，不少业者为了加快抢占市场商机，从而在产品上市前不实施完整的网络信息安全测试，因此导致了许多未经修补的漏洞涌现。其次，消费者购买产品之后，他们普遍都没有更新密码的习惯，更遑论定时更新固件或修补程序，这自然而然地让黑客有机可乘。仲至信息在连网产品网络信息安全评估解决方案领域，不仅拥有丰富的产业成功经验与技术研发成果，同时还拥有国际先进的网络安全实验室，可为企业单位提供完整的一站式物联网信息安全合规解决方案服务。
 

根据仲至信息多年的连网产品检测经验总结，目前物联网设备所遭受的攻击总括为三大类，分别为设备本身、通讯协议、软件，其中软件攻击经常被忽略。基于对上市速度、成本、供应商等因素的考虑，多数物联网设备都采用开源软件进行开发，因而这就衍生出了漏洞风险、许可证的法律问题。不少人认为开源软件有免费使用权，但是大部分的开源软件都已在授权协议中说明仅适用于非商业用途，因此这导致了不少争议问题。

事实上，开源软件许可证的法律框架甚为复杂，因为每个类别的源代码针对衍生产品的使用都有不同的限制或协议，若无意间采用了开源软件却没有遵守协议要求，这可能会导致法律问题或生产力损失。另外，过去几年来开源软件漏洞数量一直在持续攀升，但是很多企业单位似乎没有注意到此问题。

全球各地频频发生物联网设备攻击事件，究其原因，除了黑客攻击手法的进化之外，另外一个主要原因就是设计师在开发过程中缺乏网络信息安全意识。目前产业内普遍存在这样的问题，在开发过程采用第三方组件，然而却忽略了存在于第三方组件的漏洞，同时采用者也不知道应该如何找出未知漏洞。其实，在产品上市前，需考虑的安全标准规划应提前在开发流程中执行，执行重点主要聚焦于满足合规规范、产品安全预测以及引进第三方权威检测评估等。仲至信息可提供一站式的物联网信息安全合规顾问服务、网络信息安全检测评估服务，以及完整的物联网信息安全产品与配套工具。

各企业单位在进军物联网市场时，为了减少网络信息安全方面的损失和成本，并使效益达到最大化，仲至信息建议各企业单位应该切实落实好以下几项事项：提前将网络信息安全标准导入到开发流程，即提前将网络信息安全意识在开发过程中执行，在开发过程中管理并修补所发现的漏洞；在开发过程中找出产品漏洞，即找出第三方套件的已知漏洞，并挖掘尚未被发现的未知漏洞；合理且有效地利用工具来满足不同规范需求，通过运用安全合规评估工具来满足安全测试需求，并运用涵盖广泛安全标准的工具来满足不同产业需求及其他需求，进而更好地让物联网产品免遭网络安全攻击。