改善物聯網設備安全等級 程式碼安全不可少

在駭客攻擊手法持續進化下，零壹科技建議物聯網設備製造商，應該從產品設計階段就要融入資安思維，並在開發階段的早期就對程式碼進行安全檢測，並修正所發現的安全弱點。如此一來，能有效減少物聯網產品的弱點與風險，保護得來不易的商譽。

儘管近幾年企業的整體資安意識提升，且擴大在資安領域的投資，但仍然無法有效防堵惡意程式入侵，全球各地依然持續爆發各種資安事件。深究箇中原因，除因員工資安意識不足、資安防護架構待改善之外，軟體開發人員的欠缺資安思維，導致軟體專案產品存在許多弱點也是主因之一。

如2021 年底開放程式碼套件Log4j的資安事件，使用此套件企業可能面臨駭客透過套件中 LDAP injection 弱點入侵的風險，即是因為開發人員未能在開發階段識別此威脅並修正程式碼中弱點所致。類似的程式碼安全問題也出現在日益普及的物聯網設備上，才會導致網路攝影機、NAS設備等遭到入侵，除衍生出商業機密被竊取之外，亦有整台設備上資料遭到勒索軟體加密的憾事。從前述案例可知，企業引進靜態檢測工具的重要性，且更需要專業資安公司協助，才能避免物聯網設備遭入侵事件一再重演。

安華聯網是物聯網資安合規解決方案的國際領導廠商，為少數擁有深度資安評估與檢測技術的公司，安華聯網技術長劉作仁說，物聯網設備被入侵，最令人印象深刻的案例，莫過於2016年眾多網路攝影機遭到Mirai惡意軟體入侵，並成為駭客組織發動DDoS攻擊的殭屍設備。自此開始，每年都會爆發大小規模不一的物聯網設備遭入侵事件，造成消費者、企業等極大損失，對設備製造商的商譽帶來不小衝擊，也帶動一股針對原始碼進行檢測的風潮，只是在實際執行上的難度頗高。
 

在考量製造成本、設備效能下，多數物聯網設備都是採用開源的Linux核心，搭配價格較低廉的Arm架構處理器。根據長期耕耘物聯網產業的安華聯網觀察，儘管開源軟體的取得相當容易，但後續維護工作卻相當複雜，當爆發軟體套件的漏洞問題時，多數公司沒有自行修補的能力，只能被動等待開源社群釋出修補程式。此時若恰逢新產品即將上市，部分業者選擇冒著資安風險推出產品，且暗自祈禱不會爆發遭受駭客入侵的事件。其次，部分物聯網產品設計之初，並沒有納入軟體安全開發生命週期的思維，沒有提供產品更新的功能，即便後續開源社群發布修正套件，產品也無法在事後進行更新。在此狀況之下，先天即存在弱點的物聯網設備，自然成為駭客組織眼中的最佳攻擊目標。

「缺乏支援ARM處理器架構的靜態檢測工具也是另個重要因素，開發人員在ARM處理器架構上所開發的程式，在部分靜態檢測工具上無法正常進行編譯，開發人員需尋求原廠的協助讓檢測工具可支援交叉編譯器(Cross Compiler)，再利用檢測工具進行檢測，此複雜的檢測流程最終令人卻步。」劉作仁解釋：「相較之下，支援.NET、ASP、Android、C/C++、Go、iOS、JDK、PHP、Python等開發環境的Lucent Sky AVM，就能免去前述靜態檢測工具複雜的設定流程，自然成為安華聯網推薦給客戶的方案。搭配我們的資安顧問服務，可將產品的弱點與漏洞降到最低。」
 

安華聯網選用 Lucent Sky AVM 為客戶提供服務的關鍵，在於 Lucent Sky 獨家研發的分析和修正演算法，支援CVSS、CWE、OWASP ASVS、OWASP Top 10、PCI-DSS等安全標準與弱點清單，協助掃描程式碼及位元組碼，確認是否有相關弱點存在，如cross-site scripting 和 SQL injection 等。Lucent Sky AVM 採用獨家研發的Instant Fix、Remediation Suggestion等技術，透過縝密的脈絡分析、獨立計算每個弱點風險，且會自動產生安全程式碼，協助開發團隊加快弱點修正的流程，進有助於縮短軟體專案開發流程。

由於Lucent Sky AVM支援市面主流開發工具，能無縫融入企業現有的軟體開發環境，與既有的開發和部署工具整合，讓開發人員可在軟體開發的任何階段隨時進行檢測，優化安全軟體開發流程。特別是當軟體專案需使用第三方的軟體套件時，該工具也會確認軟體套件版本是否存在已知風險，大幅降低潛在的弱點風險。

劉作仁指出，在全球資安人才不足的狀況下，多數企業資安團隊的工作都非常忙碌，不一定有時間協助開發團隊解決軟體專案的弱點問題。而安華聯網在物聯網、工業控制、車聯網等專業領域，已累積多年資安經驗與技術能量，是少數擁有深度資安檢測與產品資安認驗證能力的公司，可提供客戶最完整的資安顧問服務，協助解決軟體漏洞修復的問題，扮演客戶最佳的資安後盾。

面對無孔不入的惡意程式，零壹科技建議開發人員在設計階段，就應該要融入資安思維，搭配易於使用的靜態檢測工具，以及完整的資安顧問服務，絕對能有效降低物聯網設備遭到攻擊的機率。