物聯網裝置五花八門資安規範如何兼顧

分享：

時序進入2020年，人工智慧(AI)與5G的發展仍不停歇。而在5G進入商轉的同時，趁著硬體產業的強盛，物聯網(IoT)的發展也因此愈加蓬勃。不過，隨著IoT的普及，邊緣裝置的資安威脅卻隨之增加，有越來越多的資安攻擊透過入侵IoT的終端裝置，進而進入核心網路以竊取資訊、進行詐騙等行為。

然而，目前IoT資安的痛點在於，不只相關裝置五花八門，甚至不同裝置中的零組件也過於多元。而這樣的狀況讓IoT難以擁有單一規格的限制，尤其目前全球法規針對IoT的資安規定也非常稀少，讓製造業者因而難以按照一套既有規範，為生產的產品安裝一套既定的安全防護機制。

自2014年成立後便深耕IoT相關資安的業者安華聯網，主要業務之一便是為客戶生產的IoT產品準備資安解決方案。總經理洪光鈞表示，目前IoT的資安在國際上尚未有一套標準，因此只能根據IoT的應用產業、出口的國家或區域規範來為IoT產品。此外，洪光鈞也表示確實需要一套自己的資安標準，除了能讓廠商更有所依據，也能夠因為安全性的提升為產品帶來加值。

同時，洪光鈞指出，製造業者也許對於資安意識有所感知，但多不知道該從何下手。因此在資安愈趨受到重視的潮流之下，設備製造商應該要有前景，並及早尋求相關協助，為自己的產品加值資安防護。

另外，在企業永續發展的潮流下，企業逐漸重視DevOps，換言之便是將開發團隊與IT維運團隊之間的橋樑建立起來，加入自動化過程以及順暢的溝通等，以維護產品生命週期。不過，洪光鈞指出在這套潮流之下卻忽略了安全性在其中也扮演至關重要角色，因此強調在DevOps中再加入安全，也就成為了DevSecOps。

相較於DevOps，DevSecOps多了一層對於安全的把關。洪光鈞提到過往產品的漏洞惟有在上市之後才能夠發現，不過現在即能在開發、設計的同時設想到安全性問題。在DevSecOps的運作下，安全團隊可以在開發時測試產品可能會出現的資安漏洞，並在部門間的溝通下，交由開發、維運團隊做進一步的產品維護、優化。

除了物聯網資安，安華聯網也有針對企業做內部的資安評估。洪光鈞提及企業尋求數位轉型下的觀察，認為企業在紛紛期盼能夠將資料上雲的狀態下，卻對於雲端既有的安全性太過於自信，因而直接將所有資料在沒有防護措施的狀況下直接上傳雲端。然事實上，資料的安全性、雲端的維護都是需要企業自己負責的範圍，若是錯失警覺性，即可能會造成資料資安威脅。

針對2020年的資安趨勢，洪光鈞表示，在COVID-19(新冠肺炎)疫情的影響下，導致企業對VPN、VDI等遠距辦公的需求、使用量皆有所增加，也因此引發相關的資安攻擊與威脅將會增加。除此之外，困擾企業許久的勒索軟體仍然會是今年主流的資安威脅之一，不過因攻擊方式變化多端，唯有提高企業員工的資安意識才能讓威脅得逞的機率降低。