物聯網設備漏洞頻傳 安華聯網籲從提升資安思維著手

在消費市場需求的帶動下，物聯網正逐漸擴張到各個領域，從個人裝置到企業設備、從工業系統到商業應用均加入了物聯網，因此各大企業也紛紛加入物聯網投資行列，媒體業相信IoT對公司成長扮演至關重要角色，因此預估2025年物聯網設備數量將突破750億。然而蘊含無限商機的物聯網，卻早已成為駭客鎖定的攻擊目標，如前幾年爆發的Mirai殭屍病毒，造成全球數十萬台網絡攝像機受感染，同時還針對特定目標發動超過1Tb流量的DDoS攻擊。

物聯網裝置之所以頻頻遭到駭客入侵並成為駭客發動攻擊的跳板，關鍵原因是產品本身的安全性不足。首先，不少業者為了加快搶占市場商機，從而在產品上市前不實施完整的資安測試，因此導致了許多未經修補的漏洞湧現。其次，消費者購買產品之後，他們普遍都沒有更新密碼的習慣，更遑論定時更新韌體或修補程式，這自然而然地讓駭客有機可乘。安華聯網在連網產品資安評估解決方案領域，不僅擁有豐富的產業成功經驗與技術研發成果，同時還擁有國際級的實驗室，可為企業單位提供完整的一站式物聯網資安合規解決方案服務。
 

根據安華聯網多年的連網產品檢測經驗總結，目前物聯網設備所遭受的攻擊總括為三大類，分別為設備本身、通訊協議、軟體，其中軟體攻擊經常被忽略。基於對上市速度、成本、供應商等因素的考慮，多數物聯網設備都採用開源軟體進行開發，因而這就衍生出了弱點風險、許可證的法律問題。不少人認為開源軟體有免費使用權，但是大部分的開源軟體都已在授權協議中說明僅適用於非商業用途，因此這導致了不少爭議問題。

事實上，開源軟體許可證的法律框架是複雜的，因為每個類別的原始碼針對衍生產品的使用都有不同的限制或協議，若無意間採用了開源軟體卻沒有遵守協議要求的話，這可能會導致法律問題或生產力損失。另外，過去幾年來開源軟體漏洞數量一直在持續攀升，但是很多企業似乎沒有注意到此問題。

全球各地會頻頻發生物聯網設備遭到入侵關鍵，究其原因，除駭客攻擊手法進化之外，設計師在開發過程中缺乏資安意識，也是另個重要的因素。最常遇到的狀況，莫過於開發過程引用第三方元件，卻忽略第三方元件也存在弱點，以及不知道應該如何找出未知弱點。其實產品上市前，需考量的安全面向應提早至開發流程中進行規劃，著手的重點可由滿足合規規範、進行產品Pre-test，以及引進第三方檢測評估等面向著手。我們可提供資安合規顧問服務、資安檢測評估，以及完整的資安產品與工具。

安華聯網建議企業在進軍物聯網市場時，可落實以下幾項動作：將資安提前至開發流程：將資安意識提前至開發過程中執行，開發過程管理並修補發現弱點風險；在開發過程找出產品弱點：找出第三方套件的已知弱點，挖掘尚未被發現的未知弱點；以及善用工具滿足不同規範需求：透過合規工具滿足安全測試需求，運用涵蓋率廣的工具滿足不同產業需求等，才能避免物聯網產品遭受資安攻擊。
 

媒體報導

• DIGITIMES