勒索病毒「WannaCry」席捲全球,也由於此病毒不斷變種升級,所造成的資安威脅已成公司經營風險最重要的一環。此外,日前美國聯邦貿易委員會(FTC)控訴我國知名網通產品存在嚴重安全瑕疵,更顯示駭客攻擊已經不再只是等民眾上鉤,舉凡能夠連網的產品,都有可能是資安攻擊的目標,因此企業必須加速落實智慧聯網(IoT)隱私與安全的保護。
根據資安專家指出,9成漏洞的弱點來自軟體開發,企業將如何自保防範,實是刻不容緩議題,有鑑於此,資策會資安科技研究所(資安所)「資安檢測鑑識實驗室(CFL)」(*註),於今(8)日正式揭牌啟用,此實驗室主要推出包含(1) IoT產品接軌國際之資安合規顧問輔導、(2) 我國IoT產品資安檢測基準擬定、(3) IoT資安檢測與鑑識服務推動等三項服務,希望能夠協助國內業者降低產品出口之資安修補成本,及資安風險造成消費權利的損害。
連網產品成攻擊焦點 資策會提供自動化檢測與漏洞挖掘服務
駭客攻擊的模式隨著科技應用的發展有所演進,從2000年起,多數駭客以郵件夾exe或圖檔,導致使用者的電腦中毒,2010年起,則因應臉書、社交軟體崛起,駭客也衍生社群攻擊模式,近年來因應物聯網時代來臨,相關應用潛藏的資安危機,更是需要關注的議題。
駭客攻擊的模式隨著科技應用的發展有所演進,從2000年起,多數駭客以郵件夾exe或圖檔,導致使用者的電腦中毒,2010年起,則因應臉書、社交軟體崛起,駭客也衍生社群攻擊模式,近年來因應物聯網時代來臨,相關應用潛藏的資安危機,更是需要關注的議題。
事實上,智慧聯網設備資安檢測以人工分析耗時耗力,缺乏自動化,其設備韌體安全(Firmware Security)又欠缺有效且及時的解決方案,供應商大多未提供作業系統與韌體之修補程式、測試工具及更新機制,因此造成安全弱點或漏洞修補的困難,然而如何自動化進行韌體拆解以發覺潛在弱點或夾藏後門,則是資安檢測艱巨的挑戰。
資策會資安所所長林宗男特別以IP CAM為例指出:「資安檢測鑑識實驗室在抽測市售IP CAM中,竟然發現某廠牌的韌體更新檔沒有加密,因此容易被竄改遭受攻擊,並啟動不需要的預設服務。此外,更在WiFi AP(基地台)檢測發現,管理介面的管理者帳號密碼可輕易被破解。目前資安檢測鑑識實驗室技術團隊已掌握以人工智慧為核心的資安檢測工具研發,包括靜態韌體解析掃描、智慧裝置韌體弱點探析技術等,填補業界聯網設備韌體安全、所需可檢測高資安風險之關鍵技術。」如此一來,就可降低漏洞修補的人力成本,最終達到推升我國資安技術自主及產品服務水準。
國際接軌 推動IoT設備資安檢測基準與顧問輔導
資策會資安所「資安檢測鑑識實驗室」累積多年的網通產品資安弱點掃描與滲透測試能量,針對IoT設備與韌體、身份認證、Web管理介面、通訊加密與軟體平台未知弱點探測提供檢測評估,曾經檢測出部份廠牌的手機潛藏資安問題,成功協助相關業者修補資安漏洞。
除了以顧問諮詢及前瞻檢測機制協助產品資安品質外,資安檢測鑑識實驗室將效法國際建立檢測驗證服務聯盟,透過創新技術研發、標準研擬、常態合作等創新檢測機制與模式,持續創造我國資安檢測之價值。
*註:資安檢測鑑識實驗室(CFL):
資策會資安所資安檢測鑑識實驗室(CFL ; Cybersecurity Forensics Laboratory),專注於研發自有資安技術,已多年與業界攜手合作建立資安檢測能量,提供政府與企業Web軟體及系統平台等檢測與數位鑑識分析服務,為我國資訊應用服務及產品把關,目前除了提供政府資安檢測與鑑識服務,亦擴及於智慧聯網(IoT)、電子商務、金融、行動通訊、網通、物聯網、工控等重要領域。
圖說:資策會資安所「資安檢測鑑識實驗室(CFL)」,於今(8)日正式揭牌啟用,圖為資策會資安所所長林宗男(右8)、資安所副所長侯猷珉(右7)、資安所副所長丁綺萍(左8)帶領資安檢測鑑識實驗室團隊合影。
圖說:近年來因應物聯網時代來臨,舉凡能夠連網的產品,都有可能是資安攻擊的目標,資策會資安所「資安檢測鑑識實驗室(CFL)」,提供政府與企業Web軟體及系統平台等檢測與數位鑑識分析服務。
