勒索病毒「
WannaCry 」先前在多國造成災情,全球企業損失逾 10 億美元,資安議題備受關注,由於 9
成漏洞來自軟體開發,因此資策會資安所成立「資安檢測鑑識實驗室( CFL )」,推出 IoT 產品接軌國際之資安合規顧問輔導、國內 IoT
產品資安檢測基準擬定、 IoT 資安檢測與鑑識服務推動等 3
項服務,希望藉此協助國內業者降低產品出口資安修補成本,及資安風險造成消費權利的損害。
近幾年病毒不斷變種升級,造成的資安威脅成為公司經營風險最重要的一環,從
2000 年起,駭客開始以郵件夾 exe 或圖檔,導致使用者的電腦中毒, 2010
年起因應臉書等社交軟體崛起,駭客隨之衍生社群攻擊模式,近年因應物聯網時代來臨,相關應用潛藏的資安危機,更是需要關注的議題。
而智慧聯網設備資安檢測以人工分析耗時耗力,缺乏自動化,其設備韌體安全(
Firmware Security
)又欠缺有效且及時的解決方案,供應商大多未提供作業系統與韌體之修補程式、測試工具及更新機制,因此造成安全弱點或漏洞修補的困難,然而如何自動化進行韌體拆解以發覺潛在弱點或夾藏後門,是資安檢測艱巨的挑戰。
資策會資安所所長林宗男以
IP CAM 舉例,資安檢測鑑識實驗室在抽測市售 IP CAM
中,發現某廠牌的韌體更新檔沒有加密,容易被竄改遭受攻擊,並啟動不需要的預設服務,更在 WiFi
AP(基地台)檢測發現,管理介面的管理者帳號密碼可輕易被破解,目前實驗室技術團隊已掌握以人工智慧為核心的資安檢測工具研發,包括靜態韌體解析掃描、智慧裝置韌體弱點探析技術等,填補業界聯網設備韌體安全、所需可檢測高資安風險之關鍵技術,如此一來,可降低漏洞修補的人力成本,推升國內資安技術自主及產品服務水準。
資安檢測鑑識實驗室可針對
IoT 設備與韌體、身份認證、 Web
管理介面、通訊加密與軟體平台未知弱點探測提供檢測評估,曾經檢測出部分廠牌的手機潛藏資安問題,成功協助相關業者修補資安漏洞;除了以顧問諮詢及前瞻檢測機制協助產品資安品質外,將效法國際建立檢測驗證服務聯盟,透過創新技術研發、標準研擬、常態合作等創新檢測機制與模式,創造國內資安檢測價值。
沒有留言:
張貼留言