歐盟網路資安局發表 IoT 資安報告,聚焦軟體開發設計安全

作者 | 發布日期 2019 年 12 月 23 日 12:01 | 分類 物聯網 , 網通設備 , 資訊安全 Telegram share ! follow us in feedly


歐盟網路資安局(ENISA)發表最新物聯網資安報告(Good Practices for Security of IoT),聚焦於分析物聯網系統開發生命週期(SDLC)各階段的資安關鍵點,以達成軟體開發的整體設計安全評估。

ENISA 細數 SDLC 資安關鍵點,盼打造良好資安基礎

從 2016 年 Mirai 發起 DDoS 攻擊到 2019 年 Silex 惡意軟體與 Urgent/11 安全性漏洞,物聯網資安議題總與應用同時受關注。鑑於安全的開發準則是物聯網安全的基本基礎,ENISA 近期發表的報告特別著重軟體開發指南,並就設計、開發、維護、設置 IoT 系統與服務的各階段說明細節。

彙整報告內容,主要著重於兩大領域,一為分析 IoT SDLC 所有階段的安全問題及需考慮關鍵點,二為 IoT 安全 SDLC 相關的資產與威脅詳細分類方式。報告目的除提供切實可行的實踐做法強化 IoT SDLC 的網路安全性外,另一層面或許也希望進一步接軌及影響現有標準、指南及方案等,提升物聯網資安防護的共通性。

▲ ENISA 報告 SDLC 各階段資安關鍵點。(Source:ENISA;拓墣產業研究院整理,2019.12)

產官雙方持續聚焦物聯網資安議題,標準共通性將成發展關鍵

ENISA 報告強調設備設計安全,並進一步細緻化至軟體開發部分,而各國政府近期著墨於推廣物聯網資安機制至消費市場,例如英國擬就消費者物聯網產品進行強制監管的安全標籤機制、澳洲政府針對消費性物聯網設備的供應商發表業務實踐守則,芬蘭近日落實物聯網設備資安標籤機制,提供消費者充分的安全辨識以簡化購買決策。

物聯網產品開發階段的資安設計同樣影響廠商產品發展,台廠宜鼎首度與微軟合作發表的工業等級固態硬碟 InnoAge SSD,即是看中 Azure Sphere 提供的安全性,一開始便內建可透過雲端執行頻外管理及資料安全防護等管理功能;Check Point 亦於近日推出可強化物聯網裝置韌體的綜合性安全解決方案,讓網路攝影機、電梯控制器及醫療設備等物聯網裝置能抵禦如零時差攻擊等威脅。

物聯網資安對產、官雙方而言皆是需長期關注議題,各方也就標準、規範、產品等持續發展,然而現行頒行的法規與機制規範範圍多具區域性,例如芬蘭物聯網安全標籤、台灣物聯網資安標章,乃至英國規劃的安全標籤機制等皆無法互通,一定程度或也造成設備出口的複雜性與認證成本上升。未來諸多物聯網資安標準如何跨國統一互通,讓消費者更清楚了解必要性及安全保證性,也是物聯網設備商需持續留意的重要方向。

(首圖來源:shutterstock)

關鍵字: , , , ,