省成本、低耗時、一試多證,SESIP躍居炙手可熱的IoT資安認證
近年物聯網(Internet of Things, IoT)裝置持續爆量增長,成為許多組織或個人賴以滿足各種應用需求的載體。然而多數IoT裝置在設計之初未考慮安全性,所以存在不少弱點,可能導致用戶的攻擊面擴大,對資料機密性、完整性與可用性釀成風險。
為減輕前述風險,各界日益關注物聯網資安議題,逐漸傾向以一些公正的評估標準作為採購依據。此時特別針對IoT平台與產品設計所提出之具的SESIP,因而受到各界矚目。
產品安全開發成顯學,但對IoT廠商構成沈重壓力
隸屬DEKRA德凱集團的安華聯網,其資深售前顧問周辰儒Bruce Chou表示,物聯網生態的基底為相關晶片,供應商包括恩智浦、意法半導體、英飛凌、高通,乃至國人熟識的聯發科、瑞昱…等,全球約數十家。同屬生態系的物聯網平台,廠家總體約莫數百家,如Amazon、Microsoft、IBM、Oracle…等知名大廠皆擁有各自IoT平台。但數量最多、甚至到達數十億等級產量,則是琳瑯滿目的IoT裝置,如網路型監控攝影機(IP CAM)、智慧路燈、智慧冰箱…等。
先從晶片談起,它基本上是系統單晶片(System on a Chip, SoC ),內含處理器、記憶體、Input/Output(I/O)、圖形處理器(GPU)、Radio…等配置,彷若一台小電腦,其中往往承載諸多機敏資訊。接著談到搭載這些晶片的多元IoT產品,其供應商長期面臨激烈競爭,所以往往想方設法加速上市時間、實現 降低成本目標。至於設計目的,原來只求正常作動而已。
惟後續隨著客戶要求、法遵合規、產品差異化等眾多因素湧現,迫使IoT開發者責任加重,須在設計階段符合資安,堪稱沉重壓力;因為他們沒有那麼多時間和金錢,可以好好地善盡此事。
「試想產品生命週期僅1~2年,如今卻要花半年或1年以上時間來準備認證,肯定是艱鉅挑戰,」Bruce Chou說,此外開發者擅於產品設計,並不專精於資安,如今為了落實安全開發,不管另請人才或自我進修,皆會付出高昂學習成本。
但儘管如此,IoT資安仍是不容妥協的議題,因為駭客會利用IoT裝置破口,釀成竊取機敏資訊、癱瘓用戶端網路等災難,後果不堪設想。所以IoT生態所有供應商,皆需克服重重挑戰,滿足相關資安合規要求。
一次測試有機會拿SESIP+PSA Certified雙認證
以IoT晶片和終端產品都適用的資安標準而論,最具代表性者是安全評估共通準則(Common Criteria, CC ),但它的取證時間動輒一年半載,且開發者須因應繁瑣規範而撰寫大量文件,以致付出可觀的時間與金錢成本,難免讓不少業者卻步。所以後來陸續出現其他相對輕量級的IoT資安標準,如漸受矚目的SESIP及PSA Certified;其中SESIP由GlobalPlatform提出,而PSA Certified則由Arm提出。
臺灣有很多IoT裝置代工生產製造商(Original Equipment Manufacturer , OEM) ,當下面臨的最大考驗,在於經常接收到不同夥伴或客戶要求、需通過許多不同安全認證,意謂他們須為此負擔繁重成本;對照產品生命週期僅1~2年的景況,顯得極不匹配、更不切實際。
業者如何紓解此困境?需要有一個化繁為簡的方法,幫助廠商既能掌握資安、又能減少精力,於是SESIP與PSA Certified被各方寄予厚望。SESIP全名為Security Evaluation Standard for IoT Platforms,重點在於簡化CC標準,藉由較低的取證門檻且同樣滿足IoT安全要求,更易於被IoT廠商接受。
簡言之,SESIP旨在提供一個兼具彈性與效率的認證方法,讓變化多端的複雜IoT生態有共通準則可以依循,從而在3~6個月內取得認證。更重要的是,SESIP不僅可以幫助IoT開發者減少複雜度與成本,加快進入市場的時間,且因IoT裝置從上而下涵蓋眾多層級,若從晶片開始就已拿到證書,即可望發揮一證多用功效。
Bruce Chou說,假設晶片商 C開發者已獲得SESIP認證,後續只要提供證書加上打包好的產品認證文件(certification package) ,即有助於客戶免除此部分的安全認證要求,增加其晶片賣相。另外加密資料庫(Crypto Library) 廠商 B開發者,則需呼叫晶片的加密功能。假使搭配已取得SESIP認證的晶片,不僅有助免除許多學習成本,且能加快其Crypto Library取證速度。至於所屬系統整合(System Integration, SI)產業的 A開發者,需協助客戶建構傳輸層安全性協定(Transport Layer Security, TLS),此時若引用通過SESIP認證的Crypto Library,便可降低投入成本,更輕易讓此TLS取得SESIP認證,不必從頭到尾什麼都自己做。
具體來說,SESIP對晶片商的好處,在於無需耗時費力便可有效提升安全水平,形塑產品的差異化優勢。對軟體商來說,只要搭配通過認證的晶片、呼叫箇中像是加密等各項功能,即可省卻許多重複性工作,加速通過SESIP認證。對於SI,可降低專案開發風險與成本,避免日後因客戶資訊外洩而遭受客訴。
另對於臺灣許多OEM工廠或服務提供者,SESIP可協助其達到良好的合規。係因SESIP的認證內容用途甚廣,可映照到不同工業標準,譬如透過SESIP和PSA Certified共同承認的Profile,可以更容易取得PSA Certified;更有甚者,還能對應到ETSI EN 303 645與英國PSTI方案,藉此通過這些認證,創造一試多證效果。
總括而論,對IoT終端使用者而言,不論為工業級或消費級產品,大家對資安意識都不斷攀升,甚至對GDPR(General Data Protection Regulation)等個資保護法規多有重視。因此不管是晶片、軟體或設備開發商,如何能確保資料不洩露,繼而為自身產品創造差異化價值,無疑至關重要,那麼藉由通過SESIP認證來證明的安全開發能力,顯然是最理想的開端。