歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
從物聯智慧的資安疑慮事件看到的隱形助力
2021 / 07 / 23
編輯部
國內專注於物聯網雲端服務開發的軟體商物聯智慧(TUTK),對於近期該公司的資安議題所帶來的波瀾有不少體會與心得,對一家以軟體及雲端解決方案為主軸的物聯網知名企業而言,在面對資安議題時容易被外界放大檢視,以其近來碰到的案例來看,卻也看到事件之後帶來的隱形助力。
首先,事件的起源背景是美國國土安全部所屬之網絡安全和基礎設施安全局(Cybersecurity and Infrastructure Security Agency, 以下簡稱CISA)委託研究機構針對市場上的資通訊設備進行資安強度調查,結果顯示採用該公司P2P SDK的網路攝影機,若使用SDK 3.1.4以前的舊版本存在資訊安全漏洞,這些漏洞可能被未經授權的訪問擷取機敏訊息,CISA揭露此訊息後,TUTK也陸續收到不少產業人士及媒體的關注詢問。
關於這次CISA 發布的警示,TUTK 早於今年3月即收到CISA通知,也主動協助CISA釐清受影響範圍,並提出歷年的具體改善措施。實際上,報告中所提採用SDK 3.1.4以前的舊版本的產品已陸續於 2018 年停產,2019年起提供給客戶的SDK皆已升級為可確保安全性的 3.1.10 版本,經過近3年的持續升級及更新,TUTK現行發布的SDK,皆已提供更高的安全性以支持 DTLS 加密。
在該報告中有關技術調查結果的陳述固然屬實,但也坦承無法追蹤個別消費者的設備是否處於安全的環境。資訊設備的使用,必須仰賴硬體製造商對硬體規格可配合採用能夠進行韌體線上更新(OTA)的功能,並願意啟用DTLS,因部分硬體商礙於啟用DTLS可能降低建立連線的速度,因此對升級SDK版本有所遲疑;而在終端使用者方面,則須培養良好的使用習慣,例如於初始使用設備時必須變更密碼,以及接受硬體商或品牌業者建議進行韌體版本更新,才可避免將設備曝露在不安全的網路環境中。
TUTK已累積12年軟體開發經驗,對於CISA委託研究機構挑選其作為資安研究對象,TUTK表示肯定,因為截至今年5月份,由TUTK軟體授權的物聯網產品數量就高達8,300萬,其中超過8成為網路攝影機,不論新產品推出或營運動態皆會成為業界關注焦點。TUTK這次與國際大品牌如日商歐姆龍、日立、三菱,德商西門子、台廠研華科技等,同樣被CISA委託的研究機構挑選作為資安研究對象,代表該公司在物聯網業界的實質影響力不容小覷,但若僅以舊版本SDK作為測試標的,TUTK除了遺憾之外,對於研究結果則表示尊重。
TUTK表示,作為物聯網軟體端的解決方案提供者,不斷升級具安全性的軟體和雲端服務是其必然的責任,除了已連續取得國際 ISO 27001 資訊安全認證外,為了保障客戶及使用者的資料與隱私安全,更成立資安事件反應小組(PSIRT)負責處理相關的事件通報與回應。隨著5G與物聯網的蓬勃發展,各項裝置數量爆發成長,TUTK擁有快速、安全與穩定的連線品質,加上配合美國CISA最新的資安規定,預期可以帶領物聯網製造商、品牌業者順利進軍全球市場,對於整體產業的發展TUTK抱持樂觀看法。
TUTK
CISA
SDK
PSIRT
IoT Security
DTLS 加密
OTA
最新活動
2024.10.16
2024 數位經濟資安趨勢論壇
2024.10.17
2024 金融資安趨勢論壇
2024.11.07
2024上市櫃高科技製造業資安論壇
2024.11.08
資安人講堂: 2025必須關注的資安10大趨勢
2024.10.16
駭客集團秘辛大公開!了解組織運作、勒索病毒攻擊手法與應對全攻略
2024.10.18
Wazuh All-in-one Security Platform 一體化安全平台網路研討會
2024.10.18
超智動化引領企業數位革命,AI賦能助力績效倍增
2024.10.24
企業網路不卡、IT不煩!現代企業網路的必修課
2024.10.30
從政策到實現 - 打造健全的機敏資料保護框架
2024.11.14
.NET/Java 安全程式開發達人集訓班
看更多活動
大家都在看
Cloudflare 揭史上最大規模 3.8 Tbps DDoS 攻擊 全球多產業成為目標
超過18000個API 金鑰外洩! 影響多個主流網站使用之令牌
JPCERT分享Windows事件檢視器技巧有助發現勒索軟體攻擊
美國CISA:駭客使用「簡易手法」攻擊工控系統
數百萬輛Kia汽車面臨遠端駭客攻擊漏洞:僅需車牌資訊即可入侵
資安人科技網
文章推薦
微軟將在 Windows Server棄用 PPTP 和 L2TP VPN 協議
不是漏洞利用!美國CISA 示警駭客利用 F5 BIG-IP Cookie 進行網路偵察
OpenAI 證實 ChatGPT 遭濫用於編寫惡意軟體