新聞

資安攻擊事件頻傳,最新物聯網設備認驗證制度大公開

2020 / 11 / 26
編輯部
資安攻擊事件頻傳,最新物聯網設備認驗證制度大公開
每當新興科技與應用出現在市場時,有時會衍生出當初規劃時沒有想到的問題,如同物聯網產品的問市,也伴隨著其他資安攻擊事件的發生,例如2016年的Mirai殭屍網路。當針對這些物聯網產品資安攻擊事件進行探討時,可以發現這些攻擊是建立在使用者未修改物聯網產品登入介面的預設密碼,再加上使用者未完全了解與熟悉物聯網產品提供的功能,讓具有遠端登入功能的物聯網產品暴露在網際網路上。此外,製造商沒有關注資安議題與趨勢,使用不安全的軟體設計,例如使用存在已知弱點的軟體套件、沒有要求使用者設定的密碼長度與複雜度,甚至預設開啟除錯模式等,這些都是惡意程式對物聯網產品進行攻擊與擴散,所瞄準的產品資安設計缺失。
 
針對物聯網產品的資安問題,國內外各組織也積極發展相關產品資安規範。目前在臺灣由經濟部工業局與通訊傳播委員會作為主管機構,委託資通產業標準協會(TAICS)所制定相關資安檢測標準與認驗證制度,目前已完成影像監控系統、智慧巴士及智慧路燈產業資安標準與認驗證制度。製造商可以委託認可的資安實驗室對物聯網產品進行資安檢測,通過檢測與審核後即可取得產品檢測合格證明標章。

在美國則有美國無線產業協會(Cellular Telecommunication Industry Association, CTIA)制定物聯網產品資安認證計畫(IoT Cybersecurity Certification Program)[3]。物聯網產品製造商欲取得CTIA所制定的IoT Cybersecurity Certification Program證書,可先選擇CTIA認可實驗室(CTIA Authorized Testing Laboratory, CATL)進行預測作業,接著透過CTIA認證網站發起認證需求,由CTIA認可實驗室進行檢測,並且將檢測報告提交至CTIA審查,以獲得CTIA的資安認證。

除了政府或產業協會等組織,大型企業也要求其供應商所製造的產品必須符合其資安要求,像是Amazon便要求所有使用Alexa雲端服務的產品都必須交由授權資安實驗室進行資安檢測,最後將測試報告提交至Amazon進行審查,待審查通過之後,方能進行後續產品發布。


藉由通過不同的資安認驗證制度,使物聯網產品具備抵抗駭客不同攻擊手法的能力。資安認驗證制度都是必須由合格的認證實驗室進行,由認證實驗室所出具的報告,才可以向管理單位申請合格證書。要成為認可實驗室首先需通過ISO 17025實驗室認證,熟悉資安標準與認驗證制度的檢測項目,並且將檢測項目變成標準作業程序,從人員、工具、環境及檢測作法都必須符合ISO 17025的要求。

安華聯網擁有ISO 17025認證的資安檢測實驗室,並且取得TAICS、CTIA、Amazon授權,成為認可資安檢測實驗室,能針對物聯網產品、智慧型手機、網路攝影機、Amazon Alexa產品等,進行資安認證測試,協助廠商取得資安證書或標章,滿足買家要求,進入國際市場。