根據日本政府所發布的2016年網路安全趨勢報告,Panasonic產品資訊安全中心亞太區負責人林永熙表示,攻擊事件已經從2016年3月最高峰的2006件,產生逐漸下滑的趨勢,「但是這只是表面上的結果。」他認為,網路攻擊數件的減少,其實肇因於過去駭客多鎖定電腦設備、智慧手機做為攻擊標靶,「但是近年已經轉移到IoT裝置上。」

隨著攻擊目標的轉移,駭客利用路由器、網路攝影機進行網路嗅探行為的次數也逐年增加,「目的是為了刺探IoT產品的漏洞。」像是在2011年時,日本平均每日有252.9起網路嗅探行為的通報,但是到了2015年,已經成長到729.3件。

也因此,林永熙表示,目前IoT裝置資安議題,廣泛被業界關注。而Panasonic作為硬體廠商,林永熙表示,面對IoT資安威脅,「我們最在意的就是裝置功能停止,或是被產品變成攻擊跳板。」首先,礙於IoT裝置的運算效能有限,如果不法人士惡意發送許多垃圾封包,很容易導致設備停止運作。再者,2016年發生多起殭屍網路攻擊事件,許多網路攝影機、伺服器及路由器都遭受感染,變成駭客發動攻擊的跳板,林永熙表示,對創立近百年的Panasonic而言,也高度關注旗下產品是否變成攻擊跳板,「我們不能接受產品成為攻擊加害者。」所以,在產品品管過程就將資安納入考量,這也正是林永熙的任務之一。

智慧安全家電是日本IoT市場大宗產品

根據他觀察,目前日本的IoT市場上較為熱門的產品,多為輔助家庭安全的連線裝置,例如監視攝影機,或是監控住家使用多少電力、能源的產品。他表示,許多人認為一個好的IoT產品,必須要內建更多連線功能「但是在日本市場中,現況並不是如此。」他表示,早在10年前,日本製造熱水壺的廠商,就已經因應日本高齡化趨勢,推出具有記錄使用者行為功能的產品。該設備會搜集獨居長者的使用熱水器的時間點,並且透過電子郵件告知其親友,「藉此確保其生活起居正常。」

除此之外,日本廠商也有推出智慧電燈泡,當系統發現該使用者已經超過一段時間內沒有啟動、關閉電燈時,也會自動發送電子郵件,通知使用者的親友。

而這些輕薄、功能簡潔的IoT裝置,目前正是日本市場的主流大宗產品。但是林永熙表示,中國市場對於連線裝置的需求極大,也因此中國Panasonic自行研發的產品,多半必須搭載連線功能,「因此目前Panasonic集團中,連線功能進步最快的是中國市場。」

靠威脅分析、漏洞檢測,加強產品安全

林永熙也揭露了目前Panasonic資安部門的架構,目前總共分成IT安全、產品安全以及工廠安全,「未來目標就是要將它們全部整合在一起。」為了加強產品安全,Panasonic也規定,在產品各個不同的生命周期中,必須制定分別不同的因應策略。

在產品一開始的計畫、設計跟實作階段中,目標是減少系統漏洞的存在,「達到風險最小化。」而其中關鍵作業就是進行威脅分析。林永熙解釋,在威脅分析階段時,軟體開發時必須提出詳盡的規格、計畫書,方便公司進行風險分析,並且擬定相關因應措施,「礙於成本考量,企業無法完全避開風險,必須進行取捨。」

再者是產品到了測試階段,必須通過團隊的漏洞檢測。林永熙表示,目前Panasonic旗下有成立一個數十人的團隊,專門負責測試其雲端服務、Web應用程式,以及嵌入式系統是否存在漏洞。該團隊除了必須要建立固定的檢測手法,事後也要提出檢測報告,除了替漏洞分類風險等級、紀錄攻擊手法,也要提出解決方案。

未來Panasonic也要推動漏洞懸賞計畫

在未來,日本Panasonic也計畫要發起漏洞懸賞計畫。林永熙表示,2016年時,美國Panasonic已經跟漏洞平臺Hackerone合作,廣邀駭客來挖掘旗下機上娛樂系統的漏洞,確保產品安全性。除此之外,美國分布也已經雇用了10多名的正職駭客,每天執行漏洞檢測的工作。不過他表示,由於Panasonic目前的主力產品是硬體,也有許多委外製造的合作夥伴,在推動漏洞懸賞上有一定的困難程度,「Panasonic還有許多路要走。」


Advertisement

更多 iThome相關內容