萬物連網的時代,智慧家電也可能成為駭客鎖定的目標,而遭到攻擊,對於家電廠商來說,強化自家產品的資訊安全,已是刻不容緩。在2020 Cybersec臺灣資安大會中,日本家電大廠Panasonic就介紹他們的做法,希望能提供準備開始推動連網產品安全的企業參考。

對於促使企業重視物聯網裝置安全的原因,Panasonic網路安全實驗室工程師張智翔指出,物聯網資安威脅的態勢,如今已經是相當嚴重的問題。他引用了日本網路事件分析暨戰術緊急回應中心(Network Incident analysis Center for Tactical Emergency Response,NICTER)在2018年的研究,該單位在暗網探測到的威脅,當時就有接近一半與物聯網裝置有關;如今這樣的態勢,由資安廠商卡巴斯基於今年4月推出的報告也得到類似的結果,他們的密罐自2017年到2019上半年之間,取得鎖定物聯網裝置的惡意軟體數量,也是自2018年第2季開始大幅爆發。因此,在這種態勢之下,企業也必須正視物聯網裝置的安全。

這樣的威脅態勢也引發政府單位的高度關注,進而成立專屬的組織來督促企業重視物聯網裝置的安全。例如,在日本,當局於2019年2月成立了NOTICE專案(National Operation Towards IoT Clean Environment)來檢測網路上的裝置是否使用弱密碼,而可能成為駭客能輕易掌控的目標;而臺灣則是推動了物聯網資安標章,希望製造裝置的業者能夠達到相關的安全。

而在物聯網安全上,製造這些裝置的廠商,需要做到的工作,張智翔認為主要可區分在於產品售出之前,以及售後處置等2種層面。對此,Panasonic對於他們的產品的資安,設定的核心理念,便是從「減少風險」與「事件回應」,這2個原則是他們員工的基本認知,因此該公司時常提供與物聯網資安相關的課程,讓開發團隊能夠了解,進而帶到產品的開發之中。

主要資安工作從上市前開發與漏洞因應著手

張智翔指出,在Panasonic的產品開發流程裡,他們區分成4種階段,包含了產品的規畫、設計、執行開發,以及上市之前的相關測試。

而對於事件的因應和通報,Panasonic成立了與公司IT安全有關的資安事件應變小組(CSIRT),與產品上市之後的資安漏洞通報與因應相關的產品資安事件應變小組(PSIRT),以及和生產資安有關的製造系統事件回應小組(Factory Security Incident Response Team,FSIRT)等。其中,由於PSIRT是接收外部通報產品漏洞的管道,因此,該單位也要將獲得的資訊彙整後,提供給CSIRT和FSIRT等單位。

針對資安事件回應,Panasonic建置威脅情資平臺來改善處理流程

在開發流程和上市後漏洞的因應工作之餘,張智翔特別提到他們近期對於物聯網威脅加劇,包含了新興的攻擊手法、識別攻擊是否鎖定自家產品、相關惡意程式大幅增加等,自行建置了威脅情資平臺,來更有效率分析收集到的威脅,進而降低他們處理產品資安的花費。

張智翔指出,因為近年鎖定家用物聯網惡意程式數量爆增,他們在這個威脅平臺裡,納入了密罐和沙箱等措施,來自動化分析大部分的惡意程式,再將相關的結果提供給開發部門參考。


Advertisement

更多 iThome相關內容