欧盟网络资安局(ENISA)发表最新物联网资安报告(Good Practices for Security of IoT),聚焦于分析物联网系统开发生命周期(SDLC)各阶段的资安关键点,以达成软件开发的整体设计安全评估。
ENISA 细数 SDLC 资安关键点,盼打造良好资安基础
从 2016 年 Mirai 发起 DDoS 攻击到 2019 年 Silex 恶意软件与 Urgent/11 安全性漏洞,物联网资安议题总与应用同时受关注。鉴于安全的开发准则是物联网安全的基本基础,ENISA 近期发表的报告特别着重软件开发指南,并就设计、开发、维护、设置 IoT 系统与服务的各阶段说明细节。
汇整报告内容,主要着重于两大领域,一为分析 IoT SDLC 所有阶段的安全问题及需考虑关键点,二为 IoT 安全 SDLC 相关的资产与威胁详细分类方式。报告目的除提供切实可行的实践做法强化 IoT SDLC 的网络安全性外,另一层面或许也希望进一步接轨及影响现有标准、指南及方案等,提升物联网资安防护的共通性。
▲ ENISA 报告 SDLC 各阶段资安关键点。(Source:ENISA;拓墣产业研究院整理,2019.12)
产官双方持续聚焦物联网资安议题,标准共通性将成发展关键
ENISA 报告强调设备设计安全,并进一步细致化至软件开发部分,而各国-近期着墨于推广物联网资安机制至消费市场,例如英国拟就消费者物联网产品进行强制监管的安全标签机制、澳洲-针对消费性物联网设备的供应商发表业务实践守则,芬兰近日落实物联网设备资安标签机制,提供消费者充分的安全辨识以简化购买决策。
物联网产品开发阶段的资安设计同样影响厂商产品发展,台厂宜鼎首度与微软合作发表的工业等级固态硬盘 InnoAge SSD,即是看中 Azure Sphere 提供的安全性,一开始便内建可透过云端执行频外管理及资料安全防护等管理功能;Check Point 亦于近日推出可强化物联网装置固件的综合性安全解决方案,让网络摄影机、电梯控制器及医疗设备等物联网装置能抵御如零时差攻击等威胁。
物联网资安对产、官双方而言皆是需长期关注议题,各方也就标准、规范、产品等持续发展,然而现行颁行的法规与机制规范范围多具区域性,例如芬兰物联网安全标签、台湾物联网资安标章,乃至英国规划的安全标签机制等皆无法互通,一定程度或也造成设备出口的复杂性与认证成本上升。未来诸多物联网资安标准如何跨国统一互通,让消费者更清楚了解必要性及安全保证性,也是物联网设备商需持续留意的重要方向。
(首图来源:shutterstock)
