勒索病毒「WannaCry」席卷全球,由于病毒不断变种升级,所造成的资安威胁已成公司经营风险最重要的一环。日前美国联邦贸易委员会(FTC)亦控诉台湾知名网通产品存在严重安全瑕疵。资策会资安所「资安检测识别实验室」日前正式启用,并推出三项服务协助国内业者降低产品出口之资安修补成本,及资安风险造成消费权利的损害。
资安专家指出,9成漏洞的弱点来自软体开发,企业将如何自保防范,实是刻不容缓议题。有鉴于此,资策会资安科技研究所「资安检测识别实验室」提供的三项服务包含:一、IoT产品接轨国际之资安合规顾问辅导;二、我国IoT产品资安检测基准拟定;三: IoT资安检测与识别服务推动。
智能联网设备资安检测以人工分析耗时耗力,缺乏自动化,其设备韧体安全(Firmware Security)又欠缺有效且及时的解决方案,供应商大多未提供作业系统与韧体之修补程式、测试工具及更新机制,因此造成安全弱点或漏洞修补的困难,然而如何自动化进行韧体拆解以发觉潜在弱点或夹藏后门,则是资安检测艰巨的挑战。
资策会资安所所长林宗男特别以IP CAM为例,资安检测识别实验室在抽测市售IP CAM中,竟然发现某厂牌的韧体更新档没有加密,因此容易被窜改遭受攻击,并启动不需要的预设服务。此外,更在WiFi Ap(基地台)检测发现,管理介面的管理者帐号密码可轻易被破解。
「资安检测识别实验室」累积多年的网通产品资安弱点扫描与渗透测试能量,针对IoT设备与韧体、身份认证、Web管理介面、通讯加密与软体平台未知弱点探测提供检测评估。未来将效法国际建立检测验证服务联盟,透过创新技术研发、标准研拟、常态合作等创新检测机制与模式,持续创造台湾资安检测价值。
