勒索病毒「WannaCry」席捲全球,由於病毒不斷變種升級,所造成的資安威脅已成公司經營風險最重要的一環。日前美國聯邦貿易委員會(FTC)亦控訴台灣知名網通產品存在嚴重安全瑕疵。資策會資安所「資安檢測鑑識實驗室」日前正式啟用,並推出三項服務協助國內業者降低產品出口之資安修補成本,及資安風險造成消費權利的損害。
資安專家指出,9成漏洞的弱點來自軟體開發,企業將如何自保防範,實是刻不容緩議題。有鑑於此,資策會資安科技研究所「資安檢測鑑識實驗室」提供的三項服務包含:一、IoT產品接軌國際之資安合規顧問輔導;二、我國IoT產品資安檢測基準擬定;三: IoT資安檢測與鑑識服務推動。
智慧聯網設備資安檢測以人工分析耗時耗力,缺乏自動化,其設備韌體安全(Firmware Security)又欠缺有效且及時的解決方案,供應商大多未提供作業系統與韌體之修補程式、測試工具及更新機制,因此造成安全弱點或漏洞修補的困難,然而如何自動化進行韌體拆解以發覺潛在弱點或夾藏後門,則是資安檢測艱巨的挑戰。
資策會資安所所長林宗男特別以IP CAM為例,資安檢測鑑識實驗室在抽測市售IP CAM中,竟然發現某廠牌的韌體更新檔沒有加密,因此容易被竄改遭受攻擊,並啟動不需要的預設服務。此外,更在WiFi Ap(基地台)檢測發現,管理介面的管理者帳號密碼可輕易被破解。
「資安檢測鑑識實驗室」累積多年的網通產品資安弱點掃描與滲透測試能量,針對IoT設備與韌體、身份認證、Web管理介面、通訊加密與軟體平台未知弱點探測提供檢測評估。未來將效法國際建立檢測驗證服務聯盟,透過創新技術研發、標準研擬、常態合作等創新檢測機制與模式,持續創造台灣資安檢測價值。
資料來源:資策會