近年來網路惡意攻擊事件呈倍數成長,網路設備的資訊安全也越來越受到重視,對設備製造商而言更是一大挑戰!本文為友訊科技與安華聯網聯手取得IEC 62443-4-1國際認證的成功案例,也值得安防設備製造商參考。
隨著物聯網及智慧家居等應用興起,包括網路攝影機、無線路由器等連網產品安全,已開始被各國政府積極規範,以保障消費者的隱私與住家的網路安全。
產品出廠前即使有資安檢測仍不夠
2016年友訊科技的路由器與網路攝影機面臨來自美國政府的關注,原因起於產品標榜具備先進的網路安全能力,但卻仍發生用戶機敏資料外洩的資安事件,如即時影片或聲音。此一事件讓原本就在產品釋出前有進行資安檢測的友訊,開始進一步檢視可能被忽略的安全環節,最後發現,要降低類似事件發生的風險,就必須從產品安全開發流程的源頭著手;此外,若要以符合法規要求,且讓消費者使用得安心,取得國際級的資安認證更具有說服力。
因此,友訊隨即與安華聯網洽談進一步的合作,不僅在產品的安全測試上,而是建立完整的軟體安全開發(Secure Software Development Life Cycle, SSDLC)計畫,從開發源頭將資安納入設計中(Secure by design),並將資安控制措施整合至每一個流程節點上,最後成功取得IEC 62443-4-1的國際證書。
實現產品安全開發生命週期計畫 知易行難
在過去的經驗裡,如何落實產品安全開發生命週期上的各項控制措施,對廠商而言才是最重要的課題,因此,將產品安全要求融入組織的資安政策與開發流程中是最重要的,包括產品風險評估(威脅建模)、風險處理及相對應資安要求的測試等作業程序。而友訊與安華聯網共同合作,開始著手導入SSDLC計畫至全公司,自產品規格定義、開案審查、設計、風險評估、測試、驗證到發行與維運部署,透過實例經驗以及顧問諮詢的方式,協助友訊的各部門產出安全開發流程的每個階段應對應產出的結果,以確保每一個安全開發流程環節都有被執行。
跨部門分工合作、建立各個職務的資安意識
安華聯網從訪談開始瞭解友訊實際的產品開發作業情況,協助制定符合現行產品開發以及SSDLC的作業流程,同時也透過大量的教育訓練與會議討論,確定適合友訊的安全開發流程。在這段期間,友訊與安華聯網分別串接起跨部門的分工與合作,全面施行SSDLC計畫,同時建立起重要的產品EOL(End-of-life)政策,除了考量保護產品使用者的資訊安全外,也透過這個政策的實施,更完整掌握產品的開發計畫與生命週期,解決老舊產品售後問題。除安全開發流程外,針對不同的部門職務角色,安排合適的教育訓練,包括資安意識、安全開發作業、產品安全開發指導方針,建立各個職務角色的資安意識與知識也是此次導入的成功的因素。
採用弱點檢測自動化工具,降低產品安全測試成本
此外,由於友訊的SSDLC計畫實施範圍為全組織,因此面臨到另一個耗時的關鍵活動——產品安全測試。為了縮短產品開發時程、產品上市時間並節省成本,友訊採用了安華聯網所自主研發高度自動化產品SecDevice弱點檢測自動化工具,協助友訊在開發過程中減少人工送測和報告產製時間。SecDevice採用自動化方式,僅須少量的人工介入,並具備快速找問題、自動產出測試報告等特色,對於Fail的測項上有詳細的測試資訊與修補建議,大幅降低修補時間與測試成本,給予測試人員與開發工程師很大的幫助。
透過安華聯網顧問輔導團隊的協助,友訊快速建立並完成產品安全任務編組、制訂開發安全檢視項目、客製化產品資安測項、導入產品安全檢測自動化工具與產品安全事件管理系統等控制措施,並於公司內部奠定了安全開發的基礎。友訊建立的SSDLC各項資安活動如(圖1)所示。
圖1、 產品安全開發流程輔助系統及連網產品安全弱點檢測工具架構
成功取得IEC 62443-4-1證書
對多數製造商而言,導入軟體安全開發流程的目的,除了可降低風險外,若能取得國際資安認證,更能取信於消費者或買家。而IEC 62443-4-1國際認證,主要就是針對元件供應商所應符合的安全開發生命週期要項,所制定的資安規範,是以SSDLC的方法論(Methodology)為主,並參考ISO 27001與ISO 15408的部分要求,所組成嚴謹的國際資安標準,主要重點要求包含強化產品生命週期安全管理,以及安全更新管理與安全指引說明等。
建立委外廠商管理資安政策,導入產品資安合規自動化平台
由於友訊已完成並實現SSDLC計畫,因此在安華聯網的協助下,6個月內即完成IEC 62443-4-1的導入與取證的作業。在此期間,更進一步建立起完善的委外廠商管理的資安政策,包含安全開發風險評估表、採用弱點檢測自動化工具SecDevice的弱點驗證,降低任何可能影響產品安全的資安風險。此外,由於友訊的產品線廣泛,但維護管理的人力有限,因此在導入產品資安合規自動化平台SecFlow後,能依據產品組件與委外廠商,有效進行開源套件盤點及資安事件追蹤管理,並能即時回覆且進行相對應的處置,大幅加快產品弱點與資安事件的處理時效。
經過長時間的耕耘,友訊在2020年完成IEC 62443-4-1的稽核並取得IEC 62443-4-1證書,證明了友訊在產品資訊安全上的決心與努力已達到國際級的水準,而安華聯網也成功透過自身的經驗與自動化產品,協助友訊強化在產品資安上的國際競爭力。
隨著新興技術廣泛應用於各產業及消費市場,帶來新商機的同時也會產生更多資安風險,未來雙方將持續投入心力在AI、5G、WiFi 6、邊緣運算等領域的應用安全,保障產品資安,更讓消費者放心。
