繼影像監控系統(IP Camera、NVR/DVR、NAS)之後,行動應用資安聯盟又於1月30日正式發佈了「門禁系統資安標準V2.0 暨測試規範V2.0」,對門禁廠商來說,如何順利合規不啻為一大挑戰。a&s媒體特別攜手法國必維國際檢驗集團(BUREAU VERITAS) 資安認證團隊規劃系列報導,將分別針對門禁管理平台、閘道控制器、讀取器、門鎖等資安標準,從第三方驗證公司的角度與廠商分享應關注的重點以及可落實的合規作法。敬請期待!(圖片來源:123RF)
隨著科技的不斷進步,更多具備IoT功能的設備、系統和服務, 包括各項OT通訊協定(如ModBus、BACnet)、IT協定(如HTTPS、SFTP)以及各式各樣的傳輸技術,都已大量導入機電控制、冷凍空調、防火防災、防盜保全等智慧建築(Smart Building)領域。
面臨門禁系統安全挑戰, 全球資安標準趨勢
在這樣的大環境下,門禁系統不再僅僅是物理安全的象徵,其涉及的網路和資訊安全 (Cybersecurity)也愈發重要。卡巴斯基(Kaspersky Lab)的研究指出,2019上半年用於控制智慧建築自動化系統的電腦,就有37%受到惡意攻擊的影響;而關於人員門禁個資外流、大樓指示牌與顯示螢幕被駭、影像 監控系統影片流出⋯等相關新聞報導亦層出不窮,顯見物聯網資安的重要性。
從2020年開始,我們可以看到世界各國公佈了許多網路安全相關法規,從美國加州物聯網條例草案、日本的電信商業法、德國IT安全法案、歐盟的網路韌性法⋯等。毫無疑問的,為了因應各國市場的法規和監管機構,智慧建築生態系的一線廠商們開始導入相關網路安全標準到自家的產品、系統,甚至是產品開發流程當中,例如ISA/IEC 62443、ETSI EN 303 645等國際資安標準, 皆是廠商可以採用的內容。尤其是ISA/ IEC 62443標準特別關注OT環境的安全風險,廠商可從公司治理、安全供應鏈、產品開發、產品生命週期四大層面塑造自家產品網路安全的基礎防護能力。透過遵循這些國際標準中的要求, 廠商不僅能夠保護其產品網路安全,還能樹立商業上的技術護城河。
門禁系統不再僅僅是物理安全的象徵,其涉及的網路和資訊安全
(Cybersecurity)也愈發重要。(圖片來源:123RF)
台灣門禁系統資安標準3大基本測試項目
以台灣市場來說,政府相關單位於2021年即已著手門禁系統資安標準的制定,行動應用資安聯盟於今(2024) 年1月30日又發佈了「門禁系統資安標準V2.0暨測試規範V2.0」第1∼6部, 涵蓋了「門禁管理平台」、「門禁閘道控制器」、「門禁讀取器」、「智慧門鎖」、「人臉辨識門禁裝置」5項產品。然而新的規範上路也必然遇到許多挑戰,法國必維國際檢驗集團建議門禁系統廠商,要跨出合規的第一步,應從門禁系統安全規範中最重要的3個測試項目為主:
• 門禁系統安全-第1-1部:一般要求事項中的5.2.2.3網路服務最小化測試。
• 5.2.3.2測試作業系統與網路服務是否存在CVSS v3評分為9.0分以上之常見安全脆弱性。
• 5.2.3.3網頁管理介面高風險等級脆弱性測試。
藉由這3項基本測試,門禁系統廠商們可以得知自家產品的現況,並思考團隊可以如何提升門禁系統產品的網路安全性。
測試1:網路服務最小化
首先,我們先來探討門禁系統資安標準第一部5.2.2.3網路服務最小化測試。這個測試的目的是驗證門禁產品是否存在預期以外的網路埠,意即廠商在送測前須先了解其產品對外開啟的服務有哪些?是不是可從其他台主機可以被偵測的到?再來開啟這些服務是否合理?因為有心人士可透過不同服務的偵測與枚舉,進一步收集資訊找到攻擊點。因此藉由這項測試,我們可以確保門禁系統僅開啟必要且已知的網路服務,減少攻擊面、提高系統的安全性。這項檢測也有助於避免不必要的網路連接,減少潛在的風險。
測試2:常見資安漏洞檢測
其次,5.2.3.2測試作業系統與網路服務是依照目前市面上已知的作業系統弱點下去做檢測,而規範以CVSS v3 9.0 為分界點。根據CVSS v3評分,如果存在9.0分以上的常見資安漏洞,系統將面臨極大的風險。因為這些已知的漏洞可能被駭客利用,導致系統遭受攻擊、資料外洩、或系統功能受損等危害。所以此檢測目的在於,要求廠商時時更新與修補門禁系統所在之作業系統,以避免未修補的漏洞成為潛在的攻擊入口。但由於資安事件層出不窮,即使通過測試,必維也還是建議廠商定期的做作業系統弱點檢測,並且時時做更新與修補,才能確保門禁系統的堅固性。
測試3:網頁管理介面漏洞檢測
最後,5.2.3.3網頁管理介面高風險等級漏洞測試,目的是驗證門禁產品的網頁管理介面是否存在OWASP Web Top 10高風險等級的漏洞。OWASP (Open Web Application Security Project)是一個全球性非營利組織,而 Web Top 10是由其中的一群資安專家長期關注網路應用程式風險,並按照其嚴重性和頻率進行排名,旨在揭示最常見的10種網路應用程式安全漏洞。網頁管理介面通常是攻擊者入侵的一個重要入口,而在門禁系統的網頁管理介面中, 可能存在SQL注入攻擊、跨站腳本攻擊(XSS)、跨站請求偽造(CSRF)等高風險等級漏洞。此測試的目的就是確保這些漏洞不會成為潛在的攻擊入口,而常態性進行這類測試有助於及早發現並修補潛在的漏洞,提高網頁管理介面的安全性,防範潛在的攻擊。
結語
綜合而言,門禁系統的網路安全測試是確保整體系統安全性不可或缺的一環。先藉由網路服務最小化、常見資安漏洞以及網頁管理介面漏洞3項基本測試,可以讓廠商先了解目前產品的資安狀況,進而研擬修補或升級的計畫。隨著整體資安意識的成熟,我們能夠有效地強化門禁系統的網路安全性,保障用戶和資訊的安全。