縱橫物聯網時代!打造數位資訊安全防護策略 勤業眾信:縱向建立資安框架 橫向管理跨域資訊風險
(中央社訊息服務20180926 15:22:13)勤業眾信聯合會計師事務所今(26)舉辦「勤業眾信資安攻防展演記者會」,透析「萬物互聯」從想像成為真實後,如何開啟駭客攻擊企業及家庭網路的門戶,藉以竊取敏感性資料、操控設備、發動分散式阻斷服務攻擊(DDoS)等,使物聯網(IoT)設備成為資安犯罪的漏洞。勤業眾信資安檢測團隊特別打造一個「居家空間」場景,現場展示駭客如何層層突破智慧家居聯網設備的安控與防護,並建議在規劃物聯網應用時,應強化資安防護,以避免新興科技成為人身安全的潛在威脅。
勤業眾信聯合會計師事務所風險諮詢服務營運長吳佳翰表示,物聯網的創新應用引領智慧生活發展,不僅提升產業競爭力,也深深影響生活型態轉型,不過,在此情境下資訊安全甚為重要。近年來,物聯網資安事件頻傳,除了藉國家之力推動物聯網資安產業標準外,製造商更應重視於設備元件研發過程中,即應實施物聯網安全規劃與檢測作業,以達到符合安全性的設計理念(Security by design),持續強化整體產業資安防護能量。
吳佳翰分析,由於物聯網與過往傳統資訊服務架構有顯著性差異,一般的資安管理機制已不適用,建議企業規劃應用物聯網智慧化時,必須兼顧「縱向與橫向」資安策略。首先,企業應「縱向」追溯、建立平台、並打造基礎建設的安全框架;第二,應進行「橫向」管理,掌握跨領域整合資訊服務所產生的風險,「雙管齊下」打造全方位物聯網數位安全策略。
勤業眾信資安團隊特別實際打造一個「居家空間」場景,現場展示駭客如何破解「感應門禁系統、煙霧感測器、人體紅外線感應器、智慧插座、網路攝影機、智慧電鍋、掃地機器人、無線路由器」等物聯網設備,藉以說明並提醒無論消費者採購物聯網設備、企業導入物聯網解決方案,或設備製造商在開發智慧設備時,皆應進行適當的評估與規劃,以降低設備潛藏安全漏洞所造成之資安風險,期望縮短未來應變所需時間,進而反饋至企業端因應防不勝防的資安威脅。
「勤業眾信資安科技暨鑑識分析中心」日前再度以零缺失通過財團法人全國認證基金會的專業外部評鑑審查作業,取得ISO 17025「物聯網裝置資安檢測」增項認證,成為繼取得數位鑑識、行動應用App資安檢測認證後,全臺灣唯一將物聯網設備、嵌入式系統與應用程式檢測,納入資安檢測範圍的全方位實驗室。
為了完整評估物聯網設備的安全防護能力,勤業眾信資安團隊特別採用美國國家標準暨技術研究院發佈之資訊安全測試與評估指引(NIST SP800-115 - Technical Guide to Information Security Testing and Assessment)與開放網站應用程式安全專案組織發佈之物聯網測試指引(OWASP IoT Testing Guides)等國際資安檢測指引,擬定了網頁安全、作業系統安全、網路服務安全、無線通訊安全、硬體/韌體安全與密碼管理安全保護等六大檢測面向,全方位評估物聯網設備的整體安全性,並可出具國際認可的檢測實驗室報告,藉此協助資訊設備製造商可及早發現物聯網設備的潛在安全性漏洞,也充分的展現了設備製造商的善良管理人之義務與落實保護使用者敏感性資料的決心。
訊息來源:勤業眾信聯合會計師事務所
本文含多媒體檔 (Multimedia files included):
http://www.cna.com.tw/postwrite/Detail/241397.aspx