優力國際安全認證身分識別管理安全部業務發展經理薛正指出,經過多起由物聯網裝置集結的殭屍網路襲擊事件後,各界都認同連網裝置安全控管的重要性,多數人甚至認為,針對連網裝置安全程度的量化,設備製造商應負起更多責任。
物聯網安全性之所以如此脆弱,主要因素在於資安是個需要高度專業的領域,並且必須視應用場景規畫與建置,才能發揮功效。問題是在企業或組織中,資安的定義依據不同角色有不同觀點,例如網管人員關注的是防火牆、入侵偵測系統等資安建置;網頁應用程式開發者主要看見SQL Injection、跨網站偽造請求(CSRF)等手法;韌體研發工程師,則關注C語言的緩衝區溢位(Buffer Overflow);若是ISMS管理背景出身,可能著重通訊管道加密、機敏資料安全移除方法等。各種不同角色的工作者,對於資安的認知與應用需求皆不同,量化安全性的門檻不低,除非增添安全機制後能為消費者帶來安心,否則難以呈現出價值。
就現有的安全類國際標準來看,未必適用於所有設備。例如過去採購設備通常必須具備安全評估共通準則(Common Criteria),此與物聯網裝置安全較相關,但未必適用於現代的連網裝置,畢竟產品設計可能尺寸小、單價低、數量龐大、須快速推向市場,不大可能花幾十萬美元、歷時一年半來取得安全評估共通準則。
為了因應連網裝置生命週期較短,必須在最快時間內推向市場,檢驗方式也須有所改變,UL正積極研擬出IoT Star Rating計畫,讓檢驗工作在幾個星期內即可完成,同時降低收費標準,以符合物聯網產業特性。
例如目前網路攝影機遵循的UL 2900,風險控管程度較共通準則彈性,卻未必適用於各式連網環境。儘管UL 2900已被美國白宮的國家網路安全行動計畫(CNAP)公認為測試網路接入產品的標準,卻缺乏消費性或小型連網裝置的驗證規範。IoT Star Rating計畫即是為了補強此缺口。
