帳號:
密碼:
最新動態
 
產業快訊
CTIMES / 文章 /
提升研發能量與物聯裝置韌性 是強化資訊安全防護的關鍵
【東西講座】活動報導

【作者: 劉昕】   2022年09月28日 星期三

瀏覽人次:【4290】

面對國際政治情勢緊張,駭客們趁虛鎖定政府與企業物聯網設備入侵攻擊,因此,提高資安技術的研發能量,以及提升設備韌性,是強化資訊安全防護不二法門,本場東西講座特別邀請資策會資安檢測鑑識實驗室技術主管高傳凱擔任講者,藉由自身的長期研究與觀察結果,為大家提供全方位IoT資安防禦解決方案。



圖一 : 資策會資安檢測鑑識實驗室技術主管高傳凱
圖一 : 資策會資安檢測鑑識實驗室技術主管高傳凱

高傳凱表示,資安是由技術、程序和人所構建而成,在進入資安以前要先盤點有價值的東西,唯有價值夠高,駭客才會願意花更高的成本作攻擊,但價值的定義因人而異,因此有不同立場、角色的價值觀差異,無絕對的安全,機率、影響與傷害的加乘,造就風險值的高與低。


高傳凱進一步表示,大部分的人都希望把資安防禦做到最高,但相對來說也非常困難,就如COVID-19邊境防守,即便再嚴謹也百密必有一疏,若在眾多面向設立足夠的防護措施、聯網設備有一定資安防禦能力,一點一點與病毒共存,久而久之產生韌性,習得與之對抗的方法。


駭客的入侵管道,不光只從軟體面下手,也有可能朝硬體面而來,尤其實體機外殼Debug用之pin腳,可查找UART介面入侵,另外像是變更Cookie提權識別身份、無線重送攻擊、旁通道攻擊等,很多駭客也會從韌體檔案拆解,作逆向工程,從設備取出後轉回源碼。


其中,駭客利用網路攝影機ONVIF API的漏洞攻擊,來偷窺使用者畫面、轉動攝影鏡頭甚至偽造監控影像。駭客會先截取IP Camera正常影像,將IP Camera持續錄製影像傳送給NVR,讓NVR顯示正常影像,隨後傳送假影像至NVR中,使管理人員僅能看到Hacker製造的假像。


智慧打卡門禁系統方面,駭客竊取資料與授權攻擊入口,包含連上門禁系統相同之Wi-Fi,並側錄封包及使用遠端服務;透過UART、Debug、USB介面連接系統層;透過APP或藍牙連接門禁系統;透過密碼、感應扣等方式開啟門禁系統。


完善的資安檢測功能 才能確保產品安全性


圖二 : 資安檢測架構示意圖
圖二 : 資安檢測架構示意圖

在晶片方面,可從多方測項去作檢視,例如在攻擊者損害任何安全功能及非安全功能前,可偵測或阻止具有物理存取的攻擊者的攻擊;驗證晶片密碼模組遭受竄改或移除時,是否保留竄改或移除之證據,及是否具有篡改回應紀錄;確保介面提供的服務不會遭到濫用,及除錯介面使用的身份驗證功能之安全性。


另外,複雜的半導體供應鏈,可能導致晶片在設計過程中,遭受有心人士植入可疑電路,以便在某個時間點或條件下發動資安攻擊;驗證確認韌體檔案內沒有機敏資料,或機敏已經過妥善保護,並避免韌體內含有可疑連結與程式碼、源程式碼遭未經授權的揭露與修改等。


安全產品首先從開發和設計階段就導入資安,資安導入功能必要項目有識別及認證、授權、系統完整性、資料保密、限制資料流、事件回報、資源可用性,高傳凱強調,現今意識是以IoT單機本身產品安全為主,要有研發能量才能作資安。


高傳凱說明,資安檢測又分為白箱檢測與黑箱檢測。白箱檢測是指在看得到內容物的情況下去作測試,但考慮到廠商資訊的隱私性,通常難以執行,因此相對黑箱測試發展會越來越多,而白箱檢測較常於開發階段利用機器導入源碼檢測,以便準確檢測是否有資安漏洞。


企業對於黑箱檢測,包括系統弱點掃描與網站弱點掃描的基本品質要求,從能接觸到的產品資訊取出特徵,進行資安漏洞可能性分析,將已知漏洞擷取後,進一步使用模糊測試工具偵測未知漏洞。而滲透測試為資安的最後一道關卡,但測試架構相對應非常複雜,結果和品質可能不一致,較為有爭議。



相關文章
一次到位的照顧科技整合平台
技術認驗證服務多建置 協助臺產業建立數位創新生態
生成式AI刺激應用創新 帶動軟硬體新商機
人工智慧產業化 AI PC與AI手機將成市場新寵
是福還是禍?服務型機器人需產業標準規範
comments powered by Disqus
相關討論
  相關新聞
» 意法半導體公布第三季財報 工業市場持續疲軟影響銷售預期
» 資策會四項創新技術勇奪ASOCIO DX AWARD獎項
» 慧榮獲ISO 26262 ASIL B Ready與ASPICE CL2認證 提供車用級安全儲存方案
» 攸泰科技躍上2024 APSCC國際舞台 宣揚台灣科技競爭力
» 東芝推出高額定無電阻步進馬達驅動器TB67S559FTG


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3  v3.20.2048.3.15.144.132
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 /  E-Mail: webmaster@ctimes.com.tw