在物聯(lián)網(wǎng)的世界，不分產(chǎn)業(yè)、不分產(chǎn)品大小等級(jí)；只要有連網(wǎng)功能，就可能在網(wǎng)絡(luò)上遭受攻擊，進(jìn)而造成您個(gè)人財(cái)產(chǎn)損失甚至人身?yè)p失；而企業(yè)也將面臨病毒蓄意攻擊，導(dǎo)致中控主機(jī)當(dāng)機(jī)、產(chǎn)線中斷，蒙受金錢損失。因此，透過(guò)安全檢測(cè)找出潛在風(fēng)險(xiǎn)與其威脅強(qiáng)度是廠商的當(dāng)務(wù)之急。在「物聯(lián)網(wǎng)中自由、便利與安全的恐怖三角關(guān)系，您選擇了誰(shuí)？」-上篇，百佳泰特別針對(duì)廠商「輕忽安全嚴(yán)重性」或是「不知該怎么選擇方案」等種種的僥幸心態(tài)與不安，介紹了由百佳泰開發(fā)的一套快速有效、符合成本效益的「安全檢測(cè)方案」，將依照物聯(lián)網(wǎng)裝置特性、潛在安全風(fēng)險(xiǎn)以及應(yīng)用情境，來(lái)驗(yàn)證產(chǎn)品的風(fēng)險(xiǎn)等級(jí)，檢視產(chǎn)品的安全漏洞，并提供完整安全報(bào)告讓您有效加強(qiáng)安全弱點(diǎn)。

在了解我們的檢測(cè)方案之后，現(xiàn)在，就透過(guò)我們安全專家來(lái)分享物聯(lián)網(wǎng)裝置的實(shí)測(cè)案例，讓讀者更加貼近百佳泰安全檢測(cè)。

百佳泰安全實(shí)驗(yàn)室 智能燈泡案例分享

就算只是一個(gè)藍(lán)牙燈泡，亦可能隨時(shí)成為殭尸網(wǎng)絡(luò)的一份子

本篇分享的測(cè)試案例待測(cè)物為支持藍(lán)牙低功耗網(wǎng)絡(luò)（Bluetooth Low Energy Mesh）燈泡，可透過(guò)手機(jī)安裝對(duì)應(yīng)的App后由手機(jī)的控制接口操作燈泡，不僅僅控制開關(guān)，亦可與手機(jī)的鏡頭連動(dòng)觸發(fā)仿色功能，手機(jī)播放音樂(lè)時(shí)亦可設(shè)定為隨著節(jié)奏隨機(jī)跳色；在多人用戶之間亦可指定權(quán)限或轉(zhuǎn)移主控制權(quán)，連上云端之后可以透過(guò)IFTTT channel與語(yǔ)音助理設(shè)置連動(dòng)，功能堪稱相當(dāng)完備。一個(gè)聯(lián)機(jī)單純且無(wú)直接上網(wǎng)的裝置貌似安全，但若從安全檢測(cè)角度仔細(xì)審視，潛在風(fēng)險(xiǎn)其實(shí)遠(yuǎn)比想象中高出許多。

首先，我們將燈泡的聯(lián)機(jī)邏輯展開，從安全檢測(cè)的角度來(lái)檢視，實(shí)體裝置共有三個(gè)，分別為燈泡、App載體（手機(jī)）以及云端數(shù)據(jù)庫(kù)；而聯(lián)機(jī)則可拆分為近端聯(lián)機(jī)以及云端聯(lián)機(jī)如下圖示1：

圖示1：資安網(wǎng)絡(luò)聯(lián)機(jī)架構(gòu)

百佳泰的安全驗(yàn)證項(xiàng)目共有數(shù)十個(gè)項(xiàng)目，從測(cè)試結(jié)果得知，大部分的潛在風(fēng)險(xiǎn)竟來(lái)自于控制燈泡的APP（如下圖2），相信這結(jié)果令大家感到十分意外吧？！言下之意，黑客可偷取強(qiáng)度較弱的APP軟件密碼，便可遠(yuǎn)程控制接口操作用戶的智能燈泡，恣意開關(guān)燈泡裝置，在不該開啟的時(shí)候刻意浪費(fèi)消耗電力。讀者再想想，若是將燈泡換成監(jiān)視商場(chǎng)的IP攝影機(jī)，黑客便可輕易關(guān)閉攝影機(jī)，而讓盜竊者有機(jī)可趁。

圖示2：安全報(bào)告弱點(diǎn)分析比重

另外，根據(jù)國(guó)際級(jí)的漏洞評(píng)鑒系統(tǒng)（Common Vulnerability Scoring System，CVSS）的條件來(lái)推估報(bào)告中每項(xiàng)測(cè)試的風(fēng)險(xiǎn)等級(jí)，測(cè)試的藍(lán)牙燈泡裝置竟存在7個(gè)具有中高風(fēng)險(xiǎn)程度以上的漏洞，風(fēng)險(xiǎn)等級(jí)為4（風(fēng)險(xiǎn)程度從0到4，由低至高），有較高的可能被黑客利用并且攻擊，需要立即采取修正措施。

從報(bào)告結(jié)果我們可歸納出一個(gè)結(jié)論，并非只有物聯(lián)裝置才會(huì)有風(fēng)險(xiǎn)，在物聯(lián)網(wǎng)的世界，不論是實(shí)體裝置、APP軟件、云端數(shù)據(jù)庫(kù)或是傳輸聯(lián)機(jī)，只要有安全漏洞，就極可能遭受攻擊！然而，消費(fèi)者在第一時(shí)間總是將責(zé)任歸咎于裝置品牌廠商，并不會(huì)抱怨后端配合的相關(guān)廠商。事實(shí)上，裝置品牌商配合的APP開發(fā)商、網(wǎng)絡(luò)營(yíng)運(yùn)商以及云端服務(wù)器廠商，都應(yīng)該需要做好安全防護(hù)措施，甚至應(yīng)該有稽核檢查表，挑選符合安全標(biāo)準(zhǔn)的廠商，并檢視其安全能力！

導(dǎo)入開發(fā)階段的 Software軟件驗(yàn)證方案

如上一篇我們提及，「安全是一個(gè)風(fēng)險(xiǎn)控管的行為」，這如同人類每年需要定期做健康檢查來(lái)評(píng)估掌控自身狀況；而事實(shí)上，預(yù)防勝于治療，安全軟件開發(fā)周期始于產(chǎn)品設(shè)計(jì)，雖然產(chǎn)品設(shè)計(jì)時(shí)間導(dǎo)入安全會(huì)增加開發(fā)時(shí)間，但是事后修補(bǔ)所付出的成本反而越高且面臨的風(fēng)險(xiǎn)也越大，因此識(shí)別產(chǎn)品所面臨的威脅、評(píng)估風(fēng)險(xiǎn)、考慮安全需求及檢視安全設(shè)計(jì)是在設(shè)計(jì)時(shí)間皆需要思考的；廠商于開發(fā)階段時(shí)，透過(guò)白箱檢測(cè)方式的源碼靜態(tài)涵式庫(kù)分析，得以避免具安全風(fēng)險(xiǎn)的編程內(nèi)容及避用不安全函式庫(kù)等，以確保程序的安全性，百佳泰專業(yè)軟件實(shí)驗(yàn)室的開發(fā)團(tuán)隊(duì)，具備各項(xiàng)程序語(yǔ)法能力，能夠站在“開發(fā)者”的角度設(shè)計(jì)測(cè)試案例，確保測(cè)試中的路徑都可以被分析、執(zhí)行，以提供開發(fā)人員程序代碼優(yōu)化的反饋。

圖示3：白箱測(cè)試，又稱透明盒測(cè)試，不同于黑箱測(cè)試驗(yàn)證軟件的功能性，主要在測(cè)試應(yīng)用程序的內(nèi)部結(jié)構(gòu)與運(yùn)作

廠商除了在安全軟件功能開發(fā)上需要投入相當(dāng)時(shí)間與心力，另在整個(gè)物聯(lián)網(wǎng)產(chǎn)品開發(fā)周期，包括在EVT、DVT階段是否落實(shí)安全相關(guān)開發(fā)準(zhǔn)則、MP前是否通過(guò)一道重要關(guān)卡「安全檢測(cè)」等，實(shí)際測(cè)試產(chǎn)品是否存在安全漏洞，評(píng)估產(chǎn)品潛在風(fēng)險(xiǎn)，預(yù)先檢視產(chǎn)品上線后所可能面臨的資料安全攻擊。廠商唯有厘清每一個(gè)環(huán)節(jié)可達(dá)到的安全程度，方為確保產(chǎn)品安全信心的最佳判定依據(jù)。

百佳泰的安全檢測(cè)服務(wù)是物聯(lián)網(wǎng)裝置的神隊(duì)友

百佳泰能夠針對(duì)各產(chǎn)品特性及使用情境，提供快速有效、符合經(jīng)濟(jì)效益的安全檢測(cè)方案，從物聯(lián)網(wǎng)產(chǎn)品得五大連網(wǎng)架構(gòu)-裝置固件、裝置控制APP、云端服務(wù)器、近端聯(lián)機(jī)以及遠(yuǎn)程聯(lián)機(jī)切入，提出適切的國(guó)際標(biāo)準(zhǔn)的安全風(fēng)險(xiǎn)檢測(cè)，像是目前較知名的OWASP Top 10系列、IEC 62443系列等，透過(guò)網(wǎng)絡(luò)安全測(cè)試項(xiàng)目，替您的產(chǎn)品做安全把關(guān)。百佳泰深知，若產(chǎn)品滿足國(guó)際安全標(biāo)準(zhǔn)要求，更可明確彰顯產(chǎn)品其安全保證等級(jí)。

對(duì)于大多數(shù)的制造商而言，信息安全必須防守的范圍太大，其中最直接且有效的方式，是透過(guò)安全檢測(cè)來(lái)宣告產(chǎn)品的隱私數(shù)據(jù)保護(hù)、完整性、以及可用性三大能力，此三大能力依據(jù)不同的應(yīng)用情境會(huì)有不同的比重，例如：隱私數(shù)據(jù)在消費(fèi)者市場(chǎng)相當(dāng)重視，對(duì)于工業(yè)而言數(shù)據(jù)的完整性及可用性則需優(yōu)先考慮；無(wú)論在何種使用情境，透過(guò)百佳泰的客制化安全檢測(cè)服務(wù)，皆可忠實(shí)呈現(xiàn)產(chǎn)品在資料安全上的風(fēng)險(xiǎn)指標(biāo)。

是否為了便利與自由，我們都忽略了安全呢？?

2016年10月600,000 的物聯(lián)網(wǎng)裝置因感染惡意軟件Mirai，其中包括網(wǎng)絡(luò)攝影機(jī)、數(shù)碼錄像機(jī)、路由器及打印機(jī)等皆成為DDoS強(qiáng)尸大軍，制造前所未有的1.7T bps的DDoS攻擊流量；2017年4月漏洞利用程序「永恒之藍(lán)」問(wèn)世，不但揭露了美國(guó)國(guó)家安全局有在開發(fā)漏洞利用程序一事，甚至衍生出蠕蟲病毒型勒索軟件「WannaCry」，造成大約150個(gè)國(guó)家同時(shí)遭受攻擊；2018世界最大的半導(dǎo)體和處理器制造大廠臺(tái)積電，在臺(tái)灣的北、中、南廠房的產(chǎn)線機(jī)臺(tái)或天車系統(tǒng)，因WannaCry變種病毒而發(fā)生死機(jī)或重開機(jī)情況，導(dǎo)致產(chǎn)線中斷，造成2.56億美元的損失，由于萬(wàn)物皆連網(wǎng)的時(shí)代來(lái)臨，病毒也不分邊際的從IT產(chǎn)業(yè)擴(kuò)散到OT產(chǎn)業(yè)，無(wú)法想象今后幾年又會(huì)發(fā)生什么重大安全事件，唯一可以確信的是所有業(yè)者都不希望發(fā)生在自家身上。

物聯(lián)網(wǎng)的安全問(wèn)題開始受到重視，相關(guān)法規(guī)推出?

世界各地開始漸漸有應(yīng)對(duì)手段，相關(guān)物聯(lián)網(wǎng)安全法規(guī)相繼推出，2017年歐盟推出史上最嚴(yán)格數(shù)據(jù)保護(hù)規(guī)定GDPR，并對(duì)科技巨擘Google祭出5,000萬(wàn)歐元的天價(jià)裁罰，美國(guó)加州更是史無(wú)前例通過(guò)了名為 SB-327 的物聯(lián)網(wǎng)安全法案，禁止于加州生產(chǎn)、銷售的物聯(lián)網(wǎng)產(chǎn)品使用默認(rèn)密碼，此外，許多國(guó)際大廠所生產(chǎn)的物聯(lián)網(wǎng)設(shè)備，遭受美國(guó)聯(lián)邦貿(mào)易委員會(huì)，以具連網(wǎng)設(shè)備未于研發(fā)階段實(shí)施必要的安全檢測(cè)為由，相繼開出巨額裁罰；各國(guó)各區(qū)域組織的安全標(biāo)準(zhǔn)也如雨后春筍般，美國(guó)ANSI/UL 2900系列物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)、歐洲GDPR、中國(guó)大陸物聯(lián)網(wǎng)安全技術(shù)國(guó)家標(biāo)準(zhǔn)、ISO/IEC 27030物聯(lián)網(wǎng)安全與隱私指引、IEC/ISA 62443工業(yè)控制安全標(biāo)準(zhǔn)等。

百佳泰協(xié)助您一步步認(rèn)識(shí)個(gè)人資料安全，驗(yàn)證信息安全，管控風(fēng)險(xiǎn)

隨著科技發(fā)展，不論是一般民眾或是企業(yè)，皆逐漸意識(shí)到產(chǎn)品安全的重要性，深怕因遭到黑客攻擊而造成金錢損失、公司商譽(yù)破損、或是因無(wú)知觸犯物聯(lián)網(wǎng)相關(guān)法規(guī)等。然而，既然大家都有察覺(jué)到個(gè)人資料安全的嚴(yán)重性，卻沒(méi)有采取相對(duì)應(yīng)措施，原因是?

• 信息安全方案千百種，復(fù)雜到不知該選哪一種!
• 你覺(jué)得安全檢測(cè)一定很貴!?
• 到底該找那家值得信任的廠商做把關(guān)?
• 你覺(jué)得黑客沒(méi)事不會(huì)找上你?

對(duì)于廠商心中存在已久的疑問(wèn)，百佳泰都知道，事實(shí)上，我們也特別和廠商溝通一個(gè)重要觀念-「資料安全是一個(gè)風(fēng)險(xiǎn)控管的行為」，這如同人類每年需要健康檢查來(lái)評(píng)估掌控自身狀況，對(duì)于身體健康潛在危機(jī)、未達(dá)標(biāo)準(zhǔn)的健康檢查項(xiàng)目，我們會(huì)再做進(jìn)一步的檢查，以發(fā)現(xiàn)根本病源，輕則可透過(guò)良好生活習(xí)慣改善情況，重則需服用藥物或是動(dòng)手術(shù)來(lái)醫(yī)治，以達(dá)到提早發(fā)現(xiàn)、提早治療目標(biāo)。若是輕視定期健康檢查重要性，非要等到病入膏肓才開始治療，恐怕為時(shí)已晚。安全風(fēng)險(xiǎn)檢測(cè)，亦是越早發(fā)現(xiàn)風(fēng)險(xiǎn)漏洞，越早提出防護(hù)措施越好；若是等到黑客攻擊，遭到消費(fèi)者投訴，品牌聲譽(yù)下降，后續(xù)需要挽救投入的時(shí)間跟心力將是難以估計(jì)的。

因此，在這樣一個(gè)黑客可攻擊一切的時(shí)代，百佳泰為了解決廠商心中的疑問(wèn)與不安，特別化繁為簡(jiǎn)，開發(fā)了一套快速有效、符合成本效益的「安全檢測(cè)方案」，能夠根據(jù)您物聯(lián)產(chǎn)品的特性、應(yīng)用情境以及不同程度的潛在風(fēng)險(xiǎn)，與廠商可以承擔(dān)的風(fēng)險(xiǎn)等級(jí)，來(lái)驗(yàn)證安全控制措施是否合適?，F(xiàn)在，就請(qǐng)跟著筆者，一起來(lái)了解百佳泰的安全檢測(cè)方案吧!

不知讀到這里，大家對(duì)百佳泰安全檢測(cè)方案是否有一定的理解程度了呢? 讀者們想要一窺究竟我們的實(shí)測(cè)案例嗎?我們即將在下一篇分享案例結(jié)果，也請(qǐng)讀者們持續(xù)關(guān)注我們的技術(shù)文章唷!