在物聯(lián)網(wǎng)的世界，不分產(chǎn)業(yè)、不分產(chǎn)品大小等級；只要有連網(wǎng)功能，就可能在網(wǎng)絡(luò)上遭受攻擊，進而造成您個人財產(chǎn)損失甚至人身損失；而企業(yè)也將面臨病毒蓄意攻擊，導(dǎo)致中控主機當機、產(chǎn)線中斷，蒙受金錢損失。因此，透過安全檢測找出潛在風險與其威脅強度是廠商的當務(wù)之急。在「物聯(lián)網(wǎng)中自由、便利與安全的恐怖三角關(guān)系，您選擇了誰？」-上篇，百佳泰特別針對廠商「輕忽安全嚴重性」或是「不知該怎么選擇方案」等種種的僥幸心態(tài)與不安，介紹了由百佳泰開發(fā)的一套快速有效、符合成本效益的「安全檢測方案」，將依照物聯(lián)網(wǎng)裝置特性、潛在安全風險以及應(yīng)用情境，來驗證產(chǎn)品的風險等級，檢視產(chǎn)品的安全漏洞，并提供完整安全報告讓您有效加強安全弱點。

在了解我們的檢測方案之后，現(xiàn)在，就透過我們安全專家來分享物聯(lián)網(wǎng)裝置的實測案例，讓讀者更加貼近百佳泰安全檢測。

百佳泰安全實驗室 智能燈泡案例分享

就算只是一個藍牙燈泡，亦可能隨時成為殭尸網(wǎng)絡(luò)的一份子

本篇分享的測試案例待測物為支持藍牙低功耗網(wǎng)絡(luò)（Bluetooth Low Energy Mesh）燈泡，可透過手機安裝對應(yīng)的App后由手機的控制接口操作燈泡，不僅僅控制開關(guān)，亦可與手機的鏡頭連動觸發(fā)仿色功能，手機播放音樂時亦可設(shè)定為隨著節(jié)奏隨機跳色；在多人用戶之間亦可指定權(quán)限或轉(zhuǎn)移主控制權(quán)，連上云端之后可以透過IFTTT channel與語音助理設(shè)置連動，功能堪稱相當完備。一個聯(lián)機單純且無直接上網(wǎng)的裝置貌似安全，但若從安全檢測角度仔細審視，潛在風險其實遠比想象中高出許多。

首先，我們將燈泡的聯(lián)機邏輯展開，從安全檢測的角度來檢視，實體裝置共有三個，分別為燈泡、App載體（手機）以及云端數(shù)據(jù)庫；而聯(lián)機則可拆分為近端聯(lián)機以及云端聯(lián)機如下圖示1：

圖示1：資安網(wǎng)絡(luò)聯(lián)機架構(gòu)

百佳泰的安全驗證項目共有數(shù)十個項目，從測試結(jié)果得知，大部分的潛在風險竟來自于控制燈泡的APP（如下圖2），相信這結(jié)果令大家感到十分意外吧？！言下之意，黑客可偷取強度較弱的APP軟件密碼，便可遠程控制接口操作用戶的智能燈泡，恣意開關(guān)燈泡裝置，在不該開啟的時候刻意浪費消耗電力。讀者再想想，若是將燈泡換成監(jiān)視商場的IP攝影機，黑客便可輕易關(guān)閉攝影機，而讓盜竊者有機可趁。

圖示2：安全報告弱點分析比重

另外，根據(jù)國際級的漏洞評鑒系統(tǒng)（Common Vulnerability Scoring System，CVSS）的條件來推估報告中每項測試的風險等級，測試的藍牙燈泡裝置竟存在7個具有中高風險程度以上的漏洞，風險等級為4（風險程度從0到4，由低至高），有較高的可能被黑客利用并且攻擊，需要立即采取修正措施。

從報告結(jié)果我們可歸納出一個結(jié)論，并非只有物聯(lián)裝置才會有風險，在物聯(lián)網(wǎng)的世界，不論是實體裝置、APP軟件、云端數(shù)據(jù)庫或是傳輸聯(lián)機，只要有安全漏洞，就極可能遭受攻擊！然而，消費者在第一時間總是將責任歸咎于裝置品牌廠商，并不會抱怨后端配合的相關(guān)廠商。事實上，裝置品牌商配合的APP開發(fā)商、網(wǎng)絡(luò)營運商以及云端服務(wù)器廠商，都應(yīng)該需要做好安全防護措施，甚至應(yīng)該有稽核檢查表，挑選符合安全標準的廠商，并檢視其安全能力！

導(dǎo)入開發(fā)階段的 Software軟件驗證方案

如上一篇我們提及，「安全是一個風險控管的行為」，這如同人類每年需要定期做健康檢查來評估掌控自身狀況；而事實上，預(yù)防勝于治療，安全軟件開發(fā)周期始于產(chǎn)品設(shè)計，雖然產(chǎn)品設(shè)計時間導(dǎo)入安全會增加開發(fā)時間，但是事后修補所付出的成本反而越高且面臨的風險也越大，因此識別產(chǎn)品所面臨的威脅、評估風險、考慮安全需求及檢視安全設(shè)計是在設(shè)計時間皆需要思考的；廠商于開發(fā)階段時，透過白箱檢測方式的源碼靜態(tài)涵式庫分析，得以避免具安全風險的編程內(nèi)容及避用不安全函式庫等，以確保程序的安全性，百佳泰專業(yè)軟件實驗室的開發(fā)團隊，具備各項程序語法能力，能夠站在“開發(fā)者”的角度設(shè)計測試案例，確保測試中的路徑都可以被分析、執(zhí)行，以提供開發(fā)人員程序代碼優(yōu)化的反饋。

圖示3：白箱測試，又稱透明盒測試，不同于黑箱測試驗證軟件的功能性，主要在測試應(yīng)用程序的內(nèi)部結(jié)構(gòu)與運作

廠商除了在安全軟件功能開發(fā)上需要投入相當時間與心力，另在整個物聯(lián)網(wǎng)產(chǎn)品開發(fā)周期，包括在EVT、DVT階段是否落實安全相關(guān)開發(fā)準則、MP前是否通過一道重要關(guān)卡「安全檢測」等，實際測試產(chǎn)品是否存在安全漏洞，評估產(chǎn)品潛在風險，預(yù)先檢視產(chǎn)品上線后所可能面臨的資料安全攻擊。廠商唯有厘清每一個環(huán)節(jié)可達到的安全程度，方為確保產(chǎn)品安全信心的最佳判定依據(jù)。

百佳泰的安全檢測服務(wù)是物聯(lián)網(wǎng)裝置的神隊友

百佳泰能夠針對各產(chǎn)品特性及使用情境，提供快速有效、符合經(jīng)濟效益的安全檢測方案，從物聯(lián)網(wǎng)產(chǎn)品得五大連網(wǎng)架構(gòu)-裝置固件、裝置控制APP、云端服務(wù)器、近端聯(lián)機以及遠程聯(lián)機切入，提出適切的國際標準的安全風險檢測，像是目前較知名的OWASP Top 10系列、IEC 62443系列等，透過網(wǎng)絡(luò)安全測試項目，替您的產(chǎn)品做安全把關(guān)。百佳泰深知，若產(chǎn)品滿足國際安全標準要求，更可明確彰顯產(chǎn)品其安全保證等級。

對于大多數(shù)的制造商而言，信息安全必須防守的范圍太大，其中最直接且有效的方式，是透過安全檢測來宣告產(chǎn)品的隱私數(shù)據(jù)保護、完整性、以及可用性三大能力，此三大能力依據(jù)不同的應(yīng)用情境會有不同的比重，例如：隱私數(shù)據(jù)在消費者市場相當重視，對于工業(yè)而言數(shù)據(jù)的完整性及可用性則需優(yōu)先考慮；無論在何種使用情境，透過百佳泰的客制化安全檢測服務(wù)，皆可忠實呈現(xiàn)產(chǎn)品在資料安全上的風險指標。

是否為了便利與自由，我們都忽略了安全呢？?

2016年10月600,000 的物聯(lián)網(wǎng)裝置因感染惡意軟件Mirai，其中包括網(wǎng)絡(luò)攝影機、數(shù)碼錄像機、路由器及打印機等皆成為DDoS強尸大軍，制造前所未有的1.7T bps的DDoS攻擊流量；2017年4月漏洞利用程序「永恒之藍」問世，不但揭露了美國國家安全局有在開發(fā)漏洞利用程序一事，甚至衍生出蠕蟲病毒型勒索軟件「WannaCry」，造成大約150個國家同時遭受攻擊；2018世界最大的半導(dǎo)體和處理器制造大廠臺積電，在臺灣的北、中、南廠房的產(chǎn)線機臺或天車系統(tǒng)，因WannaCry變種病毒而發(fā)生死機或重開機情況，導(dǎo)致產(chǎn)線中斷，造成2.56億美元的損失，由于萬物皆連網(wǎng)的時代來臨，病毒也不分邊際的從IT產(chǎn)業(yè)擴散到OT產(chǎn)業(yè)，無法想象今后幾年又會發(fā)生什么重大安全事件，唯一可以確信的是所有業(yè)者都不希望發(fā)生在自家身上。

物聯(lián)網(wǎng)的安全問題開始受到重視，相關(guān)法規(guī)推出?

世界各地開始漸漸有應(yīng)對手段，相關(guān)物聯(lián)網(wǎng)安全法規(guī)相繼推出，2017年歐盟推出史上最嚴格數(shù)據(jù)保護規(guī)定GDPR，并對科技巨擘Google祭出5,000萬歐元的天價裁罰，美國加州更是史無前例通過了名為 SB-327 的物聯(lián)網(wǎng)安全法案，禁止于加州生產(chǎn)、銷售的物聯(lián)網(wǎng)產(chǎn)品使用默認密碼，此外，許多國際大廠所生產(chǎn)的物聯(lián)網(wǎng)設(shè)備，遭受美國聯(lián)邦貿(mào)易委員會，以具連網(wǎng)設(shè)備未于研發(fā)階段實施必要的安全檢測為由，相繼開出巨額裁罰；各國各區(qū)域組織的安全標準也如雨后春筍般，美國ANSI/UL 2900系列物聯(lián)網(wǎng)安全標準、歐洲GDPR、中國大陸物聯(lián)網(wǎng)安全技術(shù)國家標準、ISO/IEC 27030物聯(lián)網(wǎng)安全與隱私指引、IEC/ISA 62443工業(yè)控制安全標準等。

百佳泰協(xié)助您一步步認識個人資料安全，驗證信息安全，管控風險

隨著科技發(fā)展，不論是一般民眾或是企業(yè)，皆逐漸意識到產(chǎn)品安全的重要性，深怕因遭到黑客攻擊而造成金錢損失、公司商譽破損、或是因無知觸犯物聯(lián)網(wǎng)相關(guān)法規(guī)等。然而，既然大家都有察覺到個人資料安全的嚴重性，卻沒有采取相對應(yīng)措施，原因是?

• 信息安全方案千百種，復(fù)雜到不知該選哪一種!
• 你覺得安全檢測一定很貴!?
• 到底該找那家值得信任的廠商做把關(guān)?
• 你覺得黑客沒事不會找上你?

對于廠商心中存在已久的疑問，百佳泰都知道，事實上，我們也特別和廠商溝通一個重要觀念-「資料安全是一個風險控管的行為」，這如同人類每年需要健康檢查來評估掌控自身狀況，對于身體健康潛在危機、未達標準的健康檢查項目，我們會再做進一步的檢查，以發(fā)現(xiàn)根本病源，輕則可透過良好生活習慣改善情況，重則需服用藥物或是動手術(shù)來醫(yī)治，以達到提早發(fā)現(xiàn)、提早治療目標。若是輕視定期健康檢查重要性，非要等到病入膏肓才開始治療，恐怕為時已晚。安全風險檢測，亦是越早發(fā)現(xiàn)風險漏洞，越早提出防護措施越好；若是等到黑客攻擊，遭到消費者投訴，品牌聲譽下降，后續(xù)需要挽救投入的時間跟心力將是難以估計的。

因此，在這樣一個黑客可攻擊一切的時代，百佳泰為了解決廠商心中的疑問與不安，特別化繁為簡，開發(fā)了一套快速有效、符合成本效益的「安全檢測方案」，能夠根據(jù)您物聯(lián)產(chǎn)品的特性、應(yīng)用情境以及不同程度的潛在風險，與廠商可以承擔的風險等級，來驗證安全控制措施是否合適?，F(xiàn)在，就請跟著筆者，一起來了解百佳泰的安全檢測方案吧!

不知讀到這里，大家對百佳泰安全檢測方案是否有一定的理解程度了呢? 讀者們想要一窺究竟我們的實測案例嗎?我們即將在下一篇分享案例結(jié)果，也請讀者們持續(xù)關(guān)注我們的技術(shù)文章唷!