資安成企業成本 資策會實驗室鑑定軟硬體

▲物聯網舉凡能夠連網的產品，都可能成為資安攻擊目標。（圖／資策會提供）

勒索病毒「 WannaCry 」先前在多國造成災情，全球企業損失逾 10 億美元，資安議題備受關注，由於 9 成漏洞來自軟體開發，因此資策會資安所成立「資安檢測鑑識實驗室（ CFL ）」，推出  IoT 產品接軌國際之資安合規顧問輔導、國內 IoT 產品資安檢測基準擬定、 IoT 資安檢測與鑑識服務推動等 3 項服務，希望藉此協助國內業者降低產品出口資安修補成本，及資安風險造成消費權利的損害。

近幾年病毒不斷變種升級，造成的資安威脅成為公司經營風險最重要的一環，從 2000 年起，駭客開始以郵件夾 exe 或圖檔，導致使用者的電腦中毒， 2010 年起因應臉書等社交軟體崛起，駭客隨之衍生社群攻擊模式，近年因應物聯網時代來臨，相關應用潛藏的資安危機，更是需要關注的議題。

而智慧聯網設備資安檢測以人工分析耗時耗力，缺乏自動化，其設備韌體安全（ Firmware Security ）又欠缺有效且及時的解決方案，供應商大多未提供作業系統與韌體之修補程式、測試工具及更新機制，因此造成安全弱點或漏洞修補的困難，然而如何自動化進行韌體拆解以發覺潛在弱點或夾藏後門，是資安檢測艱巨的挑戰。

資策會資安所所長林宗男以 IP CAM 舉例，資安檢測鑑識實驗室在抽測市售 IP CAM 中，發現某廠牌的韌體更新檔沒有加密，容易被竄改遭受攻擊，並啟動不需要的預設服務，更在 WiFi AP（基地台）檢測發現，管理介面的管理者帳號密碼可輕易被破解，目前實驗室技術團隊已掌握以人工智慧為核心的資安檢測工具研發，包括靜態韌體解析掃描、智慧裝置韌體弱點探析技術等，填補業界聯網設備韌體安全、所需可檢測高資安風險之關鍵技術，如此一來，可降低漏洞修補的人力成本，推升國內資安技術自主及產品服務水準。

資安檢測鑑識實驗室可針對 IoT 設備與韌體、身份認證、 Web 管理介面、通訊加密與軟體平台未知弱點探測提供檢測評估，曾經檢測出部分廠牌的手機潛藏資安問題，成功協助相關業者修補資安漏洞；除了以顧問諮詢及前瞻檢測機制協助產品資安品質外，將效法國際建立檢測驗證服務聯盟，透過創新技術研發、標準研擬、常態合作等創新檢測機制與模式，創造國內資安檢測價值。

『新聞來源／NOWnews http://www.nownews.com/』