跳到主要內容區塊

ACW

從資通安全責任等級分級推動,看製造商應如何重新思索「產品安全」(下)


前言
全球資安事件頻傳,根據世界經濟論壇《2018年全球風險報告》「網路攻擊」在十大可能風險中排名第三。此外,駭害攻擊手法層出不窮,台灣在地理上佔據重要戰略位置,是資安威脅的第一線戰場,政務公務機關的資安威脅以 APT攻擊為最大宗,直接影響國家安全。國際間針對華為與中製設備的爭議持續延燒,台灣政府更明定八大關鍵基礎建設禁用中國產品,關鍵基礎建設資安威脅倍增。本文將從資通安全責任等級分級推動,協助製造商重新思索設計安全產品需考慮的重點。

作者:群暉科技股份有限公司 / 安全事件應變組 李宜謙經理

======

◆ 政府優先採購,加速資安設備自主研發腳步

資通安全責任等級分級推動,能加速台灣設備商資安設備自主研發的腳步。過去設備商多認為產品安全只是「選項」之一,但《資通安全管理法》上路後,對產業界最大的意義在於政府帶頭宣示資安的重要性,提升台灣的資安風氣,將國際資安標準風險管理框架引進台灣,逐步成為產品標準配備,對台灣的生態系和產業鏈都有正向的助益。

許多國家政府單位在採購資訊科技產品時,皆看重產品安全性認證,也就是共通準則(Common Criteria),並在 1999 年正式成為 ISO 國際標準「ISO/IEC 15408」。台灣也把此項共同準則納入國家標準CNS 15408」,事實上,多年前就已提倡產品安全認證,只是通過此項認證的台灣資通訊設備商仍不多,因為通過安全認證既耗時又所費不貲,廠商並不買單。此外,先前政府並未要求業者遵循一致共通的產品安全標準,所以產品安全認證通常是隱藏規格,代表業者的品牌形象。

隨著《資通安全管理法》施行,台灣資通產業標準協會也已制定產品安全標準。初期先從網路監控攝影機(IP CAM)發展物聯網的安全標準,目前已有三家廠商通過認證標準,政府採購則會優先選擇已通過產品安全認證的產品。

政府優先採購符合安全標準的產品,將使國內資通訊設備廠商加速提升產品安全,加快資安設備的研發腳步。而台灣廠商有能力做出符合安全標準的產品,打造完整生態鏈。

此外,對設備商來說,政府明確訂出五個等級,也開啟了設備商發展高端資安產品的商機。安全等級規範認證較高之產品價格較高,除因產品本身開發過程著重資安要求外,亦能對組織帶來額外的附加價值,強化組織注重資安的良好形象。台灣設備商可以針對不同等級的安全規範設計產品,主動拉出市場區隔,思考商業模式能否針對高階政府市場發展,挖掘資安新商機。

◆ 強化產品安全,為消費者負責
萬物連網的世界,智慧門鎖、智慧電燈、智慧插座等連網裝置,也開始成為資安攻擊的對象。家用聯網設備若以嵌入式系統輔以感測器或通訊模組,串接手機應用程式進行控制,資安風險極高,一旦洩露個人的資訊,甚至會直接危害人身安全。因此,產品資訊安全對資通訊設備商而言越趨重要。

產品安全風險控管應以「權限最小化」之設計原則,用低風險及自我規範的概念設計產品介面。也就是重視權限控管,限縮執行權限,避免系統只有一個管理員權限而「門戶大開」,以防止資安威脅造成的損失災害擴大。

設計安全的產品需考慮三大重點:第一,設定身份認證與授權。第二,使用安全的管道與裝置進行通訊。第三,確定裝置在執行指令時,使用較低的身份權限,若只限定檔案擁有者修改,出現弱點時只會影響單一檔案;若沒有限縮權限,一旦出現資安威脅,將會影響整個系統。

連網產品的安全要點著重在風險控管整體的安全性,風險控管的原則是,優先辨識出產品的弱點,改善影響最大及最關鍵的問題,再做完整、一致性的補強。有如木桶理論一般,一個木桶的盛水量多寡,取決於最低的那塊木板,想讓木桶裝較多水,得先把短木板先補長,使其不漏水,再一步步強化上方的木板。

產品安全是企業產品品質的關鍵,遵循外部的資安標準或法規,例如《資通安全管理法》GDPR台灣資通產業標準協會標準等,都是產品開發重要的關鍵,做出符合市場需求和期待的產品,讓產品更加安全。

《資通安全管理法》明確指出分級和風險控管的概念,對一般中小企業的啟示為:是時候思考如果企業遭受資安攻擊的話,除了商譽受損之外,實質上的業務損失會是多少?營業秘密、智慧財產的損失又有多大?對資通訊設備商來說,建議完善售後服務,並思考如何維持品牌形象、對客戶負責,以免造成品牌形象重創。

◆ 產品安全即時應變,接軌國際資安社群
由於先前曾遇上產品安全事件,因此群暉科技(Synology)更加重視產品安全,我們為產品安全做了以下努力:
第一、在 2016 年成立產品安全事件應變團隊(PSIRT),處理產品安全事件的緊急應變(incident response)。我們不斷強調:「沒有百分之百安全的產品,但我們可以做到最好的風險控管」。
第二、為了對消費者負責,我們的回報管道公開透明,不斷進行軟體更新、售後服務及安全性諮詢。遇到資安事件,亦不吝於分享安全弱點,公告呼籲消費者更新軟體,做好產品售後服務,負起解決問題的責任。
第三、我們積極處理政府單位的弱點修補狀況,群暉科技(Synology)與 TWCERT/CC 簽署 MOU,在主動解決產品的安全問題後通報 TWCERT/CC,由其協助廣播,通知政府各單位更新修補軟體,善盡通報義務。
第四、我們自 2016 年起推動安全性弱點獎金計畫,邀請頂尖駭客共同增強產品的安全性。群暉科技(Synology)更由美國邁特公司 (MITRE Corporation) 授權成為 CNA (CVE Number-ing Authority)是台灣第一家獲得 CNA 認證的公司,讓我們能主動掌握弱點揭露流程,確保有足夠多使用者安裝軟體更新後,才提交 CVE 揭露弱點細節。
第五、我們積極接軌國際資安社群,目前已經橋接國際最重要的資安情報組織,例如電腦網路危機處理暨協調中心 CERT/CC、美國電腦緊急應變小組 US-CERT 和全球事件應變組織 FIRST。我們接收第一手國際資安消息,並主動回應產品的問題,確保產品安全無虞,是我們領先其他公司的原因。因此,我們能在大眾看到事件消息之前,就開始調查,並在第一時間對消費者公告,預計在最短時間內解決問題。

下一步,我們將會持續提升產品品質,預期會針對政府 A 級高階市場做出客製化調整。《資通安全管理法》偏向政府組織的管理和風險,政府採購設備的同時,我們可以協助政府把關產品安全,發揮專業優勢。此外,我們的情報充足,不僅能快速通報政府資安決策中心,更能即時解決安全弱點。

重大資安事件頻傳,手法也日新月異,並不是安裝端點防護軟體就能達到資安的要求。要達到資安水準,也非一步到位。組織安全方面,可自己制定或引用外部的規範執行,如「ISO/IEC 27001:2013」,或最近很熱門的「NIST CSF」(NIST Cyber Security Framework),依照國際標準逐步導入組織的資訊安全,NIST CSF 列出全面性的組織安全,從資產盤點端點防護災難復原等皆可做項目自評,建議組織優先把所有 0 分補強到 1分,再逐步往上提升。

縱觀台灣產業界,目前部署產品安全團隊的設備商並不多,企業在採用新技術,加強組織安全,並將 IT 升級的同時,也要升級產品的安全性。

設備商普遍未開始思考發生資安事件之後的風險評估及品牌形象危機,建議設備商率先思考:「萬一產品遇上資安威脅時,對公司最大的影響為何?」在確保產品品質和維持品牌形象的過程中,值不值得投資一個產品安全團隊?如今有《資通安全管理法》的推波助瀾,對產業形成正面影響力,設備商可積極跨出這一步。

======

從資通安全責任等級分級推動,看製造商應如何重新思索「產品安全」(上)