欧盟网络安全局(ENISA)发布最新物联网安全报告(Good Practices for Security of IoT),聚焦于分析物联网系统开发生命周期(SDLC)各阶段的安全关键点,以完成软件开发的整体设计安全评估。
ENISA细数SDLC安全关键点,盼打造良好安全基础
从2016年Mirai发起DDoS攻击到2019年Silex恶意软件与Urgent/11安全性漏洞,物联网安全议题总与应用同时受关注。鉴于安全的开发准则是物联网安全的基本基础,ENISA近期发布的报告特别着重软件开发指南,并就设计、开发、维护、设置IoT系统与服务的各阶段说明细节。
汇集整理报告内容,主要着重于两大领域,一为分析IoT SDLC所有阶段的安全问题及需考虑关键点,二为IoT安全SDLC相关的资产与威胁详细分类方式。报告目的除提供切实可行的实践做法强化IoT SDLC的网络安全性外,另一层面或许也希望进一步接轨及影响现有标准、指南及方案等,提升物联网安全防护的公用性。
ENISA报告SDLC各阶段安全关键点。(Source:ENISA;拓扑产业研究院整理,2019.12)
产官双方持续聚焦物联网安全议题,标准公用性将成发展关键
ENISA报告强调设备设计安全,并进一步细致化至软件开发部分,而各国政府近期着墨于推广物联网安全机制至消费市场,例如英国拟就消费者物联网产品进行强制监管的安全标签机制、澳洲政府针对消费性物联网设备的供应商发布业务实践守则,芬兰近日落实物联网设备安全标签机制,提供消费者充分的安全识别以简化购买决策。
物联网产品开发阶段的安全设计同样影响厂商产品发展,台厂宜鼎首度与微软合作发布的工业等级固态硬盘InnoAge SSD,即是看中Azure Sphere提供的安全性,一开始便内置可通过云计算执行频外管理及数据安全防护等管理功能;Check Point也于近日推出可强化物联网设备固件的综合性安全解决方案,让网络摄影机、电梯控制器及医疗设备等物联网设备能抵御如零时差攻击等威胁。
物联网安全对产、官双方而言皆是需长期关注议题,各方也就标准、规范、产品等持续发展,然而现行颁行的法规与机制规范范围多具局部,例如芬兰物联网安全标签、台湾物联网安全标章,乃至英国规划的安全标签机制等皆无法互通,一定程度或也造成设备出口的复杂性与认证成本上升。未来诸多物联网安全标准如何跨国统一互通,让消费者更清楚了解必要性及安全保证性,也是物联网设备商需持续留意的重要方向。
(首图来源:shutterstock)