不過,物聯網安全的核心掌握在嵌入式設備商手上,因為在這個領域,硬體供應商同時也是韌體開發者。必須從根源著手,才能確保物聯網應用安全無虞。因此,李柏厚指出,在物聯網相關業務的發展上,該公司將把重點放在硬體設備供應商,例如網通設備跟工業電腦業者。該公司盼藉由與相關業者緊密合作,攜手提升物聯網應用的安全性。
 |
| ▲Micro Focus企業資訊安全資深技術顧問李柏厚認為,嵌入式設備的韌體本身安全與否,是決定物聯網應用是否安全的關鍵。 |
為確保物聯網應用安全,相關系統在開發、布署與維運的過程中,都必須小心謹慎。特別是韌體開發階段,原始碼是否存在漏洞,更是物聯網安全防禦的重中之重。Micro Focus認為,唯有對韌體跟系統核心功能的原始碼進行嚴謹測試,並在系統布署時,針對可能的入侵管道進行動態檢驗跟滲透測試,並在後續維運過程中嚴密監控,方可確保物聯網系統的安全。
Micro Focus企業資訊安全資深技術顧問李柏厚指出,要確保資訊系統安全,必須從三大環節下手。首先,系統核心功能的原始碼是否經得起考驗,是第一步,也是最重要的一步。倘若在程式原始碼裡面就含有安全漏洞,其他防禦做得再周延,也無法確保系統能安全運作。由於物聯網通常是以嵌入式設備做為主要硬體,因此,相關嵌入式設備的韌體在開發過程中必須經過完整檢測,才能從根本上減少安全問題產生的機率。
除了原始碼本身之外,系統布署跟後續維運的安全對策,也是確保物聯網安全不可或缺的要素。在系統布署時,最重要的工作是針對可能的入侵管道進行動態檢驗跟滲透測試,方能確保系統上線後,外部攻擊不得其門而入。
而在系統正式上線後,系統存取的紀錄資料,則可以提供許多跟外部攻擊有關的蛛絲馬跡,讓企業爭取到早期預警時間。因為外部攻擊者要成功得手,往往得經過反覆嘗試,而這些嘗試的過程都會在存取資料庫裡留下紀錄。若平時企業就有建立存取紀錄分析機制,異常存取的情況很快就會被管理人員發現。但很可惜的是,許多企業在這方面並未徹底落實,往往是等到事件發生後,回來追溯資料才發現早有狀況。
針對韌體開發、動態檢驗/滲透測試跟系統操作資料的分析,Micro Focus都有對應的工具方案,並已有多家大型企業導入的實績。事實上,財富(Fortune)前百大企業中,有98家是Micro Focus的客戶。