目前零組件業者供應的物聯網相關方案,通常會提供App控管工具,經過註冊即可啟用,例如恩智浦(NXP)推出EdgeLock 2GO服務平台,部署在公有雲環境,藉此實現連網裝置得以零接觸、安全部署與維運。又如記憶體解決方案廠商華邦電子、微控制器(MCU)製造商新唐科技、物聯網安全軟體開發商青蓮雲,共同攜手發展雲到端解決方案,讓物聯網裝置無論即時線上(OTA)韌體更新、快閃記憶體程式碼儲存,皆能增添安全保障。OEM製造商可藉由具安全認證的軟體及硬體解決方案,減少開發裝置所需耗費的時間,讓產品快速推出市場。
由國內外技術供應商發展的趨勢來看,組成物聯網安全生態系來提供立即可用的方案,市場接受度更高,亦可讓安全措施涵蓋範疇擴及整體應用場域。日前由工研院機械與機電系統研究所建構的「智慧機械雲」平台正式上線營運,可說是特別針對機械產業打造的雲市集,讓過去著重於加工的工廠,逐步增進數位化能力,達到智慧工廠的目標。卓傳育強調,上架到智慧機械雲平台的App,提出申請時皆須提交源碼掃描與弱點檢測報告,經工研院機械所審查通過才可發布到智慧機械雲平台,為企業用戶先行把關安全性。
隨著物聯網應用架構複雜度增加,近幾年的調查顯示,組態配置錯誤逐漸成為資安首要弱點。卓傳育認為,以零信任的思維為核心,為網路、端點、作業系統、應用程式以及機敏資料,建立多層次白名單管控策略,將有助於在不同環節控管資安風險。
卓傳育分享實際開發應用程式白名單的經驗,最主要門檻在於撰寫控管規則,以便在作業系統環境定義可執行的應用程式及通訊連接埠,若能採用合適的工具或技巧來輔助制定白名單策略與規則,甚至是分析應用場域後建立標準行為模式,可讓白名單的制定更加準確。只要改以正面表列白名單,並僅開放最小權限運行,日後即便是遇到未知型病毒發動攻擊,也無法繞過白名單管制,可有效地防範變換莫測的攻擊威脅。