工研院資通所 王子夏、卓傳育、林美佐
建構資安防護平台是協助網電通產業強化資安防禦的首要任務。
隨著科技發展質與量的飛躍,大量端點設備、網路或雲端皆朝智能化開發,各類型資安事件的接踵發生,突顯出資訊化和網路化普及的便利環境下,隱藏著不易察覺的資安風險與危機,而資訊安全更成為了新興數位經濟趨勢下的關鍵課題。 駭客透過網路攻擊端點設備經由各種漏洞滲透和破壞的手法層出不窮,對政府單位、產業和民眾都造成嚴峻的危害,資安議題應不再侷限於從終端阻絕駭客入侵與資訊外洩,而是在各種連網設備與應用服務整合串聯上納入資安設計以及資安解決方案的導入。我國正積極推動「五加二」產業創新及「數位國家.創新經濟發展方案」兩項重要政策,以期促進數位國家經濟更蓬勃發展,建立安全且穩固的產業環境。為此,協助我國網電通產業強化資安防禦成為一個刻不容緩的問題。
產業資安需求
系統安全的重要性對於台灣產業進軍高階產品有著關鍵的角色,雖然傳統產業、裝置製造生產與系統安全看似無關,但在導入電子化的過程中,現在也需要提高產品、工廠的安全性,例如車聯網 (Internet of Vehicles)、物聯網 (Internet of Things)、智慧金融 (Fintech) 等項目,無一不是資安部署的重點產業。
近兩年內我國發生多起重大資安事件,2016年華碩路由器因為具有嚴重的安全漏洞,而遭美國政府裁定需連續稽核二十年;2017年友訊也因為路由器與網路攝影機的資安問題,遭美國政府告上法院;而於2018年國內優勢半導體龍頭台積電發生嚴重的勒索軟體攻擊事件,此次事件肇因於安裝人員沒有執行病毒檢測就把機臺接上網路,進而導致遭受勒索軟體Wannacry的攻擊,透過Windows作業系統SMB服務所採用的445埠進行攻擊,當台積電機臺接上網路後即遭病毒掃描並自動進行水平式攻擊,導致短時間內場內機臺皆遭受感染,根據台積電供應鍵表示,台積電這次因勒索軟體攻擊停產一天,報廢晶圓數量超過一萬片,損失粗估超過新台幣50億元。
除了我國優勢網通產業,我國於金融方面在2016年發生了第一銀行ATM盜領事件,於臺北及臺中市合計22家分行41台ATM提款機遭清空,累積遭盜走現金新臺幣8千萬餘元;2017年亦發生遠東銀行SWIFT (環球銀行間金融電訊網路) 遭駭事件,使遠銀境外分行之外幣帳戶依據電文內容,執行付款至斯里蘭卡、柬埔寨及美國等地銀行帳戶,遭駭金額計約美新臺幣約18億餘元。此外,面對我國車載設備與自駕載具平台進軍高階市場,雖然有著晶片和製造的優勢,但缺乏一個安全的基礎架構,但無論是Qualcomm或是NXP早就有車載裝置的安全Hypervisor設計,我國卻只有晶片設計與製造,沒有針對市場需求設計其上的軟體架構,這是整體資通訊產品產業在全球化產業競爭下所需面對的共同課題,同時在全球積極發展智慧城市、智慧治理及萬物互聯的創新潮流中,各國政府對資通訊產品之安全要求更全面嚴陣以待,各種安全規範正逐漸成形,成為新的技術競爭門檻。
上述諸多資安問題一方面需要從產品開發時就對程式碼進行審視和測試,另一方面則需完備防護機制,在架構上提供嚴格的資安保護,但目前我國既有資安防護技術大多欠缺整體性考量和技術,目前普遍以代理外來產品、提供檢測服務為主。因此,導入新型態資安解決方案完備我國既有優勢產業將有其必要性。
然而我國產業對於資安項目投入資源有限,根據「思科2017年度網路安全報告」(Cisco® 2017 Annual Cybersecurity Report, ACR)[1]顯示,在13個國家的2900多位資安專業人員的訪問結果中,大多數組織至少有20%以上的資安依賴第三方廠商,且在各企業中仍具有資安預算限制、系統相容性問題及專業人才的缺乏等議題,並且報告中亦指出產業只有工具沒有對應資安人員,因此無法準確評估企業在資安環境中的局勢。再者,根據工研院產科國際所統計,我國民營企業平均投入資安人力不足兩人,在2017年時我國近六成(59.4%)企業廠商的專責資訊人力為1~2人,其中多數(77.3%)廠商之資安人力由資訊人員兼任,缺乏完整資安訓練,並且2018年仍擬維持現有資安人力之廠商高達94.6%。顯見在既有商業導向規劃下,企業廠商仍舊將主要資源投入於產品開發,在廠商資安預算不足下,過去數十年來辛苦耕耘建立的我國優勢網通設備產業,在全球市場上,必然會嚐到過去僅專注產品功能研發,缺乏對產品資訊安全之投入,而面臨主要市場如美國及歐盟陸續以忽略產品安全研發投入,及不安全產品低價傾銷等理由提出禁止產品輸入、販售之訴訟的結果。
圖1 企業資安投入人力分析圖 (資料來源: 工研院產科國際所)
為此,為解決資安人力短缺以及廠商缺乏足夠投入資源的問題,我們需要一能夠於有限資安資源投入的條件下,協助企業提升產品安全性,完備整體開發環境的解決方案。此解決方案可透過整合國內外軟體開發流程內各階段之資安檢測產品,並參考國際入侵檢測與系統防護之評測標準建立我國資安檢測評比架構,提供資安業者一致且可信的安全規格。並可透過檢測設備與場域之安全可靠度,媒合我國各式產業聯網設備與各種智慧應用場域,以各式應用場域淬鍊其核心資安防禦能力,建構其產業價值鏈及營運模式,為我國資安產品與服務行銷國際鋪路,形成國際市場出海口。
資安整合服務平台
透過推動建構產業共通之資安整合服務平台,以資安基礎架構服務平台協助產業導入安全軟體開發流程所需之各項輔助工具技術,包含程式原始碼掃瞄、分析,自動化執行檔弱點探索及自動化產品滲透測試驗證等服務。透過資安整合服務平台,可讓業者資安產品以服務形式提供產品開發商進行評估、試用,最終達到媒合雙方,建立長期合作導入應用之關係。從資通訊產品開發者角度,中小型企業可借助此平台,導入各項可改善軟體安全之輔助開發工具,並參考國際ISO/IEC與NIST安全軟體開發規範,協助資通訊產品及解決方案相關產業建立其產品安全研發流程,在產品上市前於此服務平台進行基本的資安檢測,以確保所研發之產品已滿足基本安全防護能力,可抵禦基本常見駭客工具之入侵。同時藉平台上眾多資安開發軟體解決方案的試用合作,亦可協助其找到合乎其領域需求之最適安全合作夥伴,建立持續強化產品安全之長期合作關係。
圖2 資安整合服務平台示意 (資料來源: 工研院資通所)
安全軟體開發相關之安全軟體技術,實為資安產業之軟體工業基礎,將資安檢測知識,以軟體形式在產品開發初期即導入協助產品排除各種可能造成資安漏洞之設計,乃是建立安全產品最重要的核心手段,越早期修正資安漏洞絕對較等到產品在市場上被揭露弱點所帶來的商譽及實際修補措施損失更能省下大量產品行銷與維護成本。
資安整合服務平台針對產品/設備所涵蓋之服務面向將包含:
(1)工業物聯網(智慧製造設備, 系統服務, SCADA協定)
(2)車聯網控制(車載系統, 車聯網, 控制器區域網路)
(3)無人載具(無人載具工控協定)等主要檢測類型
透過平台對於企業設備與相關網通訊佈建之安全驗證,協助廠商對於轄屬開發中/已開發/已上市之各式智能應用產品進行弱點驗測與安全規劃,資安整合服務平台運行時將結合軟體安全開發週期進行產業運用輔導(如下圖所示),傳統系統發展生命週期為功能型導向的設計流程,目標是在短時間內完成系統開發以及營運,如無特殊設計,主要是依賴外部的安全機制,例如:防火牆、安全偵測系統等,然而以目前的網路環境來說,單靠這些外部安全機制已不足以應應越來越複雜的網路環境、駭客攻擊以及各種資安問題,因此目前的應對方式應該在軟體設計時就針對可能的程式漏洞進行修補,常是建立高安全性的軟體,以避免當其他防護機制均失敗時,將陷入高風險的環境當中。
「安全系統發展生命週期」(Secure System Development Lifecycle, SSDLC)便是針對這樣的理念所提出來的設計方法,主要的概念是根據現有的「系統發展生命週期」在各個階段均加入安全軟體設計的方法,以提高整體系統的安全性[2]。透過產品生命週期安全開發驗證,大幅提升產品之安全性。因此,透過平台所提供/整合之檢測服務涵蓋源碼分析、弱點掃描、滲透測試與漏洞追蹤等項目,將可強化產品之軟體品質提升產業自主之軟體安全基礎架構與產品研發能量,並以產業需求面與資安應用趨勢為基礎,以資安動能推動基地新興產業鏈發展。
圖3 安全開發週期架構圖 (資料來源: 工研院資通所)
資安整合服務平台於執行規劃上將以「持續性檢測」為依據進行建置,規劃上將提供國內新創廠商以及優勢網通產業針對其轄屬系統/產品/設備於平台上部署,當有全球各式零日攻擊與新挖掘漏洞被通報時,平台將可立即針對部署產品進行施測,以達到持續性檢測之目的。資安整合服務平台之資安檢測服務將包含人工作業部分以及平台作業部分,當國內新創廠商以及優勢網通產業欲透過此平台對於轄屬產品/設備/系統進行資安檢測,其服務流程將首先由服務需求方對於待測標的提出檢測服務需求申請並遞交申請書,申請書內容將包含:
- 廠商背景說明(含主要業務等)
- 待測產品可應用情境說明
- 待測產品或服務功能與應用情境說明
- 安裝待測產品或服務所需整合軟硬體及網路需求
服務平台管理人員將透過內審或遴選審查委員會對於檢測服務申請進行審核,若審核通過時則服務平台將與服務需求方簽署保密切結協定(Non-disclosure agreement,NDA),以避免服務需求方之技術項目或是受測標的之資安漏洞遭洩漏。完成檢測服務申請後將會提供服務需求方一組帳號密碼,需求方可透過帳號密碼登入平臺,登入可進行檢測專案建立與虛擬機建立,受測設備/服務部署上若為實體設備/產品則透過實體線路串接於服務平台內網的方式進行部署,若為網頁服務/應用程式/執行系統則透過虛擬機進行環境部署,完成部署後需求方可針對資安檢測工具/服務進行選擇,選擇之工具/服務將會根據操作流程與執行方式自動化/半自動化開始針對待測標的進行檢測,檢測完畢後需求方可透過服務平台檢視資安檢測結果並下載檢測報告以及修補建議。服務平台服務流程圖如下圖所示。
圖4 資安整合服務平台服務流程圖 (資料來源: 工研院資通所)
推動資通訊產業資安認證
資通訊產品的安全保證是建構資訊化社會的重要根本,為厚實我國數位城市重要的資安架構,就必須讓國內資通訊產品業者之相關產品取得國際級的資安認證,使其服務品質與專業技術能量皆符合國際水準。在我國產業面臨更高安全規範要求的同時,亦面臨我國缺乏一公正第三方的資安產品效能評比機制,可針對各式資安設備與資安服務建立功能性之技術指標 (如針對防火牆訂定其對於阻斷服務攻擊之耐受力、滲透測試攻擊之抵禦能力等),如國際上權威之第三方安全評測機構為美國的NSS 實驗室,其透過建立全球入侵檢測與系統防護之評測標準,並隨著資安技術的演進不斷更新,進而成為世界公認之產品安全認證機構,NSS實驗室的權威性來自其評測過程完全模擬真實網路攻擊環境,透過嚴謹的評估過程與數據分析提供客戶最客觀的安全產品報告,多年下來使其測試報告具有高度的行業權威以及廣泛的媒體影響力,如今多數上市或準備推出的資安產品都會送至該實驗室進行檢測。然而我國針對資安產品認證上缺乏一公開的第三方機構擁有足夠高聲望與專業性能夠進行相關評估,而我國新興資安產業也缺乏足夠資金將產品送NSS實驗室進行所費高昂的評估測試,為此多數資安產品進軍國際時將因缺乏專業認證背書而受阻或是無法進入高階設備之列。
為此,資安整合服務平台即是要推動一資安認證的營運模式,集結國內外學界研究團隊、資安廠商的技術能量,對各式電子網通產品進行弱點檢測與源碼分析,另外平台亦規劃與國際具公信力的安全評估與檢測機構合作,如NSS Labs,使國內的檢測設備儀器、檢測技術能力皆符合國際等級,目標是在國內一次性檢測即可無阻礙地銷售到國際,提升競爭力以振興國內資安產業的發展。國內資通訊產品業者本就有取得國際資安認證的需求,並輔以舉辦一些跨域資安產業高峰會、國際資安交流會,深植產業資安化的概念,以強化說明平台在各領域資安檢測的專業能量,輔導廠商進行資安認證,厚實其產品資安防護的能力。
建全資安防護體系
透過資安整合服務平台之資安檢測,將持續累積針對現行資安產品,如路由器、防火牆、伺服器等建置安全情資知識庫,包含設備資安防禦效能以及資安威脅情資面向,在資安防禦效能方面將針對各式網通產品建立功能性之技術指標(如針對防火牆訂定其對於阻斷服務攻擊之耐受力、滲透測試攻擊之抵禦能力等),於產業面上建置產品核心能力之評估標準,其一可做為我國設備開發安全規範參考,作為後續資安產業鏈上產品之功能指標,其二可做為網通產業廠商尋找資安解決方案之依據,協助廠商根據不同評比項目連結合適之資安防護機制,將可結合惡意程式預測模組、誘捕系統與資安設備日誌關聯分析技術,提供情資分析給關鍵場域使用,將我國大量網路攻擊樣態的先天環境加以利用轉換為防護和情資的動能;將實測場域之各式情資威脅報告提供予資安整合服務平台,以豐沛資訊量帶動國內優勢資通訊設備廠商以及受測場域單位的資安防護等級與形象。
在推動新興實證場域部分,將透過平台服務持續發掘各式網通產品、物聯設備、雲端服務與各式應用程式之弱點威脅,以實證確認我國產品之安全強度,同時檢視物聯網設備及應用系統之資訊安全等級和防護能力於多場域之資安實測,協助場域進行安全開發驗證,並透過場域實證以及新興檢測技術整合精進,厚實我國跨域資安之檢測能量,並藉由軟體安全基礎架構產品研發能量,針對我國優勢產業之產品研發流程,經由作業分析管理協助資通訊廠商建置符合安全軟體規劃之開發流程,推動建立產業安全軟體研發之典範案例。
資安整合服務平台-驅動資安產業生態鏈
新興應用領域與資安解決方案的媒合,將可建立智慧型資安新創,促使場域主與相關領域之企業具備可自主防護之能力,以產業資安化進而推動資安新事業,以智慧資安核心技術驅動資安產業生態鏈新面貌。透過資安防護體系的部署將可整合我國資安廠商與新興應用場域,於場域應用擴展前檢測系統漏洞並提出跨域資安解決方案,協助驗證弱點改善之有效性以扣合我國資安產業鏈,率先全球佈局各式新興應用場域以累積跨領域整合能量,推動台灣成為各式新興應用場域之資安技術領先國。
相關連結: 第176期Cyber Security專輯
相關連結: 免代理式應用效能管理系統
