原标题:Panasonic百年老店的坚持,资安更要纳入品管,绝不让产品变攻击加害者
根据日本政府所发布的2016年网路安全趋势报告,Panasonic产品资讯安全中心亚太区负责人林永熙表示,攻击事件已经从2016年3月最高峰的2006件,产生逐渐下滑的趋势,「但是这只是表面上的结果。」他认为,网路攻击数件的减少,其实肇因于过去骇客多锁定电脑设备、智慧手机做为攻击标靶,「但是近年已经转移到IoT装置上。」
随着攻击目标的转移,骇客利用路由器、网路摄影机进行网路嗅探行为的次数也逐年增加,「目的是为了刺探IoT产品的漏洞。」像是在2011年时,日本平均每日有252.9起网路嗅探行为的通报,但是到了2015年,已经成长到729.3件。
也因此,林永熙表示,目前IoT装置资安议题,广泛被业界关注。而Panasonic作为硬体厂商,林永熙表示,面对IoT资安威胁,「我们最在意的就是装置功能停止,或是被产品变成攻击跳板。」首先,碍于IoT装置的运算效能有限,如果不法人士恶意发送许多垃圾封包,很容易导致设备停止运作。再者,2016年发生多起殭尸网路攻击事件,许多网路摄影机、伺服器及路由器都遭受感染,变成骇客发动攻击的跳板,林永熙表示,对创立近百年的Panasonic而言,也高度关注旗下产品是否变成攻击跳板,「我们不能接受产品成为攻击加害者。」所以,在产品品管过程就将资安纳入考量,这也正是林永熙的任务之一。
智慧安全家电是日本IoT市场大宗产品
根据他观察,目前日本的IoT市场上较为热门的产品,多为辅助家庭安全的连线装置,例如监视摄影机,或是监控住家使用多少电力、能源的产品。他表示,许多人认为一个好的IoT产品,必须要内建更多连线功能「但是在日本市场中,现况并不是如此。」他表示,早在10年前,日本製造热水壶的厂商,就已经因应日本高龄化趋势,推出具有记录使用者行为功能的产品。该设备会搜集独居长者的使用热水器的时间点,并且透过电子邮件告知其亲友,「藉此确保其生活起居正常。」
除此之外,日本厂商也有推出智慧电灯泡,当系统发现该使用者已经超过一段时间内没有启动、关闭电灯时,也会自动发送电子邮件,通知使用者的亲友。
而这些轻薄、功能简洁的IoT装置,目前正是日本市场的主流大宗产品。但是林永熙表示,中国市场对于连线装置的需求极大,也因此中国Panasonic自行研发的产品,多半必须搭载连线功能,「因此目前Panasonic集团中,连线功能进步最快的是中国市场。」
靠威胁分析、漏洞检测,加强产品安全
林永熙也揭露了目前Panasonic资安部门的架构,目前总共分成IT安全、产品安全以及工厂安全,「未来目标就是要将它们全部整合在一起。」为了加强产品安全,Panasonic也规定,在产品各个不同的生命周期中,必须制定分别不同的因应策略。
在产品一开始的计画、设计跟实作阶段中,目标是减少系统漏洞的存在,「达到风险最小化。」而其中关键作业就是进行威胁分析。林永熙解释,在威胁分析阶段时,软体开发时必须提出详尽的规格、计画书,方便公司进行风险分析,并且拟定相关因应措施,「碍于成本考量,企业无法完全避开风险,必须进行取捨。」
再者是产品到了测试阶段,必须通过团队的漏洞检测。林永熙表示,目前Panasonic旗下有成立一个数十人的团队,专门负责测试其云端服务、Web应用程式,以及嵌入式系统是否存在漏洞。该团队除了必须要建立固定的检测手法,事后也要提出检测报告,除了替漏洞分类风险等级、纪录攻击手法,也要提出解决方案。
未来Panasonic也要推动漏洞悬赏计画
在未来,日本Panasonic也计画要发起漏洞悬赏计画。林永熙表示,2016年时,美国Panasonic已经跟漏洞平台Hackerone合作,广邀骇客来挖掘旗下机上娱乐系统的漏洞,确保产品安全性。除此之外,美国分布也已经雇用了10多名的正职骇客,每天执行漏洞检测的工作。不过他表示,由于Panasonic目前的主力产品是硬体,也有许多委外製造的合作伙伴,在推动漏洞悬赏上有一定的困难程度,「Panasonic还有许多路要走。」
相关:
示意图,与新闻事件无关。 图片来源: SAP SAP周二宣布释出5项安全公告修补10个出现在资料管理平台HANA、HANA2上的软体瑕疵,包括2个高风险漏洞。?这批漏洞是由安全公司Onapsis Research Labs发现,并在今年1月通报
面对目标攻击不能只是挨打,Kaspersky倡言新的主动因应之道——威胁猎捕
图片来源: 李宗翰 摄影 这几年以来,锁定目标的网路攻击(Target Attack)因为採用的手法相当独特、複杂、多变,而且所要侵袭的对象相当精準、明确,一直是许多资安防护难以有效阻绝的威胁。而在今年台湾资安大会上,
音乐美术纳入中考 考核结果将计入总分 江苏试点河南将随后 会加负吗?
音乐美术纳入中考,对于所有的中国学生来说最重要的考试估计就该是高考和中考了。所以,几乎每次高考和中考的细微变化都吸引着很多人的目光,最近音乐、美术考核将会计入江苏中考总分的消息,成为不少家长关注的焦点
示意图,与新闻事件无关。 图片来源: McAfee 维基解密(WikiLeaks)在上周公布了名为Vault 7的一系列来自美国中央情报局(CIA)的机密文件,它是由超过8000份的资料及档案组成,内含各种恶意程式、病毒、木马、漏洞
经济部今天召开106年第1次电价费率审议会,决议台电公司105年提拨新台币501.5亿元,纳入电价稳定基金。经济部表示,本次会议主要为审议台电公司105年度调整后税后盈余超过合理利润数,会议中台电公司报告105年度会计