如何因應連網商機下的資安風險

如何因應連網商機下的資安風險
陳哲妤Claire Chen
安華聯網產品經理
Leading Brand in Cybersecurity Compliance Solutions
www.onwardsecurity.com

© 2020 Onward Security Corp. All rights reserved.
1
物聯網發展主要趨勢
Source: https://financesonline.com/iot-trends/
• IoT產品急上市缺乏適當地防護
• 市場的IoT產品很容易受到攻擊
• 使用者大多都不曾更新firmware
• 媒體業相信IoT對公司成長扮演至關重要角色
• 零售業2021年將運用IoT客製消費者臨店體驗
• 智慧城市是美國城市正在投資IoT科技的領域
• 至2019年IoT設備使用數量已破260億
• 預估2025年使用量將突破750億

2
物聯網市場面對的機會與挑戰
NICE-TO-HAVE
MUST-HAVE
Before COVID-19
After COVID-19
Business Opportunities
Business Challenges
物聯網裝置使用量
持續攀升
430 萬個設備被回收，
損失超過5億美元
IoT 攻擊不斷增加
各國政府紛紛推
出資安要求

3
全球遍地開花的物聯網資安事件

4
不同規範的合規需求
 產品供應商為符合國外制訂法規，其中基
礎建設、醫療與國防相關設備為強制要求
• China – 網路安全等級保護2.0
• Taiwan - 影像監控系統資安標準
• Taiwan - 適用於製造廠之醫療器材網路安全指引
• USA(California) - SB-327 Information privacy
• USA(Oregon) - House Bill 2395
• USA - Cybersecurity Maturity Model Certification
• USA FDA - Content of Premarket Submissions for
Management of Cybersecurity in Medical Devices
• EU - Regulation 2017/745 of The European Parliament
• Japan - CCDS Consumer device security guideline
 代工廠受國外各大品牌商要求，須符合相
關產品開發資安準則
• ABB – Guideline for the ABB Cyber Security
Requirements for Suppliers
• Amazon – AVS Security Requirements
• Schneider – Cyber Security Guideline for Suppliers
• T-Mobile – Enterprise Third-Party Information Security
Standard
• Verizon – General Information Security Requirements for
Verizon Suppliers
• Bosch - Product Security throughout the life cycle of
Bosch
供應商
安全要求
資安
認證
 IECEE完成工業控制設備資安標準制訂，
國內工控設備製造商規劃取得認證
• IEC 62351 - Power systems management and associated
information exchange - Data and communications security
• SO/IEC15408, Evaluation criteria for IT security(CC)
• Power system control and associated communications –
Data and communication security (62210)
• ISA/IEC 62443 - Security for industrial automation and
control systems
• Part 4-1: Secure product development lifecycle
requirements
• Part 4-2: Technical security requirements for IACS
components
資安
法規
國際
標準
 來自各國際組織的國際標準與規範與
• AGA 12
• CPNI – Good Practice Guide, Process Control and SCADA Security
• DHS( Department of Homeland Security )
• Cyber Security Procurement Language for Control Systems
• Catalog of Control Systems Security: Recommendations for Standards
Developers
• DOE – 21 steps to Improve Cyber Security of SCADA Networks
• GAO – Cyber security for Critical Infrastructure Protection
• IEEE – IEEE Guide for Electric Power Substation Physical and Electronic Security
• ISO – 27001 / 27019
• INGAA – INGAA Control Systems Cyber Security Guidelines for the Natural Gas
Pipeline Industry
• NIST
• NIST SP 800-82, Guide to Industrial Control Systems (ICS) Security.
• NIST SP 800-53, Recommended Security Controls for Federal Information
Systems.
• Field Device Protection Profile for SCADA Systems in Medium Robustness
Environments.
• NIST IR 7176, System Protection Profile – Industrial Control Systems.
• ICS-CERT
• Control Systems Cyber Security: Defense in Depth Strategies
• Catalog of Control Systems Security: Recommendations for Standards
Developers
• Cyber Security Procurement Language for Control Systems

5
2020世界經濟論壇評估10大可能風險與衝擊
11/5/2020

6
網路攻擊蟬聯前大十排行榜多年
2019
2018 2017
2020

7
第四次工業革命帶來的改變
 科技重大發展：5G網路，量子計算、AI創造機
會也帶來巨大的經濟與社會的利益
 改變人類生活：運用科技改善地球環境健康；
全球50%的人生活中需使用網路、每天上網人
數增加一百萬、全球2/3的人擁有行動裝置
 科技帶來網路犯罪：
 網路攻擊成為個人及企業常見的危害、全球科技
缺乏治理增加網路世界風險、
 缺乏對科技與網路世界的治理框架，可能會限制
經濟成長、加劇政治競爭並擴大社會內部分歧。
數位創新的資安風險
 創造營利永遠優先於資安
 Security-by-design的原則在快速上市的目
標下，還是被擺到了第二順位
 網路犯罪組織商業化
 網路犯罪商業化，任誰都可由暗網找到經濟
實惠並好用的攻擊工具
 網路犯罪組織化，被抓到的可能性為0.05%
 IoT為網路犯罪帶來巨大利益：
 IoT設備是攻擊跳板的利器，2019年上半年對
IoT設備攻擊事件增加300%
 結合IoT技術後，被盜取的資料每年可產生市
值高達2000億美元產值
 各產業鏈基礎設施遭攻擊已是普遍資安事件
 2021年網路犯將導致損失高達6兆美元
(trillion)，相當世界第三大經濟體的1/3GDP

8
UDP
SMTP
HTTP
Ethernet ICHP
物聯網設備面臨攻擊的三大面向

9
駭客前十大攻擊手法
• BSI公佈2019年駭客利用下列十項常見威脅手法，持續且深入攻擊組織內
部的工業設備
Infiltration of Malware via Removeable Media and External
Hardware
Malware Infection via Internet and Intranet
Human Error and Sabotage
Compromising of Extranet and Cloud Components
Social Engineering and Phishing
(D)Dos Attacks
Control Components Connected to the Internet
Intrusion via Remote Access
Technical malfunctions and Force Majeure
Compromising of Smartphones in the Production Environment BSI-CS 005E | Version 1.30 of 06/06/2019
Report source::

10
軟體常被忽略的風險-開源碼
Fast
Time-To-Market
Cost
Saving
Indendency
(No Vendor
Lock-in)
• 採用開源碼的好處
• 使用開源碼的挑戰
OSS已有法律義務問題
只有開發者有授權的OSS才是免費
OSS版權流氓(copyright troll)崛起
OSS的開發者使用版權條款圖利的頻
率已開始影響市場
許可證的法律問題存在的弱點風險
5.65.7
4.74.2
5.35.2
7.9
6.56.4
14.7
0
5
10
15
20
08 10 12 14 16
0.10.00.30.5
0.9
2.0
4.04.2
6.5
9.0
0
5
10
08 10 12 14 16
Vulnerabilities Reported (NVD) OSS Vulnerabilities Reported (Snyk)1
(in Thousands) (in Hundreds)
~23%
CAGR
~58%
CAGR
Representing about 15 ~ 20% of the total
OSS vulnerabilities found in a given year

11
Community Health Systems Breach (2014) Equifax Breach ( 2017)
1. 2016 Verizon Data Breach Investigation Report
Source : Desk Research; Synopsys (2018); Insignary Analysis
重大弱點被攻擊的後果
Vulnerability
Component
& Release
Heartbleed Shellshock Freak Ghost Drown SambaCry Jakarta
2014 2014 2015 2015 2016 2017 2017
OpenSSL
(2011)
Bash
(1989)
OpenSSL
(1990s)
GNU C Library
(2000)
OpenSSL
(1990s)
SAMBA
(2010)
Apache Struts
(2007)
Recent High Profile Open Source Software Vulnerabilities
Personal data of ~146M
customers exposed
CEO / CIO / CSO resigned
Lost $4B in market cap &
now faces $70B lawsuit
A known security vulnerability
in Apache Struts was exploited
 The issue was first discovered & the
patch was released 2 months prior
 Patch would have remediated the
issue, but Equifax overlooked it
~4.5M patient
records stolen
Estimated cost of
$75M ~ $150M
A known security vulnerability
in OpenSSL was exploited
 CHS operates 206 hospitals in 29 states
 Exploited ‘Heartbleed’ to gain user creden-
tials from a Juniper device on the network

12
物聯網產品面臨的資安挑戰
• IoT攻擊事件與日遽增
 各行業產品連網需求增加，
例如智慧電視、IPCAM等
 IoT產品攻擊事件不斷成
長，例如數據機晶片漏洞可
讓駭客接管數據機；無線路
由器漏洞可引起DDos攻擊
 組織化的網路犯罪讓資安事
件造成的損失不斷提高
• 物聯網產品被忽略的風險 • 各國資安規範各有不同
 IoT產品開發過程缺乏資安
意識
 開發過程引用第三方元件卻
忽略第三方元件也存在弱點
 開發過程不知道應該如何找
出未知弱點
 國際法規要求，例如美國
FDA、工控的IEC62443
 國內法規要求，例如：
TAICS 影像監控系統資安標
準、適用於製造廠之醫療器
材網路安全指引(衛服部）
 國際安全指引，例如
OWASP IoT Top 10

13
• 滿足資安合規要求
• 符合業界標準與客戶要求
• 資安流程導入
• 資安管理、資安架構檢視
• 軟體安全開發成熟度評估
• 資安稽核服務….
產品上市前應考量的安全面向
資安合規
顧問服務
資安檢測
評估
資安產品
/工具
• 找出外部環境威脅
• 資訊系統安全強度
• 產品開發過程風險問題
• 連網設備安全性
• 淺在資安問題……
• 滿足開發過程所有測試要求
• 管理測試記錄
• 安全事件通報…..
Evaluation
滿足合規規範第三方檢測評估
進行產品Pre-test

14
開發流程依循國際標準或規範
Pre-SDL
Security
Training
Phase 1
Requirement
Phase 2
Design
Phase 3
Implementati
on
Phase 4
Verification
Phase 5
Release
Post-SDL
Requirement
Response
Security Policy Delivery or
Training
Security Standard &
Industrial Requirement
Risk and Impact Analysis
Security Testing
Security Testing and Analysis
Security Maintenance
Incident Response Plan
Establish Security Requirements
Create quality gates/Bug bars
Security & Privacy Risk assessment
Establish design requirements
Analyze Attack Surface
Threat Modeling
Use tools
Deprecate unsafe functions
Static Analysis
Incident Response Plan
Final Security Review
Release Archive
Dynamic analysis
Fuzz Testing
Attack Surface Review
Secure Development Life Cycle

15
強化設備與產品自身安全性
將安全落實到軟體開發生命週期
https://medium.com/@jilvanpinheiro/software-
development-life-cycle-sdlc-phases-40d46afbe384
設計階段安全重點
• 研發(RD)為主，資安為輔
• 遵守安全編碼準則(secure coding guideline) 並執行靜態程式碼分析( static code analysis) ，
找出淺在弱點，針對風險等級高的弱點進行修補
• 執行事項包含
 源始碼安全(Source Code Security)
 第三方軟體套件檢查(Firmware scan)
驗證階段安全重點
• 內部驗證以測試(QA)為主，產品經理(PM)、研發(RD)與資安為輔
• 外部驗證以資安(Security)為主，產品經理(PM)、研發(RD)測試(QA)為輔
• 執行靜態碼分析與網路層分析找出弱點，針對風險等級高的弱點進行修補
• 執行事項包含
 執行靜態程式碼分析(static code analysis )
 執行網路層(network-level)測試: boundary testing, known vulnerability testing, unknown
vulnerability testing, PII scan, compliance testing, and penetration testing

16
找出已知弱點測試
• Host Scan (Server &
Service)
• 辯識作業系統版本(OS version)
• 辦識網路應用名稱與版本(network
application name and version)
• 檢查已知弱點
• Web Application Scan
• 網路爬蟲(Site crawling)
• 分析頁面與參數(pages and parameters)
• 檢查下列目標弱點
 Injection (SQLi, XSS, and so on)
 Error Handling
 Sessions
 CSRF, SSRF
• Open source scan(3 party
component)
• 自動掃描並辦職元件
• 辦識元件弱點
• 盤點許可證合規資訊
• 辦識litigator code (ex:McHardy)
依據風險等級排序弱點，依建議緩解方法決定行動

17
探索未知弱點-模糊測試(Fuzz Testing)
找出協議未知弱點最有
效的方法之一
 透過傳送正常與非常格式資
料進行測試並監控異常點
 探索協議未知弱點
 驗證產品抵禦惡意攻擊的強
健性
NT20
Test-1
Test-5 Test-6 Test-7 Test-8
Test-2 Test-3 Test-4
?
Pass Pass Failure
?
Pass
? ?
Failure Failure Failure Failure
Core
Network(7)
ARP, ETHERNET, ICMP(v4/v6), IGMPv3, IP(v4/v6),
TCP(v4/v6), UDP(v4/v6)
BACnet, CoAP, DNP3, EtherNet/IP, FINS, S7omm,
IEC60870-5-104, IEC61850(Goose/MMS/Sampled
Value), Modbus, OPC UA, ProfitNet
CWMP, DHCP(v4/v6), DNS, LDAPv3, NTP, OCSP,
PPTP, SIP, SNMP (v1/v2/v3/trap), SSHv2, TFTP,
Telnet, TLS1.2, UPnP, IPSec, RADIUS, IKEv2, IPMI,
NFSv4, VLAN, FTP, VGP, BFD
IIoT(11)
Core
Network(23)
File System(2)
Web
Application(2)
VoIP/ IMS(3)
Wireless(4)
CIFS/SMB/NFS
HTTP, WEB Fuzz(Including XML and JSON format)
RTP, RTCP, RTSP
802.11 WLAN Client /AP
802.11 WPA Client / AP
AI Traffic
Capture
Fuzzer (2)
TCP-based Proprietary Protocol
UDP-based Proprietary Protocol
IIoT設備
IoT設備
安控產品
醫療設備
無線設備

18
以駭客思維發掘淺在資安問題-滲透測試
• 完整且深入的測試服務
 弱點掃描 + 專家測試
 嘗試繞過現有防護機制
 找出更多邏輯上的安全問題
 盡可能執行所有網站上的功能
 有可能發現其他攻擊者的足跡
滲透測試團隊滲透測試方法
測試執行內容
風險分析與評估

19
運用工具滿足開發週期安全實施重點
產品上市
安全需求
滿足
軟體安全
開發週期
安全
需求分析
安全
設計
安全
開發
安全
測試
安全
發佈
安全
維護
安全需求/
政策發佈
風險分析第三方套件
安全分析
第三方檢測事件處理
文件/政策
管理發佈
威脅模型
政策管理
已知弱點
關聯分析
安全測試
結果管理
應變措施
流程管理
主動事件
通報追蹤
橫向
管理
未知弱點
(Fuzz)測試
已知弱點
(CVE)檢測
無線
弱點檢測
網頁
弱點檢測
深度
檢測
服務阻斷
(DoS)測試
弱點掃描

20
產品資安管理系統-
上市前弱點管理/上市後資安事故反應與處理
ISO/IEC 27001
ISO/IEC 27034
20
合規
團隊協同作業
產品風險管控
即時安全情資
滿足多項規範

21
提供開發物聯網產品的建議
開發過程
找出產品
弱點
善用工具滿足
不同規範需求
落實資安
至開發流
程中
落實資安至開發流程
1.將資安意識提前至開發過程中執行
2.開發過程管理並修補發現弱點風險
在開發過程找出產品弱點
1.找出第三方套件的已知弱點
2.挖掘尚未被發現的未知弱點
善用工具滿足不同規範需求
1.透過合規工具滿足安全測試需求
2.運用涵蓋率廣的工具滿足不同行業需求

22
Leading Brand in Cybersecurity Compliance Solutions
THANK Y U

如何因應連網商機下的資安風險

More Related Content

What's hot

Similar to 如何因應連網商機下的資安風險

如何因應連網商機下的資安風險