SlideShare a Scribd company logo
1 of 23
如何因應連網商機下的資安風險
陳哲妤Claire Chen
安華聯網 產品經理
Leading Brand in Cybersecurity Compliance Solutions
www.onwardsecurity.com
© 2020 Onward Security Corp. All rights reserved.
1
物聯網發展主要趨勢
Source: https://financesonline.com/iot-trends/
• IoT產品急上市缺乏適當地防護
• 市場的IoT產品很容易受到攻擊
• 使用者大多都不曾更新firmware
• 媒體業相信IoT對公司成長扮演至關重要角色
• 零售業2021年將運用IoT客製消費者臨店體驗
• 智慧城市是美國城市正在投資IoT科技的領域
• 至2019年IoT設備使用數量已破260億
• 預估2025年使用量將突破750億
© 2020 Onward Security Corp. All rights reserved.
2
物聯網市場面對的機會與挑戰
NICE-TO-HAVE
MUST-HAVE
Before COVID-19
After COVID-19
Business Opportunities
Business Challenges
物聯網裝置使用量
持續攀升
430 萬個設備被回收,
損失超過5億美元
IoT 攻擊不斷增加
各國政府紛紛推
出資安要求
© 2020 Onward Security Corp. All rights reserved.
3
全球遍地開花的物聯網資安事件
© 2020 Onward Security Corp. All rights reserved.
4
不同規範的合規需求
 產品供應商為符合國外制訂法規,其中基
礎建設、醫療與國防相關設備為強制要求
• China – 網路安全等級保護2.0
• Taiwan - 影像監控系統資安標準
• Taiwan - 適用於製造廠之醫療器材網路安全指引
• USA(California) - SB-327 Information privacy
• USA(Oregon) - House Bill 2395
• USA - Cybersecurity Maturity Model Certification
• USA FDA - Content of Premarket Submissions for
Management of Cybersecurity in Medical Devices
• EU - Regulation 2017/745 of The European Parliament
• Japan - CCDS Consumer device security guideline
 代工廠受國外各大品牌商要求,須符合相
關產品開發資安準則
• ABB – Guideline for the ABB Cyber Security
Requirements for Suppliers
• Amazon – AVS Security Requirements
• Schneider – Cyber Security Guideline for Suppliers
• T-Mobile – Enterprise Third-Party Information Security
Standard
• Verizon – General Information Security Requirements for
Verizon Suppliers
• Bosch - Product Security throughout the life cycle of
Bosch
供應商
安全要求
資安
認證
 IECEE完成工業控制設備資安標準制訂,
國內工控設備製造商規劃取得認證
• IEC 62351 - Power systems management and associated
information exchange - Data and communications security
• SO/IEC15408, Evaluation criteria for IT security(CC)
• Power system control and associated communications –
Data and communication security (62210)
• ISA/IEC 62443 - Security for industrial automation and
control systems
• Part 4-1: Secure product development lifecycle
requirements
• Part 4-2: Technical security requirements for IACS
components
資安
法規
國際
標準
 來自各國際組織的國際標準與規範與
• AGA 12
• CPNI – Good Practice Guide, Process Control and SCADA Security
• DHS( Department of Homeland Security )
• Cyber Security Procurement Language for Control Systems
• Catalog of Control Systems Security: Recommendations for Standards
Developers
• DOE – 21 steps to Improve Cyber Security of SCADA Networks
• GAO – Cyber security for Critical Infrastructure Protection
• IEEE – IEEE Guide for Electric Power Substation Physical and Electronic Security
• ISO – 27001 / 27019
• INGAA – INGAA Control Systems Cyber Security Guidelines for the Natural Gas
Pipeline Industry
• NIST
• NIST SP 800-82, Guide to Industrial Control Systems (ICS) Security.
• NIST SP 800-53, Recommended Security Controls for Federal Information
Systems.
• Field Device Protection Profile for SCADA Systems in Medium Robustness
Environments.
• NIST IR 7176, System Protection Profile – Industrial Control Systems.
• ICS-CERT
• Control Systems Cyber Security: Defense in Depth Strategies
• Catalog of Control Systems Security: Recommendations for Standards
Developers
• Cyber Security Procurement Language for Control Systems
© 2020 Onward Security Corp. All rights reserved.
5
2020世界經濟論壇評估10大可能風險與衝擊
11/5/2020
© 2020 Onward Security Corp. All rights reserved.
6
網路攻擊蟬聯前大十排行榜多年
2019
2018 2017
2020
© 2020 Onward Security Corp. All rights reserved.
7
第四次工業革命帶來的改變
 科技重大發展:5G網路,量子計算、AI創造機
會也帶來巨大的經濟與社會的利益
 改變人類生活:運用科技改善地球環境健康;
全球50%的人生活中需使用網路、每天上網人
數增加一百萬、全球2/3的人擁有行動裝置
 科技帶來網路犯罪:
 網路攻擊成為個人及企業常見的危害、全球科技
缺乏治理增加網路世界風險、
 缺乏對科技與網路世界的治理框架,可能會限制
經濟成長、加劇政治競爭並擴大社會內部分歧。
數位創新的資安風險
 創造營利永遠優先於資安
 Security-by-design的原則在快速上市的目
標下,還是被擺到了第二順位
 網路犯罪組織商業化
 網路犯罪商業化,任誰都可由暗網找到經濟
實惠並好用的攻擊工具
 網路犯罪組織化,被抓到的可能性為0.05%
 IoT為網路犯罪帶來巨大利益:
 IoT設備是攻擊跳板的利器,2019年上半年對
IoT設備攻擊事件增加300%
 結合IoT技術後,被盜取的資料每年可產生市
值高達2000億美元產值
 各產業鏈基礎設施遭攻擊已是普遍資安事件
 2021年網路犯將導致損失高達6兆美元
(trillion),相當世界第三大經濟體的1/3GDP
© 2020 Onward Security Corp. All rights reserved.
8
UDP
SMTP
HTTP
Ethernet ICHP
物聯網設備面臨攻擊的三大面向
© 2020 Onward Security Corp. All rights reserved.
9
駭客前十大攻擊手法
• BSI公佈2019年駭客利用下列十項常見威脅手法,持續且深入攻擊組織內
部的工業設備
Infiltration of Malware via Removeable Media and External
Hardware
Malware Infection via Internet and Intranet
Human Error and Sabotage
Compromising of Extranet and Cloud Components
Social Engineering and Phishing
(D)Dos Attacks
Control Components Connected to the Internet
Intrusion via Remote Access
Technical malfunctions and Force Majeure
Compromising of Smartphones in the Production Environment BSI-CS 005E | Version 1.30 of 06/06/2019
Report source::
© 2020 Onward Security Corp. All rights reserved.
10
軟體常被忽略的風險-開源碼
Fast
Time-To-Market
Cost
Saving
Indendency
(No Vendor
Lock-in)
• 採用開源碼的好處
• 使用開源碼的挑戰
OSS已有法律義務問題
只有開發者有授權的OSS才是免費
OSS版權流氓(copyright troll)崛起
OSS的開發者使用版權條款圖利的頻
率已開始影響市場
許可證的法律問題存在的弱點風險
5.65.7
4.74.2
5.35.2
7.9
6.56.4
14.7
0
5
10
15
20
08 10 12 14 16
0.10.00.30.5
0.9
2.0
4.04.2
6.5
9.0
0
5
10
08 10 12 14 16
Vulnerabilities Reported (NVD) OSS Vulnerabilities Reported (Snyk)1
(in Thousands) (in Hundreds)
~23%
CAGR
~58%
CAGR
Representing about 15 ~ 20% of the total
OSS vulnerabilities found in a given year
© 2020 Onward Security Corp. All rights reserved.
11
Community Health Systems Breach (2014) Equifax Breach ( 2017)
1. 2016 Verizon Data Breach Investigation Report
Source : Desk Research; Synopsys (2018); Insignary Analysis
重大弱點被攻擊的後果
Vulnerability
Component
& Release
Heartbleed Shellshock Freak Ghost Drown SambaCry Jakarta
2014 2014 2015 2015 2016 2017 2017
OpenSSL
(2011)
Bash
(1989)
OpenSSL
(1990s)
GNU C Library
(2000)
OpenSSL
(1990s)
SAMBA
(2010)
Apache Struts
(2007)
Recent High Profile Open Source Software Vulnerabilities
Personal data of ~146M
customers exposed
CEO / CIO / CSO resigned
Lost $4B in market cap &
now faces $70B lawsuit
A known security vulnerability
in Apache Struts was exploited
 The issue was first discovered & the
patch was released 2 months prior
 Patch would have remediated the
issue, but Equifax overlooked it
~4.5M patient
records stolen
Estimated cost of
$75M ~ $150M
A known security vulnerability
in OpenSSL was exploited
 CHS operates 206 hospitals in 29 states
 Exploited ‘Heartbleed’ to gain user creden-
tials from a Juniper device on the network
© 2020 Onward Security Corp. All rights reserved.
12
物聯網產品面臨的資安挑戰
• IoT攻擊事件與日遽增
 各行業產品連網需求增加,
例如智慧電視、IPCAM等
 IoT產品攻擊事件不斷成
長,例如數據機晶片漏洞可
讓駭客接管數據機;無線路
由器漏洞可引起DDos攻擊
 組織化的網路犯罪讓資安事
件造成的損失不斷提高
• 物聯網產品被忽略的風險 • 各國資安規範各有不同
 IoT產品開發過程缺乏資安
意識
 開發過程引用第三方元件卻
忽略第三方元件也存在弱點
 開發過程不知道應該如何找
出未知弱點
 國際法規要求,例如美國
FDA、工控的IEC62443
 國內法規要求,例如:
TAICS 影像監控系統資安標
準、適用於製造廠之醫療器
材網路安全指引(衛服部)
 國際安全指引,例如
OWASP IoT Top 10
© 2020 Onward Security Corp. All rights reserved.
13
• 滿足資安合規要求
• 符合業界標準與客戶要求
• 資安流程導入
• 資安管理、資安架構檢視
• 軟體安全開發成熟度評估
• 資安稽核服務….
產品上市前應考量的安全面向
資安合規
顧問服務
資安檢測
評估
資安產品
/工具
• 找出外部環境威脅
• 資訊系統安全強度
• 產品開發過程風險問題
• 連網設備安全性
• 淺在資安問題……
• 滿足開發過程所有測試要求
• 管理測試記錄
• 安全事件通報…..
Evaluation
滿足合規規範 第三方檢測評估
進行產品Pre-test
© 2020 Onward Security Corp. All rights reserved.
14
開發流程依循國際標準或規範
Pre-SDL
Security
Training
Phase 1
Requirement
Phase 2
Design
Phase 3
Implementati
on
Phase 4
Verification
Phase 5
Release
Post-SDL
Requirement
Response
Security Policy Delivery or
Training
Security Standard &
Industrial Requirement
Risk and Impact Analysis
Security Testing
Security Testing and Analysis
Security Maintenance
Incident Response Plan
Establish Security Requirements
Create quality gates/Bug bars
Security & Privacy Risk assessment
Establish design requirements
Analyze Attack Surface
Threat Modeling
Use tools
Deprecate unsafe functions
Static Analysis
Incident Response Plan
Final Security Review
Release Archive
Dynamic analysis
Fuzz Testing
Attack Surface Review
Secure Development Life Cycle
© 2020 Onward Security Corp. All rights reserved.
15
強化設備與產品自身安全性
將安全落實到軟體開發生命週期
https://medium.com/@jilvanpinheiro/software-
development-life-cycle-sdlc-phases-40d46afbe384
設計階段安全重點
• 研發(RD)為主,資安為輔
• 遵守安全編碼準則(secure coding guideline) 並執行靜態程式碼分析( static code analysis) ,
找出淺在弱點,針對風險等級高的弱點進行修補
• 執行事項包含
 源始碼安全(Source Code Security)
 第三方軟體套件檢查(Firmware scan)
驗證階段安全重點
• 內部驗證以測試(QA)為主,產品經理(PM)、研發(RD)與資安為輔
• 外部驗證以資安(Security)為主,產品經理(PM)、研發(RD)測試(QA)為輔
• 執行靜態碼分析與網路層分析找出弱點,針對風險等級高的弱點進行修補
• 執行事項包含
 執行靜態程式碼分析(static code analysis )
 執行網路層(network-level)測試: boundary testing, known vulnerability testing, unknown
vulnerability testing, PII scan, compliance testing, and penetration testing
© 2020 Onward Security Corp. All rights reserved.
16
找出已知弱點測試
• Host Scan (Server &
Service)
• 辯識作業系統版本(OS version)
• 辦識網路應用名稱與版本(network
application name and version)
• 檢查已知弱點
• Web Application Scan
• 網路爬蟲(Site crawling)
• 分析頁面與參數(pages and parameters)
• 檢查下列目標弱點
 Injection (SQLi, XSS, and so on)
 Error Handling
 Sessions
 CSRF, SSRF
• Open source scan(3 party
component)
• 自動掃描並辦職元件
• 辦識元件弱點
• 盤點許可證合規資訊
• 辦識litigator code (ex:McHardy)
依據風險等級排序弱點,依建議緩解方法決定行動
© 2020 Onward Security Corp. All rights reserved.
17
探索未知弱點-模糊測試(Fuzz Testing)
找出協議未知弱點最有
效的方法之一
 透過傳送正常與非常格式資
料進行測試並監控異常點
 探索協議未知弱點
 驗證產品抵禦惡意攻擊的強
健性
NT20
Test-1
Test-5 Test-6 Test-7 Test-8
Test-2 Test-3 Test-4
?
Pass Pass Failure
?
Pass
? ?
Failure Failure Failure Failure
Core
Network(7)
ARP, ETHERNET, ICMP(v4/v6), IGMPv3, IP(v4/v6),
TCP(v4/v6), UDP(v4/v6)
BACnet, CoAP, DNP3, EtherNet/IP, FINS, S7omm,
IEC60870-5-104, IEC61850(Goose/MMS/Sampled
Value), Modbus, OPC UA, ProfitNet
CWMP, DHCP(v4/v6), DNS, LDAPv3, NTP, OCSP,
PPTP, SIP, SNMP (v1/v2/v3/trap), SSHv2, TFTP,
Telnet, TLS1.2, UPnP, IPSec, RADIUS, IKEv2, IPMI,
NFSv4, VLAN, FTP, VGP, BFD
IIoT(11)
Core
Network(23)
File System(2)
Web
Application(2)
VoIP/ IMS(3)
Wireless(4)
CIFS/SMB/NFS
HTTP, WEB Fuzz(Including XML and JSON format)
RTP, RTCP, RTSP
802.11 WLAN Client /AP
802.11 WPA Client / AP
AI Traffic
Capture
Fuzzer (2)
TCP-based Proprietary Protocol
UDP-based Proprietary Protocol
IIoT設備
IoT設備
安控產品
醫療設備
無線設備
© 2020 Onward Security Corp. All rights reserved.
18
以駭客思維發掘淺在資安問題-滲透測試
• 完整且深入的測試服務
 弱點掃描 + 專家測試
 嘗試繞過現有防護機制
 找出更多邏輯上的安全問題
 盡可能執行所有網站上的功能
 有可能發現其他攻擊者的足跡
滲透測試團隊 滲透測試方法
測試執行內容
風險分析與評估
© 2020 Onward Security Corp. All rights reserved.
19
運用工具滿足開發週期安全實施重點
產品上市
安全需求
滿足
軟體安全
開發週期
安全
需求分析
安全
設計
安全
開發
安全
測試
安全
發佈
安全
維護
安全需求/
政策發佈
風險分析 第三方套件
安全分析
第三方檢測 事件處理
文件/政策
管理發佈
威脅模型
政策管理
已知弱點
關聯分析
安全測試
結果管理
應變措施
流程管理
主動事件
通報追蹤
橫向
管理
未知弱點
(Fuzz)測試
已知弱點
(CVE)檢測
無線
弱點檢測
網頁
弱點檢測
深度
檢測
服務阻斷
(DoS)測試
弱點掃描
© 2020 Onward Security Corp. All rights reserved.
20
產品資安管理系統-
上市前弱點管理/上市後資安事故反應與處理
ISO/IEC 27001
ISO/IEC 27034
20
合規
團隊協同作業
產品風險管控
即時安全情資
滿足多項規範
© 2020 Onward Security Corp. All rights reserved.
21
提供開發物聯網產品的建議
開發過程
找出產品
弱點
善用工具滿足
不同規範需求
落實資安
至開發流
程中
落實資安至開發流程
1.將資安意識提前至開發過程中執行
2.開發過程管理並修補發現弱點風險
在開發過程找出產品弱點
1.找出第三方套件的已知弱點
2.挖掘尚未被發現的未知弱點
善用工具滿足不同規範需求
1.透過合規工具滿足安全測試需求
2.運用涵蓋率廣的工具滿足不同行業需求
© 2020 Onward Security Corp. All rights reserved.
22
Leading Brand in Cybersecurity Compliance Solutions
THANK Y U

More Related Content

What's hot

iso 20000-1- 2018.pdf
iso 20000-1- 2018.pdfiso 20000-1- 2018.pdf
iso 20000-1- 2018.pdfAhmed kamal
 
Secure Software Development Lifecycle - Devoxx MA 2018
Secure Software Development Lifecycle - Devoxx MA 2018Secure Software Development Lifecycle - Devoxx MA 2018
Secure Software Development Lifecycle - Devoxx MA 2018Imola Informatica
 
Diagnostic amiante pour la vente d'un logement
Diagnostic amiante pour la vente d'un logementDiagnostic amiante pour la vente d'un logement
Diagnostic amiante pour la vente d'un logementFishimmo
 
Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...
Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...
Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...Sounil Yu
 
Information security management system (isms) overview
Information security management system (isms) overviewInformation security management system (isms) overview
Information security management system (isms) overviewJulia Urbina-Pineda
 
6.5.1.3 packet tracer layer 2 vlan security instructor
6.5.1.3 packet tracer   layer 2 vlan security instructor6.5.1.3 packet tracer   layer 2 vlan security instructor
6.5.1.3 packet tracer layer 2 vlan security instructorSalem Trabelsi
 
What is iso iec 20000
What is iso iec 20000What is iso iec 20000
What is iso iec 20000Mart Rovers
 
pradeep Network Engineer resume
pradeep Network Engineer resumepradeep Network Engineer resume
pradeep Network Engineer resumepradeep s
 
Report on routing interface configuration
Report on routing interface configurationReport on routing interface configuration
Report on routing interface configurationDebjyotiSaha9
 
Endpoint Detection and Response for Dummies
Endpoint Detection and Response for DummiesEndpoint Detection and Response for Dummies
Endpoint Detection and Response for DummiesLiberteks
 
OWASP Top 10 Proactive Controls
OWASP Top 10 Proactive ControlsOWASP Top 10 Proactive Controls
OWASP Top 10 Proactive ControlsKaty Anton
 
NQA - ISO 27001 Implementation Guide
NQA - ISO 27001 Implementation GuideNQA - ISO 27001 Implementation Guide
NQA - ISO 27001 Implementation GuideNA Putra
 
Network Design for a Small & Medium Enterprise
Network Design for a Small & Medium EnterpriseNetwork Design for a Small & Medium Enterprise
Network Design for a Small & Medium EnterpriseThamalsha Wijayarathna
 
Ip addressing and subnetting workbook
Ip addressing and subnetting workbookIp addressing and subnetting workbook
Ip addressing and subnetting workbookLuiz Souza
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Eric Clairvoyant, Adm.A.,T.P., CRISC
 

What's hot (20)

iso 20000-1- 2018.pdf
iso 20000-1- 2018.pdfiso 20000-1- 2018.pdf
iso 20000-1- 2018.pdf
 
Secure Software Development Lifecycle - Devoxx MA 2018
Secure Software Development Lifecycle - Devoxx MA 2018Secure Software Development Lifecycle - Devoxx MA 2018
Secure Software Development Lifecycle - Devoxx MA 2018
 
Diagnostic amiante pour la vente d'un logement
Diagnostic amiante pour la vente d'un logementDiagnostic amiante pour la vente d'un logement
Diagnostic amiante pour la vente d'un logement
 
Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...
Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...
Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...
 
Information security management system (isms) overview
Information security management system (isms) overviewInformation security management system (isms) overview
Information security management system (isms) overview
 
6.5.1.3 packet tracer layer 2 vlan security instructor
6.5.1.3 packet tracer   layer 2 vlan security instructor6.5.1.3 packet tracer   layer 2 vlan security instructor
6.5.1.3 packet tracer layer 2 vlan security instructor
 
What is iso iec 20000
What is iso iec 20000What is iso iec 20000
What is iso iec 20000
 
Resume-DPITVlinkedin
Resume-DPITVlinkedinResume-DPITVlinkedin
Resume-DPITVlinkedin
 
pradeep Network Engineer resume
pradeep Network Engineer resumepradeep Network Engineer resume
pradeep Network Engineer resume
 
Report on routing interface configuration
Report on routing interface configurationReport on routing interface configuration
Report on routing interface configuration
 
Endpoint Detection and Response for Dummies
Endpoint Detection and Response for DummiesEndpoint Detection and Response for Dummies
Endpoint Detection and Response for Dummies
 
OWASP Top 10 Proactive Controls
OWASP Top 10 Proactive ControlsOWASP Top 10 Proactive Controls
OWASP Top 10 Proactive Controls
 
New ISO 20000-1:2018 Changes, Implementation Steps
New ISO 20000-1:2018 Changes, Implementation StepsNew ISO 20000-1:2018 Changes, Implementation Steps
New ISO 20000-1:2018 Changes, Implementation Steps
 
NQA - ISO 27001 Implementation Guide
NQA - ISO 27001 Implementation GuideNQA - ISO 27001 Implementation Guide
NQA - ISO 27001 Implementation Guide
 
Network Design for a Small & Medium Enterprise
Network Design for a Small & Medium EnterpriseNetwork Design for a Small & Medium Enterprise
Network Design for a Small & Medium Enterprise
 
IronPort
IronPortIronPort
IronPort
 
Basics of IPTV
Basics of IPTVBasics of IPTV
Basics of IPTV
 
CISA-Certificate
CISA-CertificateCISA-Certificate
CISA-Certificate
 
Ip addressing and subnetting workbook
Ip addressing and subnetting workbookIp addressing and subnetting workbook
Ip addressing and subnetting workbook
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
 

Similar to 如何因應連網商機下的資安風險

做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石Onward Security
 
Spirent_securityLab-服務介紹_2022.pdf
Spirent_securityLab-服務介紹_2022.pdfSpirent_securityLab-服務介紹_2022.pdf
Spirent_securityLab-服務介紹_2022.pdfssuserdfa916
 
云计算时代的新安全挑战与机会
云计算时代的新安全挑战与机会云计算时代的新安全挑战与机会
云计算时代的新安全挑战与机会ITband
 
Picoway Company Profile 1.5
Picoway Company Profile 1.5Picoway Company Profile 1.5
Picoway Company Profile 1.5picoway
 
Picoway Company Profile V1.5
Picoway Company Profile V1.5Picoway Company Profile V1.5
Picoway Company Profile V1.5picoway
 
Internet System Security Overview
Internet System Security OverviewInternet System Security Overview
Internet System Security OverviewChinaNetCloud
 
A Modern Web Architecture for (GDPR) Compliance
A Modern Web Architecture for (GDPR) ComplianceA Modern Web Architecture for (GDPR) Compliance
A Modern Web Architecture for (GDPR) ComplianceYi-Feng Tzeng
 
Compliance & IT
Compliance & ITCompliance & IT
Compliance & ITBilly Lee
 
AVM虛擬量測需求與應用趨勢
AVM虛擬量測需求與應用趨勢AVM虛擬量測需求與應用趨勢
AVM虛擬量測需求與應用趨勢CHENHuiMei
 
HKPC 行業專題培訓講座 , 雲計算 ~ 在零售業 (II) 實踐篇
HKPC 行業專題培訓講座, 雲計算 ~ 在零售業 (II) 實踐篇 HKPC 行業專題培訓講座, 雲計算 ~ 在零售業 (II) 實踐篇
HKPC 行業專題培訓講座 , 雲計算 ~ 在零售業 (II) 實踐篇 Dennis. Lee
 
IoT Cloud Platforms- Players, Vendors and Vertical Segments -20160519
IoT Cloud Platforms- Players, Vendors and Vertical Segments -20160519IoT Cloud Platforms- Players, Vendors and Vertical Segments -20160519
IoT Cloud Platforms- Players, Vendors and Vertical Segments -20160519August Lin
 
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮NSFOCUS
 
貫通物聯網每一哩路 with Microsfot Azure IoT Sutie
貫通物聯網每一哩路 with Microsfot Azure IoT Sutie貫通物聯網每一哩路 with Microsfot Azure IoT Sutie
貫通物聯網每一哩路 with Microsfot Azure IoT SutieHerman Wu
 
在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训
在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训 在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训
在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训 zhiyanhui
 
國防科技專案管理(Iii)
國防科技專案管理(Iii)國防科技專案管理(Iii)
國防科技專案管理(Iii)Alex Yin
 
HKPC 行業專題培訓講座 , 雲計算 ~ 在零售業 (III) 產業鏈篇
HKPC 行業專題培訓講座 , 雲計算 ~ 在零售業 (III) 產業鏈篇HKPC 行業專題培訓講座 , 雲計算 ~ 在零售業 (III) 產業鏈篇
HKPC 行業專題培訓講座 , 雲計算 ~ 在零售業 (III) 產業鏈篇Dennis. Lee
 
HKPC 行業專題培訓講座 - 雲計算 在零售業 (I) 基礎篇
HKPC 行業專題培訓講座 - 雲計算 在零售業 (I) 基礎篇HKPC 行業專題培訓講座 - 雲計算 在零售業 (I) 基礎篇
HKPC 行業專題培訓講座 - 雲計算 在零售業 (I) 基礎篇Dennis. Lee
 

Similar to 如何因應連網商機下的資安風險 (20)

做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石
 
Spirent_securityLab-服務介紹_2022.pdf
Spirent_securityLab-服務介紹_2022.pdfSpirent_securityLab-服務介紹_2022.pdf
Spirent_securityLab-服務介紹_2022.pdf
 
云计算时代的新安全挑战与机会
云计算时代的新安全挑战与机会云计算时代的新安全挑战与机会
云计算时代的新安全挑战与机会
 
Picoway Company Profile 1.5
Picoway Company Profile 1.5Picoway Company Profile 1.5
Picoway Company Profile 1.5
 
Picoway Company Profile V1.5
Picoway Company Profile V1.5Picoway Company Profile V1.5
Picoway Company Profile V1.5
 
軟體安全防護大作戰
軟體安全防護大作戰軟體安全防護大作戰
軟體安全防護大作戰
 
Internet System Security Overview
Internet System Security OverviewInternet System Security Overview
Internet System Security Overview
 
A Modern Web Architecture for (GDPR) Compliance
A Modern Web Architecture for (GDPR) ComplianceA Modern Web Architecture for (GDPR) Compliance
A Modern Web Architecture for (GDPR) Compliance
 
Compliance & IT
Compliance & ITCompliance & IT
Compliance & IT
 
AVM虛擬量測需求與應用趨勢
AVM虛擬量測需求與應用趨勢AVM虛擬量測需求與應用趨勢
AVM虛擬量測需求與應用趨勢
 
HKPC 行業專題培訓講座 , 雲計算 ~ 在零售業 (II) 實踐篇
HKPC 行業專題培訓講座, 雲計算 ~ 在零售業 (II) 實踐篇 HKPC 行業專題培訓講座, 雲計算 ~ 在零售業 (II) 實踐篇
HKPC 行業專題培訓講座 , 雲計算 ~ 在零售業 (II) 實踐篇
 
IoT Cloud Platforms- Players, Vendors and Vertical Segments -20160519
IoT Cloud Platforms- Players, Vendors and Vertical Segments -20160519IoT Cloud Platforms- Players, Vendors and Vertical Segments -20160519
IoT Cloud Platforms- Players, Vendors and Vertical Segments -20160519
 
Alten calsoft labs corporate in Chinese
Alten calsoft labs   corporate in ChineseAlten calsoft labs   corporate in Chinese
Alten calsoft labs corporate in Chinese
 
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
 
HITCON TALK 產業視野下的 InfoSec
HITCON TALK 產業視野下的 InfoSecHITCON TALK 產業視野下的 InfoSec
HITCON TALK 產業視野下的 InfoSec
 
貫通物聯網每一哩路 with Microsfot Azure IoT Sutie
貫通物聯網每一哩路 with Microsfot Azure IoT Sutie貫通物聯網每一哩路 with Microsfot Azure IoT Sutie
貫通物聯網每一哩路 with Microsfot Azure IoT Sutie
 
在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训
在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训 在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训
在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训
 
國防科技專案管理(Iii)
國防科技專案管理(Iii)國防科技專案管理(Iii)
國防科技專案管理(Iii)
 
HKPC 行業專題培訓講座 , 雲計算 ~ 在零售業 (III) 產業鏈篇
HKPC 行業專題培訓講座 , 雲計算 ~ 在零售業 (III) 產業鏈篇HKPC 行業專題培訓講座 , 雲計算 ~ 在零售業 (III) 產業鏈篇
HKPC 行業專題培訓講座 , 雲計算 ~ 在零售業 (III) 產業鏈篇
 
HKPC 行業專題培訓講座 - 雲計算 在零售業 (I) 基礎篇
HKPC 行業專題培訓講座 - 雲計算 在零售業 (I) 基礎篇HKPC 行業專題培訓講座 - 雲計算 在零售業 (I) 基礎篇
HKPC 行業專題培訓講座 - 雲計算 在零售業 (I) 基礎篇
 

如何因應連網商機下的資安風險

  • 1. 如何因應連網商機下的資安風險 陳哲妤Claire Chen 安華聯網 產品經理 Leading Brand in Cybersecurity Compliance Solutions www.onwardsecurity.com
  • 2. © 2020 Onward Security Corp. All rights reserved. 1 物聯網發展主要趨勢 Source: https://financesonline.com/iot-trends/ • IoT產品急上市缺乏適當地防護 • 市場的IoT產品很容易受到攻擊 • 使用者大多都不曾更新firmware • 媒體業相信IoT對公司成長扮演至關重要角色 • 零售業2021年將運用IoT客製消費者臨店體驗 • 智慧城市是美國城市正在投資IoT科技的領域 • 至2019年IoT設備使用數量已破260億 • 預估2025年使用量將突破750億
  • 3. © 2020 Onward Security Corp. All rights reserved. 2 物聯網市場面對的機會與挑戰 NICE-TO-HAVE MUST-HAVE Before COVID-19 After COVID-19 Business Opportunities Business Challenges 物聯網裝置使用量 持續攀升 430 萬個設備被回收, 損失超過5億美元 IoT 攻擊不斷增加 各國政府紛紛推 出資安要求
  • 4. © 2020 Onward Security Corp. All rights reserved. 3 全球遍地開花的物聯網資安事件
  • 5. © 2020 Onward Security Corp. All rights reserved. 4 不同規範的合規需求  產品供應商為符合國外制訂法規,其中基 礎建設、醫療與國防相關設備為強制要求 • China – 網路安全等級保護2.0 • Taiwan - 影像監控系統資安標準 • Taiwan - 適用於製造廠之醫療器材網路安全指引 • USA(California) - SB-327 Information privacy • USA(Oregon) - House Bill 2395 • USA - Cybersecurity Maturity Model Certification • USA FDA - Content of Premarket Submissions for Management of Cybersecurity in Medical Devices • EU - Regulation 2017/745 of The European Parliament • Japan - CCDS Consumer device security guideline  代工廠受國外各大品牌商要求,須符合相 關產品開發資安準則 • ABB – Guideline for the ABB Cyber Security Requirements for Suppliers • Amazon – AVS Security Requirements • Schneider – Cyber Security Guideline for Suppliers • T-Mobile – Enterprise Third-Party Information Security Standard • Verizon – General Information Security Requirements for Verizon Suppliers • Bosch - Product Security throughout the life cycle of Bosch 供應商 安全要求 資安 認證  IECEE完成工業控制設備資安標準制訂, 國內工控設備製造商規劃取得認證 • IEC 62351 - Power systems management and associated information exchange - Data and communications security • SO/IEC15408, Evaluation criteria for IT security(CC) • Power system control and associated communications – Data and communication security (62210) • ISA/IEC 62443 - Security for industrial automation and control systems • Part 4-1: Secure product development lifecycle requirements • Part 4-2: Technical security requirements for IACS components 資安 法規 國際 標準  來自各國際組織的國際標準與規範與 • AGA 12 • CPNI – Good Practice Guide, Process Control and SCADA Security • DHS( Department of Homeland Security ) • Cyber Security Procurement Language for Control Systems • Catalog of Control Systems Security: Recommendations for Standards Developers • DOE – 21 steps to Improve Cyber Security of SCADA Networks • GAO – Cyber security for Critical Infrastructure Protection • IEEE – IEEE Guide for Electric Power Substation Physical and Electronic Security • ISO – 27001 / 27019 • INGAA – INGAA Control Systems Cyber Security Guidelines for the Natural Gas Pipeline Industry • NIST • NIST SP 800-82, Guide to Industrial Control Systems (ICS) Security. • NIST SP 800-53, Recommended Security Controls for Federal Information Systems. • Field Device Protection Profile for SCADA Systems in Medium Robustness Environments. • NIST IR 7176, System Protection Profile – Industrial Control Systems. • ICS-CERT • Control Systems Cyber Security: Defense in Depth Strategies • Catalog of Control Systems Security: Recommendations for Standards Developers • Cyber Security Procurement Language for Control Systems
  • 6. © 2020 Onward Security Corp. All rights reserved. 5 2020世界經濟論壇評估10大可能風險與衝擊 11/5/2020
  • 7. © 2020 Onward Security Corp. All rights reserved. 6 網路攻擊蟬聯前大十排行榜多年 2019 2018 2017 2020
  • 8. © 2020 Onward Security Corp. All rights reserved. 7 第四次工業革命帶來的改變  科技重大發展:5G網路,量子計算、AI創造機 會也帶來巨大的經濟與社會的利益  改變人類生活:運用科技改善地球環境健康; 全球50%的人生活中需使用網路、每天上網人 數增加一百萬、全球2/3的人擁有行動裝置  科技帶來網路犯罪:  網路攻擊成為個人及企業常見的危害、全球科技 缺乏治理增加網路世界風險、  缺乏對科技與網路世界的治理框架,可能會限制 經濟成長、加劇政治競爭並擴大社會內部分歧。 數位創新的資安風險  創造營利永遠優先於資安  Security-by-design的原則在快速上市的目 標下,還是被擺到了第二順位  網路犯罪組織商業化  網路犯罪商業化,任誰都可由暗網找到經濟 實惠並好用的攻擊工具  網路犯罪組織化,被抓到的可能性為0.05%  IoT為網路犯罪帶來巨大利益:  IoT設備是攻擊跳板的利器,2019年上半年對 IoT設備攻擊事件增加300%  結合IoT技術後,被盜取的資料每年可產生市 值高達2000億美元產值  各產業鏈基礎設施遭攻擊已是普遍資安事件  2021年網路犯將導致損失高達6兆美元 (trillion),相當世界第三大經濟體的1/3GDP
  • 9. © 2020 Onward Security Corp. All rights reserved. 8 UDP SMTP HTTP Ethernet ICHP 物聯網設備面臨攻擊的三大面向
  • 10. © 2020 Onward Security Corp. All rights reserved. 9 駭客前十大攻擊手法 • BSI公佈2019年駭客利用下列十項常見威脅手法,持續且深入攻擊組織內 部的工業設備 Infiltration of Malware via Removeable Media and External Hardware Malware Infection via Internet and Intranet Human Error and Sabotage Compromising of Extranet and Cloud Components Social Engineering and Phishing (D)Dos Attacks Control Components Connected to the Internet Intrusion via Remote Access Technical malfunctions and Force Majeure Compromising of Smartphones in the Production Environment BSI-CS 005E | Version 1.30 of 06/06/2019 Report source::
  • 11. © 2020 Onward Security Corp. All rights reserved. 10 軟體常被忽略的風險-開源碼 Fast Time-To-Market Cost Saving Indendency (No Vendor Lock-in) • 採用開源碼的好處 • 使用開源碼的挑戰 OSS已有法律義務問題 只有開發者有授權的OSS才是免費 OSS版權流氓(copyright troll)崛起 OSS的開發者使用版權條款圖利的頻 率已開始影響市場 許可證的法律問題存在的弱點風險 5.65.7 4.74.2 5.35.2 7.9 6.56.4 14.7 0 5 10 15 20 08 10 12 14 16 0.10.00.30.5 0.9 2.0 4.04.2 6.5 9.0 0 5 10 08 10 12 14 16 Vulnerabilities Reported (NVD) OSS Vulnerabilities Reported (Snyk)1 (in Thousands) (in Hundreds) ~23% CAGR ~58% CAGR Representing about 15 ~ 20% of the total OSS vulnerabilities found in a given year
  • 12. © 2020 Onward Security Corp. All rights reserved. 11 Community Health Systems Breach (2014) Equifax Breach ( 2017) 1. 2016 Verizon Data Breach Investigation Report Source : Desk Research; Synopsys (2018); Insignary Analysis 重大弱點被攻擊的後果 Vulnerability Component & Release Heartbleed Shellshock Freak Ghost Drown SambaCry Jakarta 2014 2014 2015 2015 2016 2017 2017 OpenSSL (2011) Bash (1989) OpenSSL (1990s) GNU C Library (2000) OpenSSL (1990s) SAMBA (2010) Apache Struts (2007) Recent High Profile Open Source Software Vulnerabilities Personal data of ~146M customers exposed CEO / CIO / CSO resigned Lost $4B in market cap & now faces $70B lawsuit A known security vulnerability in Apache Struts was exploited  The issue was first discovered & the patch was released 2 months prior  Patch would have remediated the issue, but Equifax overlooked it ~4.5M patient records stolen Estimated cost of $75M ~ $150M A known security vulnerability in OpenSSL was exploited  CHS operates 206 hospitals in 29 states  Exploited ‘Heartbleed’ to gain user creden- tials from a Juniper device on the network
  • 13. © 2020 Onward Security Corp. All rights reserved. 12 物聯網產品面臨的資安挑戰 • IoT攻擊事件與日遽增  各行業產品連網需求增加, 例如智慧電視、IPCAM等  IoT產品攻擊事件不斷成 長,例如數據機晶片漏洞可 讓駭客接管數據機;無線路 由器漏洞可引起DDos攻擊  組織化的網路犯罪讓資安事 件造成的損失不斷提高 • 物聯網產品被忽略的風險 • 各國資安規範各有不同  IoT產品開發過程缺乏資安 意識  開發過程引用第三方元件卻 忽略第三方元件也存在弱點  開發過程不知道應該如何找 出未知弱點  國際法規要求,例如美國 FDA、工控的IEC62443  國內法規要求,例如: TAICS 影像監控系統資安標 準、適用於製造廠之醫療器 材網路安全指引(衛服部)  國際安全指引,例如 OWASP IoT Top 10
  • 14. © 2020 Onward Security Corp. All rights reserved. 13 • 滿足資安合規要求 • 符合業界標準與客戶要求 • 資安流程導入 • 資安管理、資安架構檢視 • 軟體安全開發成熟度評估 • 資安稽核服務…. 產品上市前應考量的安全面向 資安合規 顧問服務 資安檢測 評估 資安產品 /工具 • 找出外部環境威脅 • 資訊系統安全強度 • 產品開發過程風險問題 • 連網設備安全性 • 淺在資安問題…… • 滿足開發過程所有測試要求 • 管理測試記錄 • 安全事件通報….. Evaluation 滿足合規規範 第三方檢測評估 進行產品Pre-test
  • 15. © 2020 Onward Security Corp. All rights reserved. 14 開發流程依循國際標準或規範 Pre-SDL Security Training Phase 1 Requirement Phase 2 Design Phase 3 Implementati on Phase 4 Verification Phase 5 Release Post-SDL Requirement Response Security Policy Delivery or Training Security Standard & Industrial Requirement Risk and Impact Analysis Security Testing Security Testing and Analysis Security Maintenance Incident Response Plan Establish Security Requirements Create quality gates/Bug bars Security & Privacy Risk assessment Establish design requirements Analyze Attack Surface Threat Modeling Use tools Deprecate unsafe functions Static Analysis Incident Response Plan Final Security Review Release Archive Dynamic analysis Fuzz Testing Attack Surface Review Secure Development Life Cycle
  • 16. © 2020 Onward Security Corp. All rights reserved. 15 強化設備與產品自身安全性 將安全落實到軟體開發生命週期 https://medium.com/@jilvanpinheiro/software- development-life-cycle-sdlc-phases-40d46afbe384 設計階段安全重點 • 研發(RD)為主,資安為輔 • 遵守安全編碼準則(secure coding guideline) 並執行靜態程式碼分析( static code analysis) , 找出淺在弱點,針對風險等級高的弱點進行修補 • 執行事項包含  源始碼安全(Source Code Security)  第三方軟體套件檢查(Firmware scan) 驗證階段安全重點 • 內部驗證以測試(QA)為主,產品經理(PM)、研發(RD)與資安為輔 • 外部驗證以資安(Security)為主,產品經理(PM)、研發(RD)測試(QA)為輔 • 執行靜態碼分析與網路層分析找出弱點,針對風險等級高的弱點進行修補 • 執行事項包含  執行靜態程式碼分析(static code analysis )  執行網路層(network-level)測試: boundary testing, known vulnerability testing, unknown vulnerability testing, PII scan, compliance testing, and penetration testing
  • 17. © 2020 Onward Security Corp. All rights reserved. 16 找出已知弱點測試 • Host Scan (Server & Service) • 辯識作業系統版本(OS version) • 辦識網路應用名稱與版本(network application name and version) • 檢查已知弱點 • Web Application Scan • 網路爬蟲(Site crawling) • 分析頁面與參數(pages and parameters) • 檢查下列目標弱點  Injection (SQLi, XSS, and so on)  Error Handling  Sessions  CSRF, SSRF • Open source scan(3 party component) • 自動掃描並辦職元件 • 辦識元件弱點 • 盤點許可證合規資訊 • 辦識litigator code (ex:McHardy) 依據風險等級排序弱點,依建議緩解方法決定行動
  • 18. © 2020 Onward Security Corp. All rights reserved. 17 探索未知弱點-模糊測試(Fuzz Testing) 找出協議未知弱點最有 效的方法之一  透過傳送正常與非常格式資 料進行測試並監控異常點  探索協議未知弱點  驗證產品抵禦惡意攻擊的強 健性 NT20 Test-1 Test-5 Test-6 Test-7 Test-8 Test-2 Test-3 Test-4 ? Pass Pass Failure ? Pass ? ? Failure Failure Failure Failure Core Network(7) ARP, ETHERNET, ICMP(v4/v6), IGMPv3, IP(v4/v6), TCP(v4/v6), UDP(v4/v6) BACnet, CoAP, DNP3, EtherNet/IP, FINS, S7omm, IEC60870-5-104, IEC61850(Goose/MMS/Sampled Value), Modbus, OPC UA, ProfitNet CWMP, DHCP(v4/v6), DNS, LDAPv3, NTP, OCSP, PPTP, SIP, SNMP (v1/v2/v3/trap), SSHv2, TFTP, Telnet, TLS1.2, UPnP, IPSec, RADIUS, IKEv2, IPMI, NFSv4, VLAN, FTP, VGP, BFD IIoT(11) Core Network(23) File System(2) Web Application(2) VoIP/ IMS(3) Wireless(4) CIFS/SMB/NFS HTTP, WEB Fuzz(Including XML and JSON format) RTP, RTCP, RTSP 802.11 WLAN Client /AP 802.11 WPA Client / AP AI Traffic Capture Fuzzer (2) TCP-based Proprietary Protocol UDP-based Proprietary Protocol IIoT設備 IoT設備 安控產品 醫療設備 無線設備
  • 19. © 2020 Onward Security Corp. All rights reserved. 18 以駭客思維發掘淺在資安問題-滲透測試 • 完整且深入的測試服務  弱點掃描 + 專家測試  嘗試繞過現有防護機制  找出更多邏輯上的安全問題  盡可能執行所有網站上的功能  有可能發現其他攻擊者的足跡 滲透測試團隊 滲透測試方法 測試執行內容 風險分析與評估
  • 20. © 2020 Onward Security Corp. All rights reserved. 19 運用工具滿足開發週期安全實施重點 產品上市 安全需求 滿足 軟體安全 開發週期 安全 需求分析 安全 設計 安全 開發 安全 測試 安全 發佈 安全 維護 安全需求/ 政策發佈 風險分析 第三方套件 安全分析 第三方檢測 事件處理 文件/政策 管理發佈 威脅模型 政策管理 已知弱點 關聯分析 安全測試 結果管理 應變措施 流程管理 主動事件 通報追蹤 橫向 管理 未知弱點 (Fuzz)測試 已知弱點 (CVE)檢測 無線 弱點檢測 網頁 弱點檢測 深度 檢測 服務阻斷 (DoS)測試 弱點掃描
  • 21. © 2020 Onward Security Corp. All rights reserved. 20 產品資安管理系統- 上市前弱點管理/上市後資安事故反應與處理 ISO/IEC 27001 ISO/IEC 27034 20 合規 團隊協同作業 產品風險管控 即時安全情資 滿足多項規範
  • 22. © 2020 Onward Security Corp. All rights reserved. 21 提供開發物聯網產品的建議 開發過程 找出產品 弱點 善用工具滿足 不同規範需求 落實資安 至開發流 程中 落實資安至開發流程 1.將資安意識提前至開發過程中執行 2.開發過程管理並修補發現弱點風險 在開發過程找出產品弱點 1.找出第三方套件的已知弱點 2.挖掘尚未被發現的未知弱點 善用工具滿足不同規範需求 1.透過合規工具滿足安全測試需求 2.運用涵蓋率廣的工具滿足不同行業需求
  • 23. © 2020 Onward Security Corp. All rights reserved. 22 Leading Brand in Cybersecurity Compliance Solutions THANK Y U