October 26, 2019
在資安威脅遽增的時代加強物聯網安全

本文旨在探討確保軟體供應鏈安全性與完整性的重要,以及採用通用且可驗證的技術標準有何好處。 構成物聯網 (IoT) 的各種網路裝置,正在改變我們與周遭環境的互動方式。物聯網為現實生活帶來更先進的應用服務,例如連網汽車、連網家庭、智慧電表與健康監控等。然而,在我們讚嘆物聯網潛能之餘,很容易就忽略伴隨而來的各種挑戰 ── 這當中有許多皆涉及隱私及資訊安全。 與 IT 系統如出一轍,物聯網網路與裝置很容易受到操控及破壞,進而衍生各種風險,例如重要資訊外洩、關鍵業務服務停止運作…等。此外,隱私問題的經常發生,則令消費者擔憂不已。根據數位安全公司 Gemalto 的研究,90% 的消費者對物聯網裝置的安全性缺乏信心1。 確實因為無法掌控資料的安全,會讓消費者感到不安。 新的動態挑戰 物聯網裝置會收集和傳送那些使用各種安全要求的資料。在實作上,有些資料串流僅需最基本的防護,例如工廠設備的操作資料,但有些資料串流則會包含高度機密的資訊,例如銀行交易或機密的醫療紀錄。 另一項挑戰在於對各式各樣物聯網硬體、軟體與網路基礎架構的管理。更複雜的是,企業還需要與許多供應商、內部團隊、合作夥伴甚至消費者共同維護各種元件、基礎架構與裝置的安全性。 防禦升級 隨著網路連線裝置數量呈倍數增長,企業需要完善的解決方案,以保護重要資料與系統。最好的方法是結合最佳實作方式與最新技術。以下這七種策略能協助實現您的物聯網計畫。 網路分段 (Segment networks) 透過網路分段,每個介面在處理流量前都會被指派到一個安全區域。接著資安團隊即能精細控管每一位使用者和其所存取的資料,並得以在常見的物聯網攻擊擴散至其他裝置前及時阻止。 要求驗證 (Require authentication) 強大的使用者驗證與存取控制機制可確保只有獲得授權的使用者才能存取網路與資料。為確保可靠性,建議企業使用可信賴的驗證平台管理驗證流程。 生命週期監控 (Lifecycle monitoring) 裝設監控工具可以幫企業確認韌體與軟體系統的健康狀況,不論是在開始執行、運作期間或是最容易遭到攻擊的升級階段。記得將自動更新預設為開啟狀態。 使用加密 (Use encryption) 不論是靜態或動態資料,皆應使用加密保護資料。在網路層與傳輸層使用加密可以提供層層保護,增加網路受到攻擊的困難度。 安全 API (Secure APIs) 若要在網路邊緣裝置、後端系統與核心應用程式之間安全移動資料,則 API 安全性是必要條件。此外,還要部署可在這些重要連結點中識別潛在威脅的技術。 威脅偵測 (Threat dectection) 人工智慧與機器學習等進階分析技術,可以偵測出傳統網路安全技術無法察覺的異常與漏洞。 加強流程 (Strengthen processes) 雖然技術是物聯網安全性的基石,企業仍需要在各個層面保持警覺。請務必確定您已清楚定義、定期更新與持續加強安全原則與訓練流程。 取得最佳平衡 物聯網為今日以資料為商務導向的企業帶來許多新的機會與挑戰。但隨著物聯網日趨普及,安全與 IT 專家也必須正面迎接接踵而來的重大典範轉變。以客戶為中心的品牌若要永續發展,勢必得建構可在使用者存取能力與資料安全性之間取得最佳平衡的物聯網環境。 隨著世界正步入 5G... read more

September 30, 2019
物聯網安全與品牌信任緊密相依

最新研究發現,由於物聯網 (IoT) 的興起,企業在網路安全上必須挹注更大且持續的投資與建置,以降低可能的資料外漏所導致的商譽風險。 要在整個供應鏈取得必要物料與產品能見度並不容易,更何況還想確保在供應鏈各層面維持一定水準的表現,更是難如登天的挑戰。根據近期的研究發現,只有 13% 的製造商表示,他們的「完整能見度」可達到第二等級 (Tier 2) 及以上。 最新研究發現連網裝置會置使用者和資料於風險中 無論您的企業是否運用物聯網來改善內部作業,或者正將其用於開發連網裝置的業務,您都應該將安全策略視為第一優先的要務。雖說物聯網整合可為企業提供數以萬計的商業效益,然而,隨著愈來愈多具備連網功能的產品進入市場時,也為駭客提供更多機會擷取後端系統和資料。 最新研究即顯示,許多企業並未充份了解連網裝置對企業帶來的風險,而這些風險有可能對客戶關係與品牌造成無法彌補的傷害。 現行資安措施依舊是亡羊補牢 端點安全解決方案供應商 ── 趨勢科技 (Trend Micro) 曾對全球 1,150 位 IT 和資安決策者就其 IoT 安全性實務與認知,進行了一項調查。 研究結果正好提醒了我們必須特別注意:企業在物聯網功能的投資與保護其用戶、品牌和商譽之間所需的安全性,存在顯著的落差。 儘管有 2/3 (63%) 的受訪者同意,網路安全威脅在過去 12 個月是增加了。即使在過去一年中,企業平均會遭受 3 起連網裝置攻擊,但僅約一半 (53%) 的受訪者認為連網裝置會對自己的企業帶來威脅。 而有 52% 的受訪企業認為失去客戶信任是物聯網資料洩漏事件最嚴重的後果,其次是財務損失 (49%)、個人資訊遭竊 (32%)、罰鍰 (31%)、以及違反資料安全法規 (28%)。不過,有近一半 (43%) 的 IT 和資訊安全主管表示,在物聯網專案部署中,資安問題的處理往往還是採取亡羊補牢的作法。 上述的統計數據證實,缺少強大的安全策略可能會使企業處於品牌風險中,進而付出極高的代價。 失去業務就失去信任 資料洩漏和網路攻擊會對業務運作帶來嚴重的破壞。幾起轟動一時的資安事件,如美國 Target 超市資料洩漏事件以及 Mirai 殭屍網路,皆一再顯示,攻擊連網裝置及對連結這些裝置的網路漏洞加以攻擊是多麼容易的一件事。在這些較極端的案例,駭客可能透過一台看起來幾乎無害的裝置就能入侵 (例如智慧型調溫器或安全監視器),然後嚴重破壞企業系統、設備或甚至是基礎設施。... read more

May 18, 2018
產業觀點 | 談線纜品質之道,洞見智慧製造新未來

應邀出席展會的 UL 全球副總裁暨電線電纜部總經理賴倫輝 (左) 和 UL 大中華區電線電纜部總經理石海揚 對測試認證機構來說,核心價值仍是在於認證。 畢竟測試僅是針對送樣產品本身,但『認證』將可貫穿整個生產流程, 為確保某一型號的產品在量產中能符合安全法規, 並最終落入消費者手中 ── 此能更保護客戶、廠家和買家權益, 讓供應鏈每一個環節皆有所保障。 UL 參與了日前於中國東莞舉辦的《第四屆華南 (虎門) 國際電線電纜展覽會》。為迎接 IoT 及工業 4.0 的到來,本屆展會聚焦智慧自動化生產、更穩定的高性高導電線電纜材料、及引領資通信傳輸線纜發展的 USB Type-C 製造等產業熱門話題。 UL 全球副總裁暨電線電纜部總經理賴倫輝和 UL 大中華區電線電纜部總經理石海揚於參與展會的席間,針對電線電纜智慧製造的主題,談及現今線纜產業發展將面臨的機會挑戰,同時以第三方測試暨認證單位的立場呼籲,無論科技的變遷,唯有持續保持可靠穩定的產品製造,才能以不變應萬變,用優異的品質征服全球市場。 物聯網時代的衝擊與機會 眾所周知,發展如火如荼的物聯網仍持續拓展應用,其無異為全球帶來全新一輪科技變革,包括人工智慧、大數據、5G 技術等新興科技皆逐步改我們的生活型態。而被視為建設基礎的線纜產業,當然也在益形複雜的大環境中面臨與以往完全不同的機會與挑戰。 針對這波的產業盪漾,石海揚作出了比喻性闡釋 ─ 其以 “5+1” 來概括線纜的未來發展風向,,正為「大 (大數據)」、「智 (智慧化) 」、「自 (自動化) 」、「移 (移動) 」、 「雲 (雲端) 」等 5 項加上「新能源」。然而科技的趨勢正考驗著線纜的資料傳輸量、速度、反應時間,甚至於是否具備可靠的電力傳輸,以支援越來越要求的高速資料傳輸。 這也是為何亟需具規範標準的生產流程和設備製造符合產業標準要求的產品,其將對線纜製造商的研發能力和資本投入帶來巨大挑戰。不過從另一個角度來看,由於產品的性能勢必需要升級,所以進入市場的門檻跟著提高,樂觀可見的是新商機將在於生產技術和品質管制能力較強的製造商上,此番變動會讓這些製造商在高端產品市場上取得較大的份額。 不忘捍衛產品性能與安全的初心 面對新機會與新挑戰,UL 又能為市場及整個線纜產業提供實質的指導與幫助呢? 賴倫輝談到了 UL... read more

May 31, 2017
UL 藉創新服務實現 IoT 安全,助力催生智慧創新

綜觀研究機構報告,讓人不禁對物聯網前景感到既興奮又憂慮。興奮的是,預期 2020 年全球連網裝置將達 500 億台,可望徹底翻轉商業模式、帶動巨大產值;但憂慮的是,66% 物聯網裝置恐遭遇安全風險!如何確保物聯網安全,無疑是實現產業創新的關鍵課題。 你我的生活環境,正一步步被智慧型產品所覆蓋,此固然帶來快捷便利,但一旦智慧型設備出現安全漏洞,便可能為駭客留下可乘之機,讓大量消費者陷入安全危機;相對來說,設備供應商富含的創意巧思,本該在市場上多所斬獲,但只要發生一次安全事件,即可能讓大好前程毀於一旦。 因此可以肯定,在智慧創新蓬勃發展的同時,萬一物聯網涉及的各環節安全技術水平未能同步跟進,則隨之而來的網路安全、資訊安全、系統安全,甚至物聯網裝置本身的安全與可靠性,都可能形成不定時炸彈,使物聯網技術應用的供需兩造同受其害;換言之,為確保物聯網 (IoT) 能踏上一條長遠之路,「安全」必然不可或缺! UL 領跑 IoT 穩健未來發展 UL 在去年即與台灣媒體 DIGITIMES 共同舉辦一場以「安全」為主軸的「安全實現創新 – 物聯網大未來技術論壇」,盛邀微軟、研華、ABB 與紡研所等產業意見領袖共聚一堂,分享趨勢、應用實務與安全性之間的連結,加上來自 UL 主題專家接棒演繹安全科學,闡述如何善盡物聯網安全及隱私保護,使各產業在變局之中猶能站穩腳步,無後顧之憂地推動商業模式創新。 論壇中,UL 全球資深副總裁暨技術長 Donald Talka 開場致詞以「安全」為主軸貫穿核心,提出完整涵蓋物聯網安全問題的基礎服務,以確保物聯網的互通性和安全性;同時強調 UL 所定義的產品支柱,一舉涵蓋了物聯網裝置的網路安全 (Cybersecurity),以及與產品本身相關的可持續性 (Sustainability)、機電與防火安全 (Safety)、效能/品質 (Performance/Quality)、行銷宣告檢測驗證 (Marketing Claim Verification),乃至企業運作的透明度 (Transparency),通盤考量物聯網軟硬體的安全課題。 Donald Talka 同時認為,無論各行各業,產品萬變不離其宗,皆應在研發階段時置入這些正確觀念,並一路延續運用在整個產品生命週期,方可穩健迎接未來更多未知挑戰。 UL CAP 旨在降低 IoT 安全與效能風險 UL 連網技術總監 Rachna Stegall,以「IoT 的成功關鍵字」為題發表演說,其援引研究機構報告,預期 2018 年前將有 66% 連網裝置出現安全漏洞,影響所及,不論一般消費者或公民營組織,其所採用的產品與服務,皆可能蘊藏潛在風險,此時唯有藉助系統性的風險衡量與評估方式,才能有效優化連網產品與系統、架構與網路安全,並確保不同裝置彼此之間能相互配合運作,方能協助製造商、採購人員與最終使用者消弭潛在的威脅。... read more

July 7, 2016
UL 2900 網路安全標準出爐,全新《網路安全保障計畫》上路

服務上路 IOT ── 就是要安全 隨著 NET 世代的來臨,網路成為無所不在的應用媒介。然而「水能載舟,亦能覆舟」,在享受網路所帶來的無處不便之際,你我也很可能不知不覺地曝露在暗伏危險的環境之中。一般來說,「網路安全」(Network Security) 包含網路裝置安全、網路資訊安全與網路軟體安全。所謂的「網路駭客」,常藉由入侵網路系統達到竊取敏感資訊為目的,亦有採用網路攻擊方式來癱瘓同儕企業,造成競爭對手無法正常營運等案例。 網路攻擊威脅下該有的積極作為 隨著物聯網 (IoT) 的發展,網路攻擊較之以往更顯複雜且更難防範,消耗的成本更多,因此安全措施絕對重要。根據 Gartner 與其他產業報告,2020 年全球將有 210-500 億台連網裝置;IDC 研調機構的預估亦指出,截至 2018 年,66% 的網路將出現 IoT 安全漏洞。顯然地,全球沒有任何一家企業,甚至是消費者,能逃過不斷襲捲而來的網路風暴。尤其網路安全的威脅瞬息萬變,風險與日俱增,市場流通的產品與服務皆可能面臨安全性與金融風險,但正向來看,這些空前的挑戰,必然會帶動新防禦機制的發展。 以美國為例,今年二月,歐巴馬政府即在正視資安防護下,宣布一項預算高達 190 億美元的全國性資安計畫 ─「國家資安行動計畫」(Cybersecurity National Action Plan, CNAP),專用於提升美國政府內部與各產業的資安能力。該行動計畫包括建立聯邦政府的資安協調機制、全面檢修過時的電腦系統、簡化聯邦網路系統及提高效率、推動連網設備的認證、投資資安研究、培育資安人才等,另將設立資訊安全官職務及強化國家資安委員會擔任計畫專責機構。 UL 跨界新服務:網路安全保障計畫 (UL CAP) 為降低物聯網技術中潛藏的安全與效能風險,《UL 網路安全保障計畫》(Cybersecurity Assurance Program, CAP) 應運而生,其根據美國聯邦政府、學術界與產業界重要利害關係人所提供的建議而制定,旨在強化關鍵基礎建設 (Critical Infrastructure) 中供應鏈的安全措施。該計畫援用全新 UL 2900 系列標準,能為連網產品與系統提供網路安全測試準則,以評估軟體漏洞與弱點、降低被入侵的風險、處置已知的惡意軟體、檢視保全控制項目,並提升大眾安全意識。目前 UL CAP 的服務與軟體安全作業已被美國國家資安行動計畫視為測試與認證 IoT 連網裝置的重要方法,特別是能源、公共 事業與醫療照護等重要基礎建設。 「關鍵基礎建設的可用性與完整性... read more