身處物聯(lián)網(wǎng)(IoT)時(shí)代，多數(shù)設(shè)備制造商或品牌商力推連網(wǎng)產(chǎn)品，并加快產(chǎn)品上市速度，但求快之余，難免對(duì)信息安全質(zhì)量有所忽略，以致許多存在弱點(diǎn)的設(shè)備流向市面，履履被國(guó)外政府或黑客揭露產(chǎn)品上的信息安全弱點(diǎn)，除影響消費(fèi)者權(quán)益外，甚至被提起訴訟，連帶造成廠商的商譽(yù)與品牌價(jià)值受損。

肇因政府法規(guī)、信息安全標(biāo)準(zhǔn)與采購(gòu)商要求日益嚴(yán)謹(jǐn)，迫使設(shè)備商面臨愈來(lái)愈高的合規(guī)需求，既需要做功能性測(cè)試，還得導(dǎo)入安全軟件開發(fā)生命周期(Secure SDLC, SSDLC)，以通過信息安全要求。無(wú)奈多數(shù)廠商的信息安全運(yùn)維與檢測(cè)能量仍待提升，尚不足以應(yīng)付層層信息安全合規(guī)考驗(yàn)。有鑒于此，長(zhǎng)年對(duì)連網(wǎng)產(chǎn)品信息安全議題著力至深的仲至信息科技，推出HERCULES SecFlow 與SecDevice產(chǎn)品信息安全合規(guī)自動(dòng)化平臺(tái)，協(xié)助企業(yè)實(shí)現(xiàn)開發(fā)安全運(yùn)維(DevSecOps)流程，可有效符合國(guó)際信息安全標(biāo)準(zhǔn)與終端采購(gòu)客戶的信息安全要求。

產(chǎn)品信息安全評(píng)估兼具DevSecOps敏捷開發(fā)，完整滿足信息安全合規(guī)需求

仲至信息科技產(chǎn)品開發(fā)處處長(zhǎng)暨開發(fā)總監(jiān)李育杰表示，近年各國(guó)信息安全法令與政策的演進(jìn)快速，包括美國(guó)FDA、歐盟相繼對(duì)醫(yī)療器材制造商祭出信息安全規(guī)范，加州推出全美第一套IoT裝置安全法案(SB-327)，美國(guó)國(guó)防部發(fā)表網(wǎng)絡(luò)安全成熟度模型認(rèn)證(CMMC)，及多家國(guó)際連網(wǎng)設(shè)備品牌商對(duì)其供貨商提出產(chǎn)品信息安全要求；眾多規(guī)章密集出爐，加重了設(shè)備制造商的產(chǎn)品上市與合規(guī)應(yīng)變壓力。

綜觀接踵而至的法規(guī)與標(biāo)準(zhǔn)，廠商要以DevSecOps這樣更敏捷的開發(fā)方式，爭(zhēng)取產(chǎn)品上市時(shí)間，又必須兼顧產(chǎn)品的信息安全質(zhì)量，因此，可采用DevSecOps這樣的方法來(lái)實(shí)現(xiàn)與應(yīng)對(duì)；但要實(shí)現(xiàn)這樣的方法，須同時(shí)仰賴產(chǎn)品風(fēng)險(xiǎn)評(píng)估、軟件安全開發(fā)、弱點(diǎn)檢測(cè)技術(shù)等人才來(lái)執(zhí)行，三者缺一不可；對(duì)多數(shù)廠商來(lái)說(shuō)，欲建立前述專業(yè)團(tuán)隊(duì)的門坎與成本偏高，加上建立期程大約需至少一至兩年的時(shí)間，堪稱重大挑戰(zhàn)。

仲至信息科技的HERCULES產(chǎn)品信息安全合規(guī)自動(dòng)化平臺(tái)，設(shè)計(jì)初衷正是協(xié)助客戶降低進(jìn)入門坎、縮短期程。其中SecFlow是產(chǎn)品信息安全管理系統(tǒng)，要解決的是客戶對(duì)于「信息安全規(guī)范」的需求，并連結(jié)開發(fā)團(tuán)隊(duì)、信息安全團(tuán)隊(duì)及維運(yùn)團(tuán)隊(duì)三個(gè)角色之間的信息分享與協(xié)同合作，可幫助客戶快速建立DevSecOps運(yùn)作機(jī)制，同時(shí)確保開發(fā)流程符合信息安全法規(guī)，譬如建立產(chǎn)品信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制，并實(shí)時(shí)向外部獲取最新的產(chǎn)品信息安全威脅信息，以確保所有產(chǎn)品的信息安全風(fēng)險(xiǎn)可以被完整掌握；除輔助客戶快速建立信息安全制度外，SecFlow還提供開源函式庫(kù)風(fēng)險(xiǎn)分析、產(chǎn)品弱點(diǎn)管理、信息安全事件應(yīng)變處理等多項(xiàng)關(guān)鍵功能，協(xié)助產(chǎn)品開發(fā)團(tuán)隊(duì)、信息安全團(tuán)隊(duì)及運(yùn)維團(tuán)隊(duì)快速擬訂相關(guān)因應(yīng)對(duì)策。

至于SecDevice為弱點(diǎn)檢測(cè)自動(dòng)化工具，解決的是DevSecOps對(duì)于產(chǎn)品開發(fā)與檢測(cè)的時(shí)效問題，主要針對(duì)開發(fā)團(tuán)隊(duì)完成的產(chǎn)品，透過網(wǎng)絡(luò)端仿真黑客的攻擊手法，快速且精準(zhǔn)的進(jìn)行弱點(diǎn)的掃描與測(cè)試，使產(chǎn)品在部署階段、上市前，做好產(chǎn)品信息安全質(zhì)量的完整確認(rèn)。

匯聚多項(xiàng)專利技術(shù)，SecDevice展現(xiàn)獨(dú)特的模糊測(cè)試能量

李育杰指出，市場(chǎng)上有一些同樣以弱點(diǎn)檢測(cè)或掃描為要求的工具，但設(shè)計(jì)理念多圍繞于一般信息系統(tǒng)，適合IT人員采用，解決的是技術(shù)問題，僅能補(bǔ)足個(gè)別檢測(cè)缺口；反觀HERCULES SecFlow 與SecDevice從法規(guī)面出發(fā)，強(qiáng)調(diào)法規(guī)要求的項(xiàng)目?jī)?nèi)容與對(duì)應(yīng)，解決的是物聯(lián)網(wǎng)相關(guān)產(chǎn)品信息安全合規(guī)議題，使產(chǎn)品能更快的進(jìn)入市場(chǎng)。

「更重要的，HERCULES是100%國(guó)產(chǎn)自主研發(fā)的產(chǎn)品信息安全合規(guī)解決方案，不僅發(fā)揮最高的專業(yè)服務(wù)能力，更蘊(yùn)含獨(dú)特的AI技術(shù)?！估钣苓M(jìn)一步說(shuō)，以信息安全的弱點(diǎn)檢測(cè)為例，包含兩個(gè)主要方法，一是弱點(diǎn)掃描，藉由比對(duì)國(guó)際弱點(diǎn)數(shù)據(jù)庫(kù)(CVE)來(lái)發(fā)現(xiàn)已知問題，另一是模糊測(cè)試，意在探索未知的信息安全弱點(diǎn)，價(jià)值與技術(shù)門坎更高。

而SecDevice就是主打以模糊測(cè)試來(lái)發(fā)掘物聯(lián)網(wǎng)產(chǎn)品上的未知信息安全弱點(diǎn)，而這是由多項(xiàng)專利技術(shù)堆積而成。首先是「攻擊測(cè)試案例的產(chǎn)生」專利，會(huì)依據(jù)獨(dú)有的算法，產(chǎn)生不重復(fù)且最佳的測(cè)試項(xiàng)目，對(duì)受測(cè)設(shè)備進(jìn)行最有效的弱點(diǎn)測(cè)試，使其以最精簡(jiǎn)的內(nèi)容與時(shí)間，完成驗(yàn)證系統(tǒng)穩(wěn)定性與錯(cuò)誤處理的能力。其次是「受測(cè)設(shè)備的狀態(tài)分析」，如醫(yī)生探測(cè)病患的呼吸頻率般，針對(duì)受測(cè)設(shè)備的反應(yīng)狀況做學(xué)習(xí)與分析，使偵測(cè)弱點(diǎn)的準(zhǔn)確度更高，減少以往測(cè)試人員須經(jīng)常處理的誤判問題。此外，SecDevice更加上AI自動(dòng)學(xué)習(xí)技術(shù)，使其能夠面對(duì)越來(lái)越多不同應(yīng)用或類型的物聯(lián)網(wǎng)設(shè)備與情境，對(duì)未來(lái)5G或廠商自行開發(fā)的網(wǎng)絡(luò)協(xié)議仍可以很快速且輕易的進(jìn)行弱點(diǎn)測(cè)試。也因?yàn)樯鲜鋈?xiàng)獨(dú)到的技術(shù)，相較市面上其他工具，讓SecDevice可以提供更快、更準(zhǔn)確且更完整的協(xié)助客戶完成產(chǎn)品的信息安全檢測(cè)，符合DevSecOps的敏捷式精神。

談到SecDevice現(xiàn)今用戶結(jié)構(gòu)，一部分為連網(wǎng)設(shè)備開發(fā)商，他們?cè)瓉?lái)僅具備功能性測(cè)試能力，導(dǎo)入SecDevice后2個(gè)月內(nèi)的時(shí)間，即建立起產(chǎn)品信息安全檢測(cè)能力；另一部分為品牌公司客戶，需針對(duì)眾多的產(chǎn)品進(jìn)行測(cè)試與驗(yàn)收工作，并將測(cè)試結(jié)果回饋給不同的軟件開發(fā)團(tuán)隊(duì)，測(cè)試的量相對(duì)更大，但與前者的導(dǎo)入與建置時(shí)間相同。

一般而言，企業(yè)從無(wú)到有要建立自已的產(chǎn)品信息安全檢測(cè)團(tuán)隊(duì)，平均而言至少須有5位專職人員，采購(gòu)5套以上的商用專業(yè)檢測(cè)工具，起碼耗時(shí)一到兩年的時(shí)間；SecDevice的最大價(jià)值，便是讓原本高聳的門坎大大的降低，使企業(yè)更快擁有產(chǎn)品信息安全質(zhì)量確保的能力。

借助開源函式庫(kù)風(fēng)險(xiǎn)分析，即早并加速排除信息安全風(fēng)險(xiǎn)

SecFlow亦涵蓋諸多細(xì)致功能，可協(xié)助客戶提前在開發(fā)階段就把信息安全問題減到最少，降低了上市后發(fā)現(xiàn)問題再來(lái)修補(bǔ)的成本。以「開源函式庫(kù)風(fēng)險(xiǎn)分析」模塊為例，開發(fā)團(tuán)隊(duì)預(yù)先將所有產(chǎn)品相關(guān)的信息內(nèi)建于系統(tǒng)，并不斷的優(yōu)化其「關(guān)聯(lián)性」，因此，每當(dāng)運(yùn)維團(tuán)隊(duì)接獲產(chǎn)品被通報(bào)有漏洞發(fā)生時(shí)，信息安全團(tuán)隊(duì)在一天內(nèi)就能協(xié)助開發(fā)團(tuán)隊(duì)徹查與了解影響范圍，兩周內(nèi)共同把相關(guān)問題處理完畢；以往企業(yè)都是運(yùn)維或信息安全團(tuán)隊(duì)聽聞信息安全事件后，才分派其他團(tuán)隊(duì)執(zhí)行調(diào)查，至少要花三個(gè)月的時(shí)間，且分工、責(zé)任不明，甚至無(wú)法解決問題，而SecFlow就是要連結(jié)起開發(fā)、信息安全及維運(yùn)三個(gè)團(tuán)隊(duì)間的合作，共同解決現(xiàn)今各式各樣的產(chǎn)品信息安全問題。

李育杰表示，以目前整體產(chǎn)品銷售狀況來(lái)看，SecFlow與SecDevice除了國(guó)內(nèi)客戶品牌設(shè)備商與制造商都有導(dǎo)入成功案例外，在日本及印度也都有國(guó)際大廠陸續(xù)采購(gòu)與使用；依據(jù)每個(gè)案例的導(dǎo)入經(jīng)驗(yàn)，他建議，假使國(guó)內(nèi)企業(yè)擔(dān)心因?qū)?strong>DevSecOps而打亂產(chǎn)品上市步調(diào)，不妨采取漸進(jìn)式做法，先從測(cè)試(SecDevice)開始確保信息安全質(zhì)量，接著布建產(chǎn)品信息安全管理流程與機(jī)制(SecFlow)，最終取得產(chǎn)品信息安全驗(yàn)證(信息安全合規(guī)服務(wù))，據(jù)此優(yōu)化流程、從根本上調(diào)理好企業(yè)的信息安全體質(zhì)。

值得一提，HERCULES SecFlow & SecDevice 挾著獨(dú)到設(shè)計(jì)理念，屢屢成為國(guó)際獎(jiǎng)項(xiàng)常勝軍。SecFlow、SecDevice 連續(xù)兩年分別榮獲「InfoSecurity Product Guide」的信息安全事件管理、物聯(lián)網(wǎng)等類別金質(zhì)獎(jiǎng)項(xiàng)，以及「CyberSecurity Excellence Awards」的漏洞管理與信息安全事件應(yīng)變處理、嵌入式裝置與工控設(shè)備信息安全等金獎(jiǎng)殊榮。

不僅如此，今年兩項(xiàng)產(chǎn)品在「InfoSec Awards」有所斬獲，SecFlow 拿下「弱點(diǎn)與事件管理類別」最佳產(chǎn)品獎(jiǎng)，SecDevice 獲得「物聯(lián)網(wǎng)工控類別」次世代產(chǎn)品獎(jiǎng)。究其主因，在于它們能夠精準(zhǔn)、有效地協(xié)助客戶完成安全的軟件開發(fā)流程建立與產(chǎn)品信息安全檢測(cè)工作。

仲至信息科技產(chǎn)品開發(fā)處處長(zhǎng)暨開發(fā)總監(jiān)李育杰表示，透過專利的智慧式模糊測(cè)試技術(shù)，能有效補(bǔ)強(qiáng)客制化協(xié)議的信息安全檢測(cè)缺口，降低IoT設(shè)備的信息安全風(fēng)險(xiǎn)。