IoT裝置在設計之初未考慮安全性,所以存在不少弱點,可能導致用戶的攻擊面擴大,在各界日益關注物聯網資安議題之際,針對IoT平台與產品設計所提出的SESIP,因而受到各界矚目。
近年物聯網(Internet of Things, IoT)裝置持續爆量成長,成為許多組織或個人賴以滿足各種應用需求的載體。然而多數IoT裝置在設計之初未考慮安全性,所以存在不少弱點,可能導致用戶的攻擊面擴大,對資料機密性、完整性與可用性釀成風險。
為減輕前述風險,各界日益關注物聯網資安(IoT Security)議題,逐漸傾向以一些公正的評估標準作為採購依據。此時特別針對IoT平台與產品設計所提出的SESIP(Security Evaluation Standard for IoT Platforms),因而受到各界矚目。
產品安全開發成顯學 IoT廠商壓力沈重
物聯網生態的基底為相關晶片,同屬生態系的物聯網平台,廠家總體約莫數百家。但數量最多、甚至到達數十億等級產量,則是琳瑯滿目的IoT裝置,如網路監控攝影機(IP CAM)、智慧路燈、智慧冰箱等。
先從晶片談起,基本上是系統單晶片(System on a Chip, SoC),內含處理器、記憶體、Input/Output(I/O)、繪圖處理器(GPU)、Radio等配置,彷若一台小電腦,其中往往承載諸多機敏資訊。接著談到搭載這些晶片的多元IoT產品,其供應商長期面臨激烈競爭,所以往往想方設法加速上市時間、實現降低成本目標。
惟後續隨著客戶要求、法遵合規、產品差異化等眾多因素,迫使IoT開發者責任加重,須在設計階段符合資安。
產品生命週期僅1~2年,卻要花半年或1年以上時間來準備認證,肯定是艱鉅挑戰,此外開發者擅於產品設計,並不專精於資安,如今為了落實安全開發,不管另請人才或自我進修,皆會付出高昂學習成本。
但儘管如此,IoT資安仍是不容妥協的議題,因為駭客會利用IoT裝置破口,釀成竊取機敏資訊、癱瘓用戶端網路等災難,後果不堪設想。所以IoT生態所有供應商,皆需克服重重挑戰,滿足相關資安合規要求。
一試多證SESIP+PSA Certified
以IoT晶片和終端產品都適用的資安標準而論,最具代表性者是安全評估共通準則(Common Criteria, CC),但它的取證時間動輒一年半載,且開發者須因應繁瑣規範而撰寫大量文件,以致付出可觀的時間與金錢成本,難免讓不少業者卻步。所以後來陸續出現其他相對輕量級的IoT資安標準,如漸受矚目的SESIP及PSA Certified;其中SESIP由GlobalPlatform提出,而PSA Certified則由Arm提出。
臺灣有很多IoT裝置代工生產製造商(Original Equipment Manufacturer, OEM),當下面臨的最大考驗,在於經常接收到不同夥伴或客戶要求、需通過許多不同安全認證,意謂他們須為此負擔繁重成本;對照產品生命週期僅1~2年的景況,顯得極不匹配、更不切實際。
業者如何紓解此困境?需要有一個化繁為簡的方法,幫助廠商既能掌握資安、又能減少精力,於是SESIP與PSA Certified被各方寄予厚望。SESIP全名為Security Evaluation Standard for IoT Platforms,重點在於簡化CC標準,藉由較低的取證門檻且同樣滿足IoT安全要求,更易於被IoT廠商接受。
簡言之,SESIP旨在提供一個兼具彈性與效率的認證方法,讓複雜的IoT生態有共通準則可以依循,而在3~6個月內取得認證。更重要的是,SESIP不僅可以幫助IoT開發者減少複雜度與成本,加快進入市場的時間。
假設晶片商C開發者已獲得SESIP認證,後續只要提供證書加上打包好的產品認證文件(Certification Package),即有助於客戶免除此部分的安全認證要求。另外加密資料庫(Crypto Library)廠商B開發者,則需呼叫晶片的加密功能。假使搭配已取得SESIP認證的晶片,不僅有助免除許多學習成本,且能加快其Crypto Library取證速度。至於所屬系統整合(System Integration, SI)產業的A開發者,需協助客戶建構傳輸層安全性協定(Transport Layer Security, TLS),此時若引用通過SESIP認證的Crypto Library,便可降低投入成本,讓此TLS取得SESIP認證。
具體來說,SESIP對晶片商的好處,在於無需耗時費力便可有效提升安全水平,形塑產品的差異化優勢。對軟體商來說,只要搭配通過認證的晶片、呼叫箇中像是加密等各項功能,即可省卻許多重複性工作,加速通過SESIP認證。對於SI,可降低專案開發風險與成本,避免日後因客戶資訊外洩而遭受客訴。
另對於臺灣許多OEM廠商或服務提供者,SESIP可協助其達到良好的合規。係因SESIP的認證內容用途甚廣,可映照到不同工業標準,譬如透過SESIP和PSA Certified共同承認的Profile,可以更容易取得PSA Certified;更有甚者,還能對應到ETSI EN 303 645與英國PSTI方案,藉此通過這些認證,創造一試多證效果。
總括而論,不論為工業級或消費級產品,大家對資安意識都不斷攀升。因此不管是晶片、軟體或設備開發商,如何能確保資料不洩露,繼而為自身產品創造差異化價值,無疑至關重要,那麼藉由通過SESIP認證來證明的安全開發能力,顯然是最理想的開端。
(本文由安華聯網科技提供)