UL (Underwriters Laboratories)公司近日發佈新網路安全保障計畫(Cybersecurity Assurance Program,UL CAP),透過新UL 2900系列標準,為連網產品與系統提供網路安全的測試準則,以評估軟體漏洞與弱點、降低攻擊風險、處置已知的惡意軟體、檢視安全控制項目,並提升安全意識。不論是正在尋找可靠的安全風險評估支援,以專注開發更安全的創新產品的廠商,或希望藉由通過第三方檢測的產品來降低風險的採購者,UL CAP都能滿足需求。
|
新UL 2900系列標準將為連網產品與系統提供網路安全測試準則。 |
由於網路攻擊比以往更加複雜、更難防範,而且消耗更多成本,因此安全措施相當重要。根據Gartner與其他產業報告,2020年全球將有210至500億台連網裝置。2018年前,預計66%的網路將出現IoT安全漏洞。安全威脅瞬息萬變,風險也與日俱增,不論是公民營機構或是消費者,其使用的產品與服務都可能面臨安全性與金融風險,而這些風險將帶動新防禦機制的發展。
「我們的目的是提供一套安全性計畫,支援創新並迅速發展的物聯網(IoT)技術,」UL連線技術總監Rachna Stegall表示:「愈多裝置相互連接,各產業的產品與服務就愈容易被潛在的安全風險襲擊。透過有系統的風險衡量與評估方式,UL CAP能協助公民營機構的製造商、採購人員與終端使用者降低這些風險。」
UL CAP是根據美國聯邦政府、學術界與產業界重要利害關係人所提供的建議而制定的計畫,目的是強化關鍵基礎建設(Critical Infrastructure)中供應鏈的安全措施。最近,美國白宮發佈了「國家資安行動計畫」(Cybersecurity National Action Plan,CNAP),希望提升美國政府內部與各產業的資安能力。UL CAP的服務與軟體安全作業已被CNAP視為測試與認證IoT連網裝置的重要方法,特別是能源、公共事業與醫療照護等重要基礎建設。
關鍵基礎建設的資產所有人可利用UL CAP來評估其供應鏈的安全狀態。「關鍵基礎建設的可用性與完整性跟社會安全與福祉息息相關。因此,一套可依據通用可靠的安全準則來衡量系統安全性的完善計畫非常有用,」美國杜克能源公司 (Duke Energy) 策略長Terrell Garren表示。UL CAP提供可靠的第三方認證支援,以及可評估連網產品與系統安全性與廠商流程的功能,讓廠商以安全性為核心,開發與維護產品與系統。
資產所有人已經體認到開放原始碼技術的重要性,這也是UL CAP的本質,因此它不僅能簡化連網產品與系統、架構與網路安全策略,還能讓彼此相互配合運作。「未來,UL將扮演不同的角色,為網路安全保險業者提供一套通用方式,協助其更有效率地為採用UL認證技術與流程的企業評估網路風險。在短期內,我們期待看到UL 2900成為核心標準,幫助美國企業與政府建置更安全的物聯網環境與關鍵基礎建設。我們相信UL認證將發揮重要作用,讓我們的產品做出市場區隔。」Reprivata總裁、開發者暨首席架構師David Wallace Cox表示。
UL為安防產品與系統所提供的評估方式是採用UL 2900系列標準,它為連網產品和系統的安全性測試與評估定義了技術準則。此系列標準提供基本的技術條件,衡量並提升產品與系統的安全性。UL 2900也能配合市場發展所產生的安全需求來建立與整合其他技術準則。
UL CAP的先導計畫已成功幫助首批參與此創新計劃的廠商。在這基礎之上,UL CAP將持續幫助更多的廠商識別產品與系統的安全風險,並為各行各業提供降低風險的建議,例如工控系統、醫療設備、汽車產業、冷凍空調、照明設備、智慧家庭、家電用品、警報系統、火警系統、建築自動化、智慧電表、網路設備與消費性電子等產業。若需更高的靈活性,廠商也可以視需求選擇最適當的UL CAP服務。
只要符合UL 2900系列標準所定義的條件,該產品或系統就能獲得由UL核發的「符合UL 2900」認證。面對不斷變化的安全風險,即使廠商改變其安防產品與系統的設計、開發和維護流程,UL 2900也能持續提供支援。