仲至信息科技的HERCULES产品信息安全合规自动化平台介绍

身处物联网(IoT)时代，多数设备制造商或品牌商力推连网产品，并加快产品上市速度，但求快之余，难免对信息安全质量有所忽略，以致许多存在弱点的设备流向市面，履履被国外政府或黑客揭露产品上的信息安全弱点，除影响消费者权益外，甚至被提起诉讼，连带造成厂商的商誉与品牌价值受损。

肇因政府法规、信息安全标准与采购商要求日益严谨，迫使设备商面临愈来愈高的合规需求，既需要做功能性测试，还得导入安全软件开发生命周期(Secure SDLC, SSDLC)，以通过信息安全要求。无奈多数厂商的信息安全运维与检测能量仍待提升，尚不足以应付层层信息安全合规考验。有鉴于此，长年对连网产品信息安全议题着力至深的仲至信息科技，推出HERCULES SecFlow 与SecDevice产品信息安全合规自动化平台，协助企业实现开发安全运维(DevSecOps)流程，可有效符合国际信息安全标准与终端采购客户的信息安全要求。

产品信息安全评估兼具DevSecOps敏捷开发，完整满足信息安全合规需求

仲至信息科技产品开发处处长暨开发总监李育杰表示，近年各国信息安全法令与政策的演进快速，包括美国FDA、欧盟相继对医疗器材制造商祭出信息安全规范，加州推出全美第一套IoT装置安全法案(SB-327)，美国国防部发表网络安全成熟度模型认证(CMMC)，及多家国际连网设备品牌商对其供货商提出产品信息安全要求；众多规章密集出炉，加重了设备制造商的产品上市与合规应变压力。

综观接踵而至的法规与标准，厂商要以DevSecOps这样更敏捷的开发方式，争取产品上市时间，又必须兼顾产品的信息安全质量，因此，可采用DevSecOps这样的方法来实现与应对；但要实现这样的方法，须同时仰赖产品风险评估、软件安全开发、弱点检测技术等人才来执行，三者缺一不可；对多数厂商来说，欲建立前述专业团队的门坎与成本偏高，加上建立期程大约需至少一至两年的时间，堪称重大挑战。

仲至信息科技的HERCULES产品信息安全合规自动化平台，设计初衷正是协助客户降低进入门坎、缩短期程。其中SecFlow是产品信息安全管理系统，要解决的是客户对于「信息安全规范」的需求，并连结开发团队、信息安全团队及维运团队三个角色之间的信息分享与协同合作，可帮助客户快速建立DevSecOps运作机制，同时确保开发流程符合信息安全法规，譬如建立产品信息安全风险评估机制，并实时向外部获取最新的产品信息安全威胁信息，以确保所有产品的信息安全风险可以被完整掌握；除辅助客户快速建立信息安全制度外，SecFlow还提供开源函式库风险分析、产品弱点管理、信息安全事件应变处理等多项关键功能，协助产品开发团队、信息安全团队及运维团队快速拟订相关因应对策。

至于SecDevice为弱点检测自动化工具，解决的是DevSecOps对于产品开发与检测的时效问题，主要针对开发团队完成的产品，透过网络端仿真黑客的攻击手法，快速且精准的进行弱点的扫描与测试，使产品在部署阶段、上市前，做好产品信息安全质量的完整确认。

汇聚多项专利技术，SecDevice展现独特的模糊测试能量

李育杰指出，市场上有一些同样以弱点检测或扫描为要求的工具，但设计理念多围绕于一般信息系统，适合IT人员采用，解决的是技术问题，仅能补足个别检测缺口；反观HERCULES SecFlow 与SecDevice从法规面出发，强调法规要求的项目内容与对应，解决的是物联网相关产品信息安全合规议题，使产品能更快的进入市场。

「更重要的，HERCULES是100%国产自主研发的产品信息安全合规解决方案，不仅发挥最高的专业服务能力，更蕴含独特的AI技术。」李育杰进一步说，以信息安全的弱点检测为例，包含两个主要方法，一是弱点扫描，藉由比对国际弱点数据库(CVE)来发现已知问题，另一是模糊测试，意在探索未知的信息安全弱点，价值与技术门坎更高。

而SecDevice就是主打以模糊测试来发掘物联网产品上的未知信息安全弱点，而这是由多项专利技术堆积而成。首先是「攻击测试案例的产生」专利，会依据独有的算法，产生不重复且最佳的测试项目，对受测设备进行最有效的弱点测试，使其以最精简的内容与时间，完成验证系统稳定性与错误处理的能力。其次是「受测设备的状态分析」，如医生探测病患的呼吸频率般，针对受测设备的反应状况做学习与分析，使侦测弱点的准确度更高，减少以往测试人员须经常处理的误判问题。此外，SecDevice更加上AI自动学习技术，使其能够面对越来越多不同应用或类型的物联网设备与情境，对未来5G或厂商自行开发的网络协议仍可以很快速且轻易的进行弱点测试。也因为上述三项独到的技术，相较市面上其他工具，让SecDevice可以提供更快、更准确且更完整的协助客户完成产品的信息安全检测，符合DevSecOps的敏捷式精神。

谈到SecDevice现今用户结构，一部分为连网设备开发商，他们原来仅具备功能性测试能力，导入SecDevice后2个月内的时间，即建立起产品信息安全检测能力；另一部分为品牌公司客户，需针对众多的产品进行测试与验收工作，并将测试结果回馈给不同的软件开发团队，测试的量相对更大，但与前者的导入与建置时间相同。

一般而言，企业从无到有要建立自已的产品信息安全检测团队，平均而言至少须有5位专职人员，采购5套以上的商用专业检测工具，起码耗时一到两年的时间；SecDevice的最大价值，便是让原本高耸的门坎大大的降低，使企业更快拥有产品信息安全质量确保的能力。

借助开源函式库风险分析，即早并加速排除信息安全风险

SecFlow亦涵盖诸多细致功能，可协助客户提前在开发阶段就把信息安全问题减到最少，降低了上市后发现问题再来修补的成本。以「开源函式库风险分析」模块为例，开发团队预先将所有产品相关的信息内建于系统，并不断的优化其「关联性」，因此，每当运维团队接获产品被通报有漏洞发生时，信息安全团队在一天内就能协助开发团队彻查与了解影响范围，两周内共同把相关问题处理完毕；以往企业都是运维或信息安全团队听闻信息安全事件后，才分派其他团队执行调查，至少要花三个月的时间，且分工、责任不明，甚至无法解决问题，而SecFlow就是要连结起开发、信息安全及维运三个团队间的合作，共同解决现今各式各样的产品信息安全问题。

李育杰表示，以目前整体产品销售状况来看，SecFlow与SecDevice除了国内客户品牌设备商与制造商都有导入成功案例外，在日本及印度也都有国际大厂陆续采购与使用；依据每个案例的导入经验，他建议，假使国内企业担心因导入DevSecOps而打乱产品上市步调，不妨采取渐进式做法，先从测试(SecDevice)开始确保信息安全质量，接着布建产品信息安全管理流程与机制(SecFlow)，最终取得产品信息安全验证(信息安全合规服务)，据此优化流程、从根本上调理好企业的信息安全体质。

值得一提，HERCULES SecFlow & SecDevice 挟着独到设计理念，屡屡成为国际奖项常胜军。SecFlow、SecDevice 连续两年分别荣获「InfoSecurity Product Guide」的信息安全事件管理、物联网等类别金质奖项，以及「CyberSecurity Excellence Awards」的漏洞管理与信息安全事件应变处理、嵌入式装置与工控设备信息安全等金奖殊荣。

不仅如此，今年两项产品在「InfoSec Awards」有所斩获，SecFlow 拿下「弱点与事件管理类别」最佳产品奖，SecDevice 获得「物联网工控类别」次世代产品奖。究其主因，在于它们能够精准、有效地协助客户完成安全的软件开发流程建立与产品信息安全检测工作。

仲至信息科技产品开发处处长暨开发总监李育杰表示，透过专利的智慧式模糊测试技术，能有效补强客制化协议的信息安全检测缺口，降低IoT设备的信息安全风险。

责任编辑；zl