圍繞在5G的資安議題相當廣泛,包括軟體開發與品質控管、軟體更新、供應鏈、OT安全、邊緣運算、隱私保護,以及5G專網等多個面向,如何讓5G安全能夠落實,持續成為各界關心的重點,值得注意的是,近期有資安廠商開始聚焦在5G供應鏈,例如IBM就提出相關解決方案,並特別稱之為X-Force Red 5G & Wi-Fi Testing,目的是讓資安能深入5G產業鏈,也就是中上游的產品或元件,而這樣的態勢,也將可能帶動未來國內產業在產品資安上的發展。

首個針對5G產業鏈提出的產品資安解決方案

過去,IBM在2016年成立了X-Force Red滲透測試團隊,主要應用對象包括金融、零售領域,也擴及IoT等領域,特別的是,今年他們聚焦在5G產業鏈,推出專屬滲透測試服務。然而,在此之前,我們幾乎未有聽聞有資安業者,是針對5G供應鏈提出產品資安解決方案,這樣的方案有何不同?

對此,IBM資訊安全部門全球威脅情報防禦產品協理謝明君表示,在5G的時代中,資安已經不再是單點的防護,需要將上中下游整體都納入考量。不過,5G產業鏈相當廣泛,包括晶片、天線、RF前端、基地臺上游、PCB、到手機、網路設備,以及光纖、小型基地臺、伺服器,還有核網與SDN等,這些都是IBM資安測試方案可以涵蓋的範圍嗎?

謝明君表示,這些5G設備、元件與環境,的確全是他們解決方案所涵蓋的適用對象,而且,電信業者也包含在內,其中又以晶片、核心網路與SDN等類型最為合適。

同時,謝明君也舉例說明,他們過去曾幫助一家大型客戶,透過逆向工程手法,在其IoT晶片上找出許多設計瑕疵,事實上,在晶片設計上就有不少需驗證的安全問題,她說,像是重新檢視有那些資料存放於晶片、透過行為分析找出弱點,以及確保所有IoT裝置,都納入資安雷達圖之下,她並強調,對於這些屬於上游的設計瑕疵,也需要懂得相關技術的白帽駭客,來找出這方面的資安問題。而過去X-Force Red在硬體與嵌入裝置的測試範疇,就包含IoT、穿戴技術、POS系統、ATM與自助Kiosk等。

找出產品設計瑕疵,也將提供修補上的支援

基本上,X-Force Red在Penetration Testing Services- 5G的測試內容上,針對5G供應鏈提供4大測試主軸,分別是硬體與IoT測試、配置測試、應用程式測試,以及網路測試,而且,測試範圍將可以依照企業需求來選擇。

相較於一般滲透測試的範疇有何不同?謝明君表示,配置測試是一大特色,這是指即便5G設備已經部署,他們也能夠透過測試樣本發現所有站點的漏洞,並幫助修復;同時,他們也能從網路邊界測試,找出IoT設備與每一個頻寬與手機等通訊上的缺陷。

而最後的測試結果,IBM不僅提供測試報告,同時也幫助修補漏洞或瑕疵,包括提供修補上的建議,也可以與客戶一同開發修補程式。

熱門新聞

Advertisement