【前輩現身講：Panasonic IoT威脅情資研究員賴婕芳】家電大廠如何做資安？IoT資安研究員第一手經驗

【資安人才大聲公】讓前輩親口告訴你

「講到Panasonic，大家很容易聯想到是一個專門做家電設備的超大集團，但可能沒想過，這樣的家電廠商，如何做資安？」現為Panasonic IoT威脅情資研究員的賴婕芳，一般人對資安的想像，常常是金融業、電信業或網路公司中，較少聯想到家電、電子產品製造商，這也是她當初進入Panasonic之前，未曾觸及的領域。

賴婕芳過去曾是臺灣資安社群HITCON Girls的共同創辦人，也曾在行政院國家資通安全會報技術服務中心擔任資安工程師，具有APT威脅獵捕、惡意程式分析相關經驗，也在博科通訊系統擔任過軟體工程師，2019年進入Panasonic任職，從IT跨足到IoT資安研究的領域。她表示，成為IoT威脅情資研究員，是自己職涯發展過程中的一大轉變。

一個資安實驗室、三大資安團隊，Panasonic如何做資安？

IoT資安近年來備受重視，從智慧手機、穿戴裝置、智慧居家到智慧城市，處處可見物聯網設備，根據Gartner的預測，物聯網裝置更將在2021年達到250億個，大家較為耳熟的IoT資安威脅，常見如入侵監控錄影機、印表機等設備被駭等案例。

賴婕芳解釋，Panasonic也有許多種IoT產品，除了智慧家電，更有飛機座椅後背的顯示螢幕、車用多媒體主機等設備。因此，IoT資安也逐漸成為Panasonic的一大挑戰。

對資安重視程度的提升，也源自一般消費者對於商品安全性的期待，比過去更高了，從製造到銷售，經手的不同廠商或外部監督單位，都被賦予不同程度的資安期待。「對消費者來講，他期待製造商不只是賣出產品，還要能確保產品的安全性。」賴婕芳指出，甚至，未來若發生資安事件，廠商也得有足夠的能力來解決問題，還要能管控上下游供應鏈，提供足夠安全的設備零組件，並提供自家產品的資安報告給政府，來取得政府對產品的資安防護認可。

「消費者對於廠商有非常高的期待，」賴婕芳表示，這也成為廠商提供更高品質產品的動力，另外還有一股更大的資安推動力是，政府對IoT資安的規範，「法規要求，也會變相推進廠商提升資安防護能力。」

不過，如同大多數的傳統家電廠商，Panasonic也不是剛開始就有足夠的資安能量，為了培養自己的資安實力，他們選擇先與外部資安廠商合作，引進資安防護的產品，後來，才逐漸增進自己的研發能量，更在臺灣設立了資安實驗室，來測試設備、執行資安專案，並進行資安事件的協調與處理。

賴婕芳指出，Panasonic主要分為三個資安團隊，其一是偏向電腦資安事件應變小組（CSIRT）的範疇，專門維護企業內IT資訊系統的資訊安全，包括網站、PC、伺服器、網路、資料與App等。另一個團隊則偏向產品資安事件應變小組（PSIRT）的範疇，也是賴婕芳身處的團隊，主要針對集團出產的設備，如家電、飛機椅背顯示螢幕等產品，提供安全性檢查或資安服務。最後一個團隊則是工廠資安事件應變小組（FSIRT），針對工廠的製造系統與機器的安全性，來進行資安防護。

面對IoT資安威脅，Panasonic也建置了一個IoT威脅情資平臺，來搜集針對家電發動攻擊的惡意程式情資，接著，透過對惡意程式進行特徵分析，再將分析結果用來強化IoT產品安全。賴婕芳表示，當前在資安實驗室中執行的專案內容，正是搜集並分析IoT資安情資，產出可用的報告，除了將資訊提供內部使用，未來更要回饋給社群或其他廠商。

「IoT資安防護，還是比較辛苦的領域。」賴婕芳指出，由於IoT設備的通用性及廣泛性，使得IoT資安解決方案大多十分相似，這類產品多從IT或是資安廠商的角度為出發點。但是，賴婕芳指出，在IoT資安領域，許多企業與廠商，都面臨了不同平臺、難以管理的設備等挑戰。「製造商自己投入的優勢是，可以直接從源頭找尋解決方案。」

這也是為何Panasonic要切入IoT資安的領域，自行成立資安實驗室，就是要以IoT製造商的角度出發，來研發資安防護作法，成為產業先行者來推動IoT資安的發展。

保持對資安的熱情與初心，在職場上培養多層次思考、協作與整合能力

回憶自己為何要成為一名資安研究員？賴婕芳表示，是源自於很中二的理由，因為覺得對抗駭客很酷，就像電影情節一樣，才引起了自己的興趣；同時，也因為資安領域會一直接觸到新知識，且富有挑戰性、趣味性，於是就進入了這項產業。

「真正加入了之後，會發現資安的世界跟外面不太一樣，工程師就已經是另一個世界，資安又是其中更小的圈圈。」賴婕芳注意到，資安圈除了相對小，與其他產業相比，可見度也沒那麼高，常常是被隱藏起來的一群人，參與國內外研討會時，除了常遇到熟識的夥伴，議程中的主講者或技術發表單位，也通常是熟悉的人或組織。不過，儘管圈圈小，卻不妨礙資安技術的快速更迭。

進入職場後，賴婕芳從一開始身為資安服務的提供者，後來轉換到企業資安部門。角色轉換過程中，也讓她對資安的理解，有了更深一層的體會。

她過去在資安服務的供應端，僅從較單一的視角來檢視企業資安，總是認為企業不夠重視資安，應投注更多的資源；直到進入企業以後，她才了解到，「買再多設備、做最好的防護，只要有一個豬隊友，一切都毀了。」換句話說，資安並非只有一個層面，而是應該從軟體、硬體、甚至是員工的教育與管理制度，各個層面都需要考慮到，她現在也已經能以多層次的角度，來檢視企業的資安作法。

在從事資安工作的過程中，賴婕芳也體認到不斷吸收新知的重要性，除了與工作中的其他技術研究員互相分享資訊，由於本身是HITCON Girls社群的創辦人，她也推薦資安人員可以多參與社群活動，或是前往各大國內外資安會議與研討會，來不斷追求新知，還能結交資安領域的同好。不只如此，她也會定期從不同的新聞、論壇與訂閱的報告來吸收新知，同時增強自己對資安事件的敏銳度。

職場上，除了得持續學習新知來精進技術，與他人的協作也是一大挑戰。比如在推廣研究的產品或專案時，不只要統整各方面的資料，更要懂得與其他單位協調，才能共同推出研究成果。但相對的，她也從中獲得許多成就感，比如在進行資安研究時，她喜歡在許多小而混亂的資訊中，找到枝微末節的線索，再將線索們串連成一整個故事，「我自己是喜歡想故事、聽故事的人，將這些線索拼湊起來變成小秘密，是非常有趣的過程。」

對於自己身為資安產業中女性的角色，賴婕芳指出：「資安相對其他產業，對女生比較開放，很多時候是看你擁有什麼能力，把你放在什麼位置。」她在職場中，並未感受到歧視或玻璃天花板的現象，她更以此來鼓勵女性，不需要靠言語去向別人訴說自己的能力，每個人在職場上的高度與位置，取決於工作表現或研究成果。

相關報導​