最新消息
以IEC 62443-4-1為核心 企業可逐步落實SSDLC
2023.10.13

兼顧安全與軟體功能 有助降低軟體維護成本

 IEC 62443是一個各產業強烈要求合規的國際標準,其中IEC 62443-4-1完整說明產品安全開發生命週期規範。於安全軟體開發生命週期(Secure Software Development Life Cycle, SSDLC)中支援國際標準IEC 62443-4-1產品安全開發生命週期需求之規範,可協助企業逐步達成安全軟體開發的目的。

儘管駭客發動攻擊多半為經濟利益,但仍然有部分駭客透過攻擊關鍵基礎設施,藉此影響民眾的日常生活,以達成特定政治目的。著名案例,莫過於2015年烏克蘭電力網路受到駭客攻擊,導致數十萬戶大停電。近幾年關鍵基礎設施遭到攻擊案例明顯增加,如:2021年美國輸油管公司Colonial Pipeline遭駭客組織攻擊,最終被迫支付440萬美元贖金。

駭客選擇攻擊工控設備主因,即看準此類設備軟體更新不易,且欠缺合適資安防護機制。根據微軟公司統計結果顯示,自2020年至2022年之間,製造業採用知名廠牌的工控產品,含有已知高風險漏洞的數量增加78%。另外,有高達75% 工業控制系統未即時進行資安漏洞修補。於SSDLC平台的軟體安全開發流程服務,支援國際標準IEC 62443-4-1可協助企業逐步達成安全軟體開發。

近來備受關注的安全軟體開發生命週期(SSDLC)主要訴求在軟體開發過程中兼顧安全性與功能性,因此,開發團隊必須在各階段皆須考慮安全問題,才能達到降低維護成本與遭受攻擊損失的目的。而企業要落實SSDLC最重要的關鍵,應該以IEC62443國際標準為參考指引,因為,此標準不光是OT 網路安全標準,更是針對工業自動化與控制系統(Industrial Automation and Control Systems, IACS)設計,提供IACS 安全漏洞的靈活框架,可達成軟體開發過程中安全性與功能性的目標。

SSDLC平台涵蓋IEC 62443-4-1為軟體專案最佳指引

近幾年IEC 62443國際標準成為企業落實SSDLC關鍵,在於這套標準涵蓋人員、技術、流程等面向,並透過不同章節分別定義資產所有者、系統整合商、產品供應商等工作內容。IEC 62443-1 為通論,主要介紹標準的術語、概念、案例。IEC 62443-2則是政策與程序篇,是專為資產擁有者的設計,主要說明工控系統安全管理規範、實施指引等。IEC 62443-3則是系統篇,是為系統整合商所設計的,內容為工控系統安全技術、安全風險評鑑與系統設計。IEC 62443-4則是元件篇,為產品供應商設計的章節,內容涵蓋產品安全開發規範 、工控系統元件技術規範等兩部分。

成功大學李南逸教授表示IEC 62443-4-1涵蓋8個環節,分別是安全管理、安全要求規範、安全設計、安全實作、安全驗證與有效性測試、安全相關議題管理、安全更新管理、安全指南等。企業推動安全軟體開發流程時,必須了解這是一個不間斷、持續優化的過程, 而IEC 62443已是一個國際合規標準,絕對是企業推動SSDLC制度的最佳指引。目前已有團隊推出SSDLC平台服務,從軟體設計初期,依循IEC 62443-4-1的SSDLC資安指引,讓企業在軟體開發階段導入資安因素,以提升軟體品質、縮短取得安全認證時程,有助降低軟體維護成本,期盼企業善加利用。