以國際標準而言,網路安全、漏洞風險,管理上必需符合以下兩個重要的要求:
● 整個生命週期內管理產品網絡安全。
● 整個生命週期內管理產品網絡合規性。
面對生命週期要保持安全性及合規性的解決方案
● 自動更新軟體物料清單 (SBOM Management)
● 符合 ISO 規範與各國法規 (Governance & Compliance)
● 自動漏洞管理 (Automated Vulnerability Management)
● 自動紅隊演練 (Red Team Automation)
● 自動搜尋威脅 (Automated Threat Hunting)
● License 管理 (Licensing Management)
車聯網、網路安全團隊所面臨議題
要擁有強大的汽車網路安全,要從從調整組織結構和培訓安全意識開始
- 如何以熟練的人員,建立起組織結構彈性。
- 我們需要提高整個供應鏈的成熟度
- 一切為了一個汽車安全文化
調整觀點面對產品安全和數據隱私
- 如何在共享下建立信任
- 理解為了合規,必需配合責任的限制達成被監管義務
- 總之,黑客無國界無所不在。
全球網路安全倡議
- 確保行業與政府之間的合作。
- 汽車安全的未來是什麼樣的?
- 不是我們主觀想看到的結果,
- 更重要的是,我們今天需要配合做什麼?
善用工具軟體來保護汽車網路安全
- 了解安全基礎設施和其他不斷增長的需求領域。
- 借助 IDS、數字孿生和主動解決方案等工具,
- 做到為了安全,我們願意被動地自我限制。
醫療設備、網路安全團隊所面臨議題
醫療設備網絡安全需要面對:多個巨大的挑戰,持續管理網絡安全的難度越來越大,而且缺乏能見度。
- 越來越多的新工具 / 新技術
- 持續網路安全的經營
- 網路安全對於商業造成衝擊
- 醫療設備能見度不足
- 遵守網路安全造成壓力
- 跟踪修補漏洞 / 與解決安全風險
- 網路安全效率不足
- 開發人員的無接觸到網路安全性
- 擴展設備安全程序問題
工控設備、網路安全團隊所面臨議題
IEC 62443 的產品供應商 ( 定義著:IEC 62443 3-3、IEC 62443 4-1、IEC 62443 4-2 ):
- 負責控制系統的開發和測試
- 包括應用程序(殺毒、白名單等)
- 嵌入式設備(PLC、DCS等)
- 網絡設備(防火牆、路由器、交換機等)
- 上位設備(操作員站、 工程師站等)
- 作為系統或子系統一起工作。
IEC 62443 – 技術與服務:通過涵蓋整個產品生命週期的技術和服務組合實現 IEC 62443 合規性
- 資產管理:管理系統/產品/組件可見性和治理
- 概念設計:TARA 輸入、產品設計和 SBOM 分析
- TARA:執行 TARA 分析
- 物料清單:SW 成分分析與配置
- 許可合規:開源許可合規性
- 事件響應:調查報告
- 威脅監控:持續漏洞監控
- 安全測試:安全需求滲透測試、單片機安全
- 漏洞管理:漏洞管理工作流程、微控制器評估
- 治理與合規:CSMS 工作產品儀表板
