Breaking News

[BHAsia 2018] นักวิจัยเสนอโมเดล SDL แบบใหม่สำหรับอุปกรณ์ Wearable เน้น Security และ Privacy

ภายในงานประชุม Black Hat Asia 2018 Kavya Racharla นักวิจัยด้านความมั่นคงปลอดภัยอาวุโสจาก Intel และ Sumanth Naropanth ผู้ก่อตั้ง Deep Armor ได้นำเสนอโมเดล Software Development Lifecycle (SDL) แบบใหม่สำหรับอุปกรณ์ Wearable ยุคใหม่ โดยเน้นด้านความมั่นคงปลอดภัยและความเป็นส่วนบุคคลเป็นหลัก

โมเดล SDL ดังกล่าวมีชื่อว่า Security and Privacy Development Lifecycle (SPDL) เป็นโมเดลการพัฒนาซอฟต์แวร์อย่างมั่นคงปลอดภัยโดยเน้นที่ความคล่องตัวเป็นหลัก ครอบคลุมทั้งส่วนการพัฒนาอุปกรณ์ การพัฒนาแอปพลิเคชันบนอุปกรณ์พกพาที่ใช้ควบคุมอุปกรณ์ และการพัฒนาระบบ Cloud สำหรับใช้ประมวลผลหลังบ้าน รวมไปถึงมีการนำมาตรฐานอุตสาหกรรมต่างๆ มาใช้งานอีกด้วย

Racharla และ Naropanth ระบุว่า ปัญหาหลักของอุปกรณ์ Wearable ในปัจจุบันคือ โมเดล SDL ที่ใช้ไม่เหมาะสมต่อการพัฒนาอุปกรณ์ที่กำลังอยู่ในช่วงที่เทคโนโลยีถูกพัฒนาอย่างต่อเนื่อง และต้องการความรวดเร็วในการนำเสนอผลิตภัณฑ์ออกสู่ตลาด รวมไปถึงอุปกรณ์ Wearable ส่วนใหญ่มักพัฒนาโปรโตคอลสำหรับติดต่อสื่อสารขึ้นมาใช้เอง ไม่มีมาตรฐานที่ได้รับการยอมรับจากอุตสาหกรรม นอกจากนี้งานวิจัยด้านความมั่นคงปลอดภัยบนอุปกรณ์ IoT ก็ยังไม่ถูกค้นคว้ามากนัก

อุปกรณ์ Wearable ยุคใหม่เริ่มมีการเก็บข้อมูลส่วนบุคคลมากขึ้น ไม่ว่าจะเป็นข้อมูลตำแหน่ง ข้อมูลไบโอเมทริกซ์ ข้อมูลจากเซ็นเซอร์ รวมไปถึงข้อมูลการชำระเงิน ส่งผลให้ปัญหาใหญ่ที่ตามมาคือ ปัญหาความเป็นส่วนบุคคล เนื่องจากอุปกรณ์ส่วนใหญ่ยังไม่มีการเข้ารหัสข้อมูลใดๆ

เพื่อให้อุปกรณ์ Wearable ยุคหลังจากนี้ถูกออกแบบและพัฒนาอย่างมั่นคงปลอดภัย นักวิจัยทั้งสองคนจึงได้นำเสนอโมเดล SPDL ซึ่งจะมีการสอดแทรกความมั่นคงปลอดภัยและความเป็นส่วนบุคคลเข้าไปในทุกขั้นตอน รวมไปถึงมีการนำมาตรฐานอุตสาหกรรมต่างๆ มาใช้งาน และเน้นความคล่องตัวเป็นหลัก เช่น

  • มีการทำ Threat Modeling และเก็บข้อมูลความต้องการด้าน Privacy ตั้งแต่การออกแบบ
  • มีการทำ Security Code Reviews และ Privacy Test Cases ในเวอร์ชันอัลฟา
  • ทดสอบการทำ Pen Test ในเวอร์ชันเบต้า
  • มีการทำ Incident Response และการปฏิบัติตามข้อกฏหมายเมื่อเปิดใช้งานจริง

คุณสมบัติของอุปกรณ์สวมใส่: Service Layer Security, Protocol Security, Secure Erase, Signed Libraries, Key Management, Secure Boot, Secure FOTA, TEE, Data at Rest Encryption, Secure Debug, Port Access Restrictions & Lockdown และ Secure Storage

คุณสมบัติของแอปพลิเคชันบนอุปกรณ์พกพา: Multi-app & Multi-device Communication, Secure Storage, 3rd Party SDK Security, HW backed Keystore/Keychain, Privacy, App Store Scanning และ Secure Implementation

คุณสมบัติของ Cloud: Secure Storage, Privacy, Security DevOps, Secure Key Management and Provisioning, User & Roles Management, Micro-services Security, Infrastructure Hardening & Secure Configuration และ Web Portal Security

นอกจากนี้ ทีมนักวิจัยยังเน้นย้ำให้หลีกเลี่ยงการเก็บข้อมูลบน Public Storage เนื่องจากมีความเสี่ยงที่จะถูกแก้ไขหรือเปลี่ยนแปลงได้ง่าย รวมไปถึงมีการเข้ารหัสข้อมูลและแยกกุญแจที่ใช้เข้ารหัสเป็นของใครของมันเพื่อป้องกันการโจมตีแบบ BORE ที่สำคัญคือต้องปฏิบัติตามคำแนะนำของหน่วยงานกำกับดูแลที่เกี่ยวข้อง กฏหมายด้านความเป็นส่วนบุคคลและความมั่นคงปลอดภัย


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] กรณีศึกษาของ Heel บริษัทผู้ผลิตยา ใช้ระบบ CRM และปรับปรุงประสิทธิภาพของข้อมูลด้วย Tibero Database ของ TmaxSoft

บริษัท Heel เป็นหนึ่งในผู้ผลิตยารักษาโรคระดับแนวหน้าของโลก ด้วยยอดขายหลายร้อยล้านยูโร บริษัท Heel ผลิตแทบทุกผลิตภัณฑ์ในประเทศเยอรมนีโดยใช้เทคโนโลยีและวิธีการผลิตที่ทันสมัยที่สุด มีความมุ่งมั่นที่จะติดตามการเปลี่ยนแปลงทางด้านดิจิทัลอย่างต่อเนื่องโดยขึ้นอยู่กับพื้นฐานเกี่ยวกับกระบวนการ ผู้คน และเทคโนโลยี

สรุป 10 ฟีเจอร์เด่นของ Mist Wi-Fi ภายในงาน Grand Opening, Mist A.I. Wi-Fi by Juniper Networks

หลังจากที่ Juniper Networks ผู้นำด้านนวัตกรรมเครือข่ายและความมั่นคงปลอดภัย ประกาศเปิดให้บริการ Mist Wi-Fi ระบบเครือข่ายไร้สายอัจฉริยะที่ผสานเทคโนโลยี AI อย่างเป็นทางการในประเทศไทย ล่าสุด Juniper Networks ได้จัดงาน Grand …