[BHAsia 2018] นักวิจัยเสนอโมเดล SDL แบบใหม่สำหรับอุปกรณ์ Wearable เน้น Security และ Privacy

ภายในงานประชุม Black Hat Asia 2018 Kavya Racharla นักวิจัยด้านความมั่นคงปลอดภัยอาวุโสจาก Intel และ Sumanth Naropanth ผู้ก่อตั้ง Deep Armor ได้นำเสนอโมเดล Software Development Lifecycle (SDL) แบบใหม่สำหรับอุปกรณ์ Wearable ยุคใหม่ โดยเน้นด้านความมั่นคงปลอดภัยและความเป็นส่วนบุคคลเป็นหลัก

โมเดล SDL ดังกล่าวมีชื่อว่า Security and Privacy Development Lifecycle (SPDL) เป็นโมเดลการพัฒนาซอฟต์แวร์อย่างมั่นคงปลอดภัยโดยเน้นที่ความคล่องตัวเป็นหลัก ครอบคลุมทั้งส่วนการพัฒนาอุปกรณ์ การพัฒนาแอปพลิเคชันบนอุปกรณ์พกพาที่ใช้ควบคุมอุปกรณ์ และการพัฒนาระบบ Cloud สำหรับใช้ประมวลผลหลังบ้าน รวมไปถึงมีการนำมาตรฐานอุตสาหกรรมต่างๆ มาใช้งานอีกด้วย

Racharla และ Naropanth ระบุว่า ปัญหาหลักของอุปกรณ์ Wearable ในปัจจุบันคือ โมเดล SDL ที่ใช้ไม่เหมาะสมต่อการพัฒนาอุปกรณ์ที่กำลังอยู่ในช่วงที่เทคโนโลยีถูกพัฒนาอย่างต่อเนื่อง และต้องการความรวดเร็วในการนำเสนอผลิตภัณฑ์ออกสู่ตลาด รวมไปถึงอุปกรณ์ Wearable ส่วนใหญ่มักพัฒนาโปรโตคอลสำหรับติดต่อสื่อสารขึ้นมาใช้เอง ไม่มีมาตรฐานที่ได้รับการยอมรับจากอุตสาหกรรม นอกจากนี้งานวิจัยด้านความมั่นคงปลอดภัยบนอุปกรณ์ IoT ก็ยังไม่ถูกค้นคว้ามากนัก

อุปกรณ์ Wearable ยุคใหม่เริ่มมีการเก็บข้อมูลส่วนบุคคลมากขึ้น ไม่ว่าจะเป็นข้อมูลตำแหน่ง ข้อมูลไบโอเมทริกซ์ ข้อมูลจากเซ็นเซอร์ รวมไปถึงข้อมูลการชำระเงิน ส่งผลให้ปัญหาใหญ่ที่ตามมาคือ ปัญหาความเป็นส่วนบุคคล เนื่องจากอุปกรณ์ส่วนใหญ่ยังไม่มีการเข้ารหัสข้อมูลใดๆ

เพื่อให้อุปกรณ์ Wearable ยุคหลังจากนี้ถูกออกแบบและพัฒนาอย่างมั่นคงปลอดภัย นักวิจัยทั้งสองคนจึงได้นำเสนอโมเดล SPDL ซึ่งจะมีการสอดแทรกความมั่นคงปลอดภัยและความเป็นส่วนบุคคลเข้าไปในทุกขั้นตอน รวมไปถึงมีการนำมาตรฐานอุตสาหกรรมต่างๆ มาใช้งาน และเน้นความคล่องตัวเป็นหลัก เช่น

  • มีการทำ Threat Modeling และเก็บข้อมูลความต้องการด้าน Privacy ตั้งแต่การออกแบบ
  • มีการทำ Security Code Reviews และ Privacy Test Cases ในเวอร์ชันอัลฟา
  • ทดสอบการทำ Pen Test ในเวอร์ชันเบต้า
  • มีการทำ Incident Response และการปฏิบัติตามข้อกฏหมายเมื่อเปิดใช้งานจริง

คุณสมบัติของอุปกรณ์สวมใส่: Service Layer Security, Protocol Security, Secure Erase, Signed Libraries, Key Management, Secure Boot, Secure FOTA, TEE, Data at Rest Encryption, Secure Debug, Port Access Restrictions & Lockdown และ Secure Storage

คุณสมบัติของแอปพลิเคชันบนอุปกรณ์พกพา: Multi-app & Multi-device Communication, Secure Storage, 3rd Party SDK Security, HW backed Keystore/Keychain, Privacy, App Store Scanning และ Secure Implementation

คุณสมบัติของ Cloud: Secure Storage, Privacy, Security DevOps, Secure Key Management and Provisioning, User & Roles Management, Micro-services Security, Infrastructure Hardening & Secure Configuration และ Web Portal Security

นอกจากนี้ ทีมนักวิจัยยังเน้นย้ำให้หลีกเลี่ยงการเก็บข้อมูลบน Public Storage เนื่องจากมีความเสี่ยงที่จะถูกแก้ไขหรือเปลี่ยนแปลงได้ง่าย รวมไปถึงมีการเข้ารหัสข้อมูลและแยกกุญแจที่ใช้เข้ารหัสเป็นของใครของมันเพื่อป้องกันการโจมตีแบบ BORE ที่สำคัญคือต้องปฏิบัติตามคำแนะนำของหน่วยงานกำกับดูแลที่เกี่ยวข้อง กฏหมายด้านความเป็นส่วนบุคคลและความมั่นคงปลอดภัย


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เตือนผู้ใช้ VLC เล่นไฟล์วิดีโอแปลกปลอมเสี่ยงถูกแฮ็กได้

Symeon Paraschoudis นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ออกมาแจ้งเตือนถึงช่องโหว่บน VLC แอปพลิเคชันสำหรับเล่นวิดีโอยอดนิยม ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมระบบคอมพิวเตอร์จากระยะไกล ถ้าผู้ใช้เผลอเล่นไฟล์วิดีโออะไรก็ไม่รู้ที่ดาวน์โหลดมาจากอินเทอร์เน็ต

UiPath ขอเชิญร่วม Meeting ในหัวข้อ Discovering the process for Automation 3 ก.ค. 2019

UiPath ขอเชิญผู้ที่สนใจเทคโนโลยี Robotic Process Automation (RPA) ทุกท่าน เข้าร่วมงาน Meeting ฟรี Discovering the process for Automation เพื่อเรียนรู้ว่าปัจจุบันนี้กระบวนการใดบ้างที่นิยมแปลงให้เป็นอัตโนมัติด้วย RPA ในวันที่ 3 ก.ค. 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานฟรีดังนี้