[BHAsia 2018] นักวิจัยเสนอโมเดล SDL แบบใหม่สำหรับอุปกรณ์ Wearable เน้น Security และ Privacy

ภายในงานประชุม Black Hat Asia 2018 Kavya Racharla นักวิจัยด้านความมั่นคงปลอดภัยอาวุโสจาก Intel และ Sumanth Naropanth ผู้ก่อตั้ง Deep Armor ได้นำเสนอโมเดล Software Development Lifecycle (SDL) แบบใหม่สำหรับอุปกรณ์ Wearable ยุคใหม่ โดยเน้นด้านความมั่นคงปลอดภัยและความเป็นส่วนบุคคลเป็นหลัก

โมเดล SDL ดังกล่าวมีชื่อว่า Security and Privacy Development Lifecycle (SPDL) เป็นโมเดลการพัฒนาซอฟต์แวร์อย่างมั่นคงปลอดภัยโดยเน้นที่ความคล่องตัวเป็นหลัก ครอบคลุมทั้งส่วนการพัฒนาอุปกรณ์ การพัฒนาแอปพลิเคชันบนอุปกรณ์พกพาที่ใช้ควบคุมอุปกรณ์ และการพัฒนาระบบ Cloud สำหรับใช้ประมวลผลหลังบ้าน รวมไปถึงมีการนำมาตรฐานอุตสาหกรรมต่างๆ มาใช้งานอีกด้วย

Racharla และ Naropanth ระบุว่า ปัญหาหลักของอุปกรณ์ Wearable ในปัจจุบันคือ โมเดล SDL ที่ใช้ไม่เหมาะสมต่อการพัฒนาอุปกรณ์ที่กำลังอยู่ในช่วงที่เทคโนโลยีถูกพัฒนาอย่างต่อเนื่อง และต้องการความรวดเร็วในการนำเสนอผลิตภัณฑ์ออกสู่ตลาด รวมไปถึงอุปกรณ์ Wearable ส่วนใหญ่มักพัฒนาโปรโตคอลสำหรับติดต่อสื่อสารขึ้นมาใช้เอง ไม่มีมาตรฐานที่ได้รับการยอมรับจากอุตสาหกรรม นอกจากนี้งานวิจัยด้านความมั่นคงปลอดภัยบนอุปกรณ์ IoT ก็ยังไม่ถูกค้นคว้ามากนัก

อุปกรณ์ Wearable ยุคใหม่เริ่มมีการเก็บข้อมูลส่วนบุคคลมากขึ้น ไม่ว่าจะเป็นข้อมูลตำแหน่ง ข้อมูลไบโอเมทริกซ์ ข้อมูลจากเซ็นเซอร์ รวมไปถึงข้อมูลการชำระเงิน ส่งผลให้ปัญหาใหญ่ที่ตามมาคือ ปัญหาความเป็นส่วนบุคคล เนื่องจากอุปกรณ์ส่วนใหญ่ยังไม่มีการเข้ารหัสข้อมูลใดๆ

เพื่อให้อุปกรณ์ Wearable ยุคหลังจากนี้ถูกออกแบบและพัฒนาอย่างมั่นคงปลอดภัย นักวิจัยทั้งสองคนจึงได้นำเสนอโมเดล SPDL ซึ่งจะมีการสอดแทรกความมั่นคงปลอดภัยและความเป็นส่วนบุคคลเข้าไปในทุกขั้นตอน รวมไปถึงมีการนำมาตรฐานอุตสาหกรรมต่างๆ มาใช้งาน และเน้นความคล่องตัวเป็นหลัก เช่น

  • มีการทำ Threat Modeling และเก็บข้อมูลความต้องการด้าน Privacy ตั้งแต่การออกแบบ
  • มีการทำ Security Code Reviews และ Privacy Test Cases ในเวอร์ชันอัลฟา
  • ทดสอบการทำ Pen Test ในเวอร์ชันเบต้า
  • มีการทำ Incident Response และการปฏิบัติตามข้อกฏหมายเมื่อเปิดใช้งานจริง

คุณสมบัติของอุปกรณ์สวมใส่: Service Layer Security, Protocol Security, Secure Erase, Signed Libraries, Key Management, Secure Boot, Secure FOTA, TEE, Data at Rest Encryption, Secure Debug, Port Access Restrictions & Lockdown และ Secure Storage

คุณสมบัติของแอปพลิเคชันบนอุปกรณ์พกพา: Multi-app & Multi-device Communication, Secure Storage, 3rd Party SDK Security, HW backed Keystore/Keychain, Privacy, App Store Scanning และ Secure Implementation

คุณสมบัติของ Cloud: Secure Storage, Privacy, Security DevOps, Secure Key Management and Provisioning, User & Roles Management, Micro-services Security, Infrastructure Hardening & Secure Configuration และ Web Portal Security

นอกจากนี้ ทีมนักวิจัยยังเน้นย้ำให้หลีกเลี่ยงการเก็บข้อมูลบน Public Storage เนื่องจากมีความเสี่ยงที่จะถูกแก้ไขหรือเปลี่ยนแปลงได้ง่าย รวมไปถึงมีการเข้ารหัสข้อมูลและแยกกุญแจที่ใช้เข้ารหัสเป็นของใครของมันเพื่อป้องกันการโจมตีแบบ BORE ที่สำคัญคือต้องปฏิบัติตามคำแนะนำของหน่วยงานกำกับดูแลที่เกี่ยวข้อง กฏหมายด้านความเป็นส่วนบุคคลและความมั่นคงปลอดภัย



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เตือนช่องโหว่ Wavethrough บนเบราว์เซอร์ เสี่ยงถูกขโมยข้อมูลความลับ

Jake Archibald นักวิจัยและนักพัฒนาจาก Google ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงสูงบนเว็บเบราว์เซอร์สมัยใหม่อย่าง Microsoft Edge และ Mozilla Firefox ซึ่งช่วยให้เว็บไซต์ที่ผู้ใช้เข้าถึงสามารถขโมยข้อมูลจากเว็บไซต์อื่นๆ เช่น ข้อมูลล็อกอิน ที่เปิดใช้บนเบราว์เซอร์เดียวกันได้

Cisco ออกแพตช์อุดช่องโหว่บน FXOS และ NX-OS รวม 24 รายการ

Cisco ผู้ให้บริการโซลูชันด้านเครือข่ายและ Data Center ชื่อดัง ออก Security Advisories สำหรับให้คำแนะนำการจัดการกับช่องโหว่บนซอฟต์แวร์ FXOS และ NX-OS รวม 24 รายการ …