我們提供本研討會主講者同意授權的演講檔案,歡迎參與來賓下載。
如果遇到檔案無法下載,請檢查您的電腦是否有以下狀況,而造成下載問題:
回顧2016、2017年期間,稱得上是資安的多事之秋,就算缺乏IT背景的一般普羅大眾,可能都對喧騰一時的ATM盜領、證券商集體遭DDoS(分散式阻斷服務)攻擊勒索,及WannaCry勒索蠕蟲等等事件朗朗上口。相形之下,2018年至今已過大半,表面看來,除了歐盟GDPR、台灣資通安全管理法等新的法遵議題外,似乎未出現令一般人高度關注的焦點事件,也許有人因而認為,專家們苦口婆心提醒注意的資安問題,其實不像預期般嚴重。
持平而論,對政府或企業等組織而言,與駭客的對抗是一場無休止的戰爭,不管檯面上的漣漪是大或小,可以肯定的是,檯面下必定暗潮洶湧,駭客會默默觀察人們的應用情境變化,
一個發生在2016年的慘痛案例。俄羅斯駭客以偽裝銀行、情色或電子商務等App的方式,夾帶Cron木馬程式,感染逾百萬台Android行動裝置,利用幾家金融公司提供的小額轉帳服務漏洞(允許用戶以簡訊執行轉帳),神不知鬼不覺將用戶的錢轉到駭客的帳戶,共計盜取約新台幣2,700萬元。
綜觀前例,著實令人心驚膽戰,尤其隨著行動支付日趨普及,使用網銀App的人數持續攀升,倘若肇因App安全漏洞遭致駭客有機可乘,以「山寨版」App誘使不知情使用者下載,無論發生個資外洩或財產損失等結果,對於受害者、服務提供者乃至整個社會,無疑都是不可承受之重。
為此經濟部工業局於
隨著數位轉型浪潮席捲、物聯網(IoT)與人工智慧(AI)時代來臨,不論大中小型企業的資訊應用架構,皆與從前不同,逐漸變成混合環境,其中可能包含公有雲服務,亦可能銜接供應商、委外廠商或客戶的網路,彼此進行服務分享;這些變化,將導致企業難以全盤掌握資安,哪怕自身資安防禦工事做得再好,也可能因為供應鏈夥伴的資安水平不足,以致出現破口,導致大家一同遭殃。
台灣大哥大商務服務企業整合業務暨服務處經理徐德怡認為,由於情勢變化快速,企業若繼續走傳統套路,自行編列預算建置與維護一堆資安防護設備,恐不易跟上威脅的演進速度,無法應付接踵而來的資安挑戰。
為此台灣大哥大
眾所皆知,近年兩岸之間的人才流動與挖角時有所聞,連帶使「內部人員威脅」(Insider Threat)成為許多高科技公司的惡夢,只因一旦有內賊攜帶製程配方、設備參數、機器人程式、營業秘密...等等有價資料,帶搶投靠敵營,勢將衝擊經營命脈,甚至釀成重大損失,後果不堪設想,因而促使不少公司開始重視源碼(Source Code)或是研發資料的安全保護。
精品科技資安顧問陳伯榆指出,談及高科技企業的源碼保護議題,版本控制伺服器(如:SVN)往往是不容忽略的一環,常見的情境是,當研發工程師產出研發成果,便透過Commit或Pull等方式傳遞至SVN,再經由SVN執行Diff比對程序
資安議題並非現在才誕生,從過去到現今,已歷經多次演進。期初包括防毒、防火牆、Web、E-mail等等閘道端防護,都側重單點思維,一種設備代表一種防禦功能;後來隨著惡意攻擊手法精進,輔以物聯網(IoT)興起而致連網裝置激增、駭客切入點變多,僅憑單點防禦不夠用,致使協同式防禦概念抬頭,透過不同類型閘道設備互通資訊,再搭配雲端、端點等防護機制形成聯合防禦網。
華電聯網資通產品及資安服務處副總經理鄭炤仁表示,前述單點式防禦、協同式防禦,可依序歸類為資安演進史的第一、第二階段,大多數企業仍落在第一階段,近年開始有愈來愈多企業意識到縱深防禦的重要,逐漸啟用SOC監控服務。
儘管談到資安,早在過去隨個人電腦、網際網路的普及,便已應運而生,絕不算是新議題,但展望今後的數位科技應用時代,多數IT人公認的最大挑戰仍在於資安;為何隨著時間演進、資安產品推陳出新,資安威脅卻變本加厲?主要癥結是,攻擊活動的能見度愈來愈低。
奧義智慧科技共同創辦人叢培侃解釋,新型態資安威脅,甚至已不帶有任何實體病毒,而是循著正常管道、正常流程,輕鬆避開傳統偵測機制,潛入受害企業內部、先搶佔灘頭堡,再利用作業系統內建功能,在不同電腦間橫向移動,逐步探索並竊據機敏資料,然後把戰利品予以打包,以加密方式上傳至外部雲端儲存裝置。
換言之,若像過去一樣,僅偵測
時至今日,企業上雲的趨勢已然明朗,甚至被喻為落實數位轉型的絕佳途徑,惟不可否認,目前仍有一定比例的企業遲未邁開雲端腳步,依舊固守就地部署(On-premise)模式,究其主因,在於無法戰勝對於資安的恐懼與質疑,生怕若在缺乏完善管控下驟然上雲,唯恐徒增未授權存取、竊取帳號及惡意內部行為等等機率,導致資料外洩。
換言之,不管論及微軟的Office 365、Google的G Suite抑或Salesforce等雲端服務基礎上,若有機會附加有效的安全防護,從而大幅降低資料外洩疑慮,無疑是至關重大的催化劑,足以加速企業導入雲端服務的進程;而源起於2010年的日商HDE One雲端安
回顧過去幾年,一些重視資安的人士,普遍對雲端服務存疑,總認為在自家建置防護系統,會來得相對安全;綜觀多數企業的自建情況,說好聽是「縱深防禦」,說難聽是「疊床架屋」,但更大的盲點是,購進一套防護,往往習慣用到壞為止,此等做法恐難有效應付日新月異的威脅;現今,企業上雲已蔚為大勢所趨,多數企業逐漸體認到與其自建拼裝式防禦架構,不如直接引用安全可信的雲端服務,惟如何選擇適當標的,依然是一大課題。
網擎資訊(Openfind)雲端服務副總經理張嘉淵指出,該公司深耕雲端郵件服務已長達20年,對於箇中的防護要領,早有深刻認知;他認為資安防護必須涵蓋兩大面向,一是「安內」,意在滿足稽核、
隨著近年資安事件層出不窮,讓多數企業戒慎恐懼,紛紛強化資安投資;而涵蓋防火牆、入侵防禦、應用程式管控、Anti-Bot等多重機能的次世代防火牆(NGFW),便是企業佈局的重心。以Check Point觀點來看,NGFW可定義為第三代防護,仍奠基於特徵碼分析,擅長防禦已知攻擊,但若遭遇APT、勒索病毒等未知威脅,恐力有未逮;因此企業的防護思維亟需向前推進。
Check Point台灣區總經理劉基章指出,為了因應未知攻擊,資安業界早已推出沙箱技術,不再倚賴特徵碼過濾、而取決於Payload分析,此可歸類為第四代防護,目前導入該技術的企業比重約有一成;儘管第四代防護仍待推廣,但
從事資安管理的工作者,肩負的擔子一天比一天重,一方面得應付外來的惡意攻擊,尤其近年肆虐的APT(進階持續性滲透攻擊)、DDoS(阻斷服務攻擊)、BEC(變臉詐騙)、勒索病毒乃至挖礦病毒,個個都不是吃素的,已經夠難防了,另一方面還得嚴防內賊盜取機敏資料,可謂腹背受敵。
與此同時,史上最嚴的歐盟個資保護令GDPR上路,使企業面臨沈重的合規壓力,身為資安管理團隊的一份子,當然無法置身事外。但令人啼笑皆非的,原意甚佳的GDPR,竟淪為助長勒索攻擊的題材,國外曾出現駭客揚言不付贖金、就公佈個資之例,企業資安形勢之嚴峻可見一斑。
當務之急,企業必須學會如何明哲保
清華大學資訊工程學系教授孫宏民表示,因有利可圖,近年愈來愈多駭客瞄準行動網銀、行動支付或虛擬貨幣交易所展開攻擊,猶如一群具專業知識的高端銀行搶匪。
深究駭客之所以屢屢得手,癥結在於App存在漏洞所致。例如2010年,韓國農協銀行網銀App遭駭事件,起因於歹徒透過第三方程式網站提供惡意更新程式供人下載,而此程式係利用Android的Master Key漏洞,在App內插入惡意檔案,成功將之「木馬化」。
孫宏民指出,綜觀駭客慣用的攻擊模式,多是經由反組譯、分析程式碼、插入惡意碼、重新打包等4個步驟,從而導致用戶個資外洩,甚至造成嚴重的財產損失。惟要想防制
台灣大哥大企業用戶事業群經理孫嘉瑜指出,隨資安威脅複雜化,單憑企業自行採買設備做防禦,難免力有未逮;此時電信業者可助一臂之力,從用戶端、線路端、雲端三管齊下,提供資安系統整合、資安營運管理/資安檢測暨顧問、雲端資安等完整服務,形成多層次防禦體系,使企業快速無痛導入全方位防護能量。
台灣大哥大的「資安戰警」,即是基於前述脈絡所誕生,蘊含諸多亮點服務。首先是電信級多層次DDoS防禦,一來於骨幹建立如自來水廠的大量清洗設備,二來幫助企業代建代管如家用淨水器的常駐型偵測清洗設備,聯手抵禦L3~7各式流量、資源耗盡及應用層攻擊。其次為APT防禦,將Sensor佈建於骨幹端或用戶端,
精品科技資安顧問陳伯榆表示,員工利用未經批准的裝置、軟體或雲端服務,執行所需資料交換,儘管便利,但因繞過企業安全機制形成Shadow IT,導致企業研發管控出現破口,後果著實嚴重;欲收到好的防守效果,須先釐清IT組成結構,從細部展開精準防禦。
陳伯榆說,企業常利用SVN/Git管理研發流程,以SVN而論,工程師習慣透過Commit/Pull從SVN Server下載或上傳檔案,SVN系統則藉由Diff比對源碼;企業常見的困擾是,若採用DRM對檔案加密,就無法正常進行Diff。為此精品科技訴諸SVS安全碟,在源碼保護、Commit/Pull/Diff作業之間達到平衡,確保任
華電聯網資深協理楊仁吉強調,隨智聯網時代來臨,資安問題實已超越IT(MIS)層次,成為「商務風險」,使企業全面遭受營收、競爭力、商譽等重大損失。但欲善盡防護,無疑充滿莫大挑戰,只因大量佈建的IoT設備,不僅造成入侵點增加、防禦邊界擴大,亦因軟韌體更新與管理不易,及現有資安設備間互不合作,恐讓企業缺乏能見度,無法妥善安排防禦優先順序。
著眼於IoT設備弱點威脅升高,華電聯網資安顧問李民偉認為,企業防護思維須儘速進化,不宜停留在過去架設多設備、撰寫多規範,卻疏於檢視落實與否的「佛系防禦」,宜先定義自身重要資產,徹底了解關鍵資產與服務的背景,才有能力據此建立監控機制,隨時能夠精
Check Point台灣區技術總監傅國書表示,根據2018年世界經濟論壇全球風險報告,資安威脅與氣候變遷、非預期性天災,並列為三大禍害之一。何以資安威脅的殺傷力持續攀升?起因於現已進入第五代攻擊世代,具有大規模、國家級別的威脅、巨大災害等特性,更麻煩的是,帶有不斷演進的攻擊手法,及橫跨實體網路、端點設備、雲服務、行動裝置等多重突破口。
傅國書提醒,雲端資安其實蘊含分權概念,服務供應商僅負責構築雲端架構的安全,充其量僅至L2/3層次,至於架設於雲上的伺服器、作業系統、應用程式及資料庫,用戶須自負防衛之責;但畢竟雲端與實體結構大相逕庭,舉凡Routing、vLAN等諸多環節
網擎資訊(Openfind)雲端企劃處協理張世鋒認為,欲善盡郵件防護,有效遏止網路詐騙、個資外洩或帳號盜用等資安威脅,企業既要做好「攘外」、亦須兼顧「安內」,也就是落實專家倡議的郵件安全縱深防禦;殊不知縱深防禦帶有「來一個、擋一個」意涵,導致企業須佈建不同防護系統,不僅徒增支出、也讓整體架構趨向疊床架屋。企業能否妥善掌控眾多複雜環節,確保每套系統及時更新,恆常保持最佳防護狀態?著實充滿挑戰。
相形之下,雲端防護服務無疑是協助企業克服挑戰的理想途徑。以網擎的MailCloud而論,不僅提供MailCloud雲端信箱服務,也支援On-Premises郵件主機、甚或其他雲端郵件
HDE大中華區海外事業開發經理中込剛指出,回顧2010年他擔任HDE IT主管,當時有40%工時投注在系統維護,僅10%時間可開發新產品;如今HDE蛻變為純雲端公司,無任何伺服器或資料中心,完全透過G Suite、Office 365、Zendesk、AWS、Salesforce與Slack等雲端服務來滿足作業需求,以致現今IT主管僅需花費10%時間維護系統,有50%時間可投入新產品開發,使公司生產力大幅躍升。
中込剛說,已有愈來愈多公司抱持與HDE相同想法,因此據國外專業機構預估,2020年全球將有73%機構使用SaaS營運。以HDE自身為例
Palo Alto Networks技術顧問藍博彥表示,幾年前業界提倡零信任觀念,意在實現絕對性資安,但要做到100分水準,背後須投入高昂代價,對多數企業未必是可行方案;因此該公司主張企業應善用自動化的防禦技術、輔以即時快速的情資交換,讓有限人力資源可被運用到極致,以最小代價邁向資安零容忍境界。
Palo Alto向來致力打造先進安全平台,並結合開放式應用框架、構築全新安全生態系,使其Wildfire躍居全球最大的進階威脅防禦情報雲,得以藉助即時有效的情資,幫助企業快速預測風險,滿足閘道、終端、私有雲、IaaS、SaaS與PaaS等所有應用場景的精準防禦需求,阻斷未知威脅
奧義智慧科技共同創辦人叢培侃點出,今日企業面臨的資安挑戰,正是「看不見駭客」!駭客懂得以合法掩護非法,利用防毒軟體、資產管理軟體、AD或VPN作為入侵點,盜取資料後再加密打包輸送至公有雲,整個過程無聲無息;儘管駭客手段日益高明,但建議企業不宜把威脅視為負擔,理應視為機會。
機會從何而來?叢培侃解釋,企業須有所體認,一定會遭遇資料外洩,如何比別人更早發現,讓外洩少一點,某種程度上有助於建立營運競爭優勢,例如面對嚴格的GDPR,如能確實做到72小時內通報,便可望大幅降低罰款。
然而若藉由資安產品買好買齊來建立威脅感知能力,代價太高,故企業應從循跡角度切入