「資安101新手請進」講座帶來不藏私的心法,以實務經驗引領新手建立資安思維
工業技術研究院在 2020年9月24日到25日舉辦兩場「資安101新手請進」講座,以資安新手為訴求,讓參加者解基本而重要的資安觀念與做法。
工業技術研究院在 2020年9月24日到25日舉辦兩場「資安101新手請進」講座,以資安新手為訴求,由中華龍網與華電聯網兩家臺灣資安廠商的資安專家分享,讓參加者了解基本而重要的資安觀念與做法。除了公開講座,工研院也在9月23日到25日上午舉辦多場「資安問診室」活動,由資安專家與參加廠商代表一對一討論企業資安問題,有興趣的人可以閱讀實況報導文章。
工業技術研院舉辦這些資安活動,緣由是經濟部工業局的「新興資安產業生態系推動計畫」。該計畫有許多資安推動項目,想要了解更多,請到網站查詢。
▲ 「資安101新手請進」講座是為想要踏入資安領域的初學者所推出的系列講座。
兩場次的講座分別請到了國內知名資安廠商「中華龍網」的孫建興總經理與「華電聯網」的陳亮宏協理,為大家帶來「企業資安防護的起手式」與「從防疫作戰啟發企業資安思維 - 建立企業全境封鎖資安策略與務實作法」兩大主題。
資安新手必讀:企業資安防護的起手式
對於企業資安防護的新手來說,端點的安全防護毫無疑問是基本工,針對「企業資安防護的起手式」要做什麼?工研院邀請中華龍網的孫建興總經理為大家傳授其中的要點。
▲ 9月24日「資安 101新手請進」講座第一場的主講人-中華龍網孫建興總經理。
成立於 2003 年的中華龍網,擁有優秀的研發團隊與資安專家,也是國內少數擁有自主研發能力的廠商,目前也面向政府、企業提供資安方面的軟體與客製化研發服務,有著十多年的豐富經驗。
▲ 擔任活動引言人的 T客邦網站總編輯陳皓朋。
在講座一開始,孫總經理就為大家帶來了相當豐富的全球資安趨勢,相較於過去,全球平均駭侵存活期(Global Median Dwell Time)從近十年前的 416 天降至平均 56 天左右,但若是詳細分析可以發現到,有不少企業是等到資料已經發生外洩才從外部獲得資安威脅的回報;但在亞太地區,排除掉即時「發作」的勒索軟體,這個數字將會上升至 94 天,相較於全球平均水準更為堪慮。
▲ 中華龍網是國內資歷極深的資安解決方案公司,目前也提供了端點資安與物聯網資安兩大領域的解決方案。
而孫總也在講座中分享了近幾年不同產業所發生的知名資安威脅案例,包括國內的銓敘部在去年有超過 20 萬名中央及地方公務員的個資外洩,全球知名酒店集團萬豪旗下的「喜達屋」房務系統也在 2018 年遭駭客盜取近五億名顧客個資;另外在 2013 年全球知名入口網站 Yahoo 更爆發多達 30 億個用戶資料全部外洩的狀況,而平均每一年駭客盜取全球個資的數字也高達 4.5 億筆。
▲ 在講座一開始,孫總經理就為大家分享了近幾年在不同產業中發生的著名資安威脅案例,除了各類型的企業,政府也同樣無法倖免於駭客的攻擊。
除了網站,孫總也舉出了多個以 IoT 物聯網裝置為目標的資安威脅案例,包括中國掃地機器人品牌 Diqee 360、平價智慧家庭品牌 Wyze 的伺服器都因安全漏洞而造成客戶個資外洩,甚至可以將裝置用於 DDoS 攻擊或是挖礦;另外近幾年十分風行的智慧喇叭,也有受到駭客入侵而竊取資訊的案例。
▲ 除了網站、伺服器與應用程式有可能受到資安威脅,隨著物聯網設備的普及,也有許多發生在資安防護不夠力的智慧聯網產品上的資安威脅案例。
此外,近一兩年受到不少駕駛人關注的「自動駕駛系統」,也成為駭客下手的目標,一間以色列大學的研究員就分享了他的研究報告,證實電動車品牌特斯拉的 Autopilot 輔助駕駛系統的視覺分析功能,可以被投影畫面所打造的「幻影」成功騙過,讓輔助駕駛中的車輛偏移車道或是變動行車速度,也證明並非只有透過軟體駭入的方式才能破解現有車聯網系統的運作。
▲ 被認為是自動駕駛系統發展最為先進的特斯拉,其實也被投影機所打造的「幻影攻擊」成功騙過,發生預期之外的駕駛反應。
對於所有使用網站的用戶來說,設定帳號的密碼不是一件陌生的事情,但可能時至今日,你還不清楚最安全的密碼應該要怎麼設定,尤其對於許多只想便宜行事的使用者來說更是如此-根據網路安全公司統計,時至 2019 年,全球仍有多達 2300 萬用戶使用像「123456」這樣簡單的序列數字作為密碼,為了避免成為駭客攻擊輕易獲取資訊的受害者,FBI 資安專家建議使用字母數至少 15 個字的密碼,並符合「不含使用者帳戶全名」、「有英文大寫字母」、「有英文小寫字母」、「有數字」和「混合特殊符號」,這樣的原則來組合出較為安全的密碼。
▲ 在講座中孫總理提到,美國 FBI 建議的安全密碼原則。
而今年的疫情也成為資安攻擊的隱患,除了以防疫、疫情資訊為切入點的垃圾訊息舖天蓋地在網路上散佈,Google 也分析得知全球至少有 12 個國家級駭客組織正利用疫情展開攻擊;此外,原本就肆虐多年的「勒索病毒」在今年再次捲土重來,包括國內兩大石化企業都成為勒索軟體攻擊下的受害者。
▲ 低調且緩慢的 APT 攻擊與勒索病毒,是近幾年網路常見的主流威脅,而這類攻擊的「突破口」通常在於使用者本身較低落的資安意識,而非系統本身的漏洞。
▲ 在今年 Covid-19 新冠病毒疫情期間,光是第一季就有多達 90.7 萬則與疫情相關的垃圾訊息在網路上傳遞,也有多達 737 個惡意病毒刻意透過新冠病毒資訊來傳播,而這樣的傳播規模每一季都以百倍以上的速度成長。
▲ 在講座中孫總經理也介紹到中華龍網 CPE 掃描管理平台的運作模式。
針對資安攻擊的來源與手法更為多元化,中華龍網也提出了「基本功」與「AI 聯防」共同整合的端點安全防護解決方案,並提供完全中文化的弱點掃描軟體,來協助企業找出系統服務潛藏的漏洞,以及安全狀況的分析診斷功能,並可以做到每週為頻率的檢測調查效率;此外,針對資通訊終端設備的一致性安全組態設定,也需要透過 GCB 政府組態基準稽核軟體來進行定期的稽核,中華龍網同樣提供了能快速掌握所有系統狀態的 GCB 稽核版儀表板,更快速地提供網內端點的合規狀態。
▲ 中華龍網的端點安全防護結合了資安防護的基本功與「AI 聯防」技術,相互串聯之下更能提升企業資安防護的整體性。
▲ 中華龍網也提供 GCB 稽核版議表板,提供企業一個快速全覽系統合規狀態的資訊索引功能。
除了基本的端點防護技術,孫總經理也提到,新一代的端點防護機制將會是「AI 導向」的應變措施,未來相關的防護軟體將不偵測檔案,而是針對駭客入侵時的行為來分析鑑定,在偵測到異常行為時,可以藉由 AI 鑑識資安專家感知通報,並自動產製事件調查報告,相較於過去需要花費一個月才能產出的調查報告,透過 AI 技術進行「全面端點鑑識」、「AI 關聯分析」、「自動案情調查」與「快速鑑識報告」的流程可加速至只需要一個小時即可完成。
▲ 相較於過去只仰賴病毒碼、黑名單與防火牆機制來識別惡意活動,新一代的資安防護將透過資安專家所累積的攻擊活動識別知識,並透過 AI 高效率的學習能力與運算速度,打造可以大規模自動鑑識案情與根因分析的主動調查機制。
此外,針對物聯網的資安解決方案,中華龍網也提出可以透過 AI 威脅分析平台與 DS Security 情資中心的配合,將來自於 IT 基礎設備與 IoT 物聯網設備的相關資料整合「網路威脅狩獵者 X-Hunter」作為情資牆的方式,在防火牆後做為第二層的防護,若有資安疑慮,會即時警示資安人員,以達到滴水不漏的地步。
▲ 透過 AI 加持,過去需要長達一個月才能產生報告的端點鑑識工具,現在只需要一個小時即可完成。
▲ 講座結束後的 QA 時間,也有不少參與講座的朋友主動向孫總經理請益。
從防疫作戰啟發企業資安思維 - 建立企業全境封鎖資安策略與務實作法
對於全球企業來說,今年無預期爆發的 Covid-19 新冠肺炎疫情可說是最大的挑戰,因應防疫所進行的各項措施雖然為企業帶來許多營運成本,但卻也是不可忽視的重要投資。而「資安 101 新手請進」的第二場講座分享者-華電聯網產品及資安處工控物聯網部協理陳亮宏,也以今年的防疫作戰作為切入點,為大家帶來「建立企業全境封鎖資安策略與務實作法」這樣的課題。
陳協理以台灣早期發現新冠肺炎疫情的網路情資,使得政府能夠早一步得知疫情可能的發展趨勢,進而提前採取相關防疫措施為例,類比資安防護時「及早掌握情資」的重要性,同時也為大家整理資通安全情資的七大類型,並詳細定義情資內容。也因為早期情資的來源多元,在獲取情資的同時也需要重視「正確判讀」的原則,不同來源的漏洞資訊與威脅情資,都需要詳細分析,也因為各類型的威脅都是人為製造,因此對於資安防護人員來說,無法用一成不變的「公式」來因應,並謹守「落實事實查核」,不輕易相信單一情資來源。
▲ 華電聯網產品及資安處工控物聯網部協理陳亮宏以今年的熱門話題「防疫作戰」為切入點,為大家帶來企業資安實務策略的分享。
▲ 打造完善資安防護的第一步,在於相關情資的蒐集,陳協理也為大家整理了七大類型的情資定義內容。
▲ 今年疫情政府主打的「超前部署」同樣可以應用在資安防護領域。
▲ 落實事實查核會是資安防護的重點,而今年的疫情 WHO 的反應與對於疫情的研判影響甚鉅,可說是血淋淋的負面教材。
在掌握情資之後,接下來更需要進一步的主動防禦動作,陳協理也點出了資安防護思維的四個階段:確認防禦邊界、識別弱點與風險、識別潛在風險與整合計劃、執行、檢視與重複的積極防禦任務。而所謂的「資安意識」,對於資安防護而言即為「零信任」,在網路邊界愈來愈模糊的趨勢下,以「最低限度授權」-也就是「永遠只提供最低限度的必要授權」為原則,來避免潛在風險的危害。
▲ 除了情資掌握,對於資安防護而言,更能進一步區分為四個主動防禦的策略。
▲ 在資安領域中,「敵人」來自於四面八方,也因此對於資安人員來說,對於各種管道而來的資訊採取「零信任」的態度,才是明哲保身的重要法則。
▲ 陳協理也將「防疫」與「防駭」的相關措施進行對比,可以發現到其中的異曲同工。
在企業內的資安管理方面,陳協理同樣以疫情期間政府所推廣的「保持良好衛生習慣」為例,建議企業可以由「法規面」來著手推動企業內部的「資安衛生習慣(Cyber Hygiene)」,以透過法令變成內部控制的一環推動包含針對帳號的管理、定期安裝修補程式、安全標準、網路邊界防禦以及惡意軟體防護與多因子認證,而不是僅以資安管理看待。
▲ IEC 62443 與 ISO 27001 都是目前國際最具代表性的工業控制與自動化系統安全標準。
▲ NIST 網路安全框架已經是包括英國、美國政府與一般企業普遍採用的標準,而華電聯網也參考這樣的架構打造出主動式跨 IT / OT 的資安服務框架。
目前華電聯網也透過參考國際資安標準為基礎,打造出結合偵測、識別、回應與防護一體的「全面主動式防禦」系統,且服務範圍可跨 IT 與 OT 部署,同時也能整合全方位資訊安全的專業顧問諮詢服務,透過企業營運現況的分析來擬定管理階層策略與專案範圍與目標,並以資訊資安治理、風險、實務三大面向來進行現況綜合評估,作為資訊資安治理策略的整理規劃,並擬定後續的資安流程、解決方案建置與維運,同時建立資安稽核與改善計劃,並到持續性的資安議題追蹤管理。
這兩場資安講座活動獲得現場聽眾熱烈回響,有人詢問有什麼管道可以了解更多資安資訊或取得相關資源。這兩場講座都來自經濟部工業局的「新興資安產業生態系推動計畫」,並由工業技術研究院負責執行。該計畫有許多資安推動項目,在網站中有許多資訊,例如技術文章、新創與國際交流,有興趣的人可以到網站查詢。