iThome專訪: 結合國際視野與戰略思維,將資安能量推向至高境界
根據世界經濟論壇(WEF)的2018全球風險報告顯示,若依發生機率高低排序,「網路攻擊」為第三大風險,僅次於極端氣候事件、天然災害。究其主因,在於網路攻擊從以往的事故(Incident)變成常態,衍生的財務衝擊持續增加所致;另值得一提,包括關鍵基礎設施或策略產業,都逐漸淪為網路攻擊標的,恐癱瘓社會運作機制,釀成嚴重災情。
由此看來,資安已是不分國界、世人皆應共同面對的嚴峻議題,為此果核數位在日前舉辦一場以「國際資安威脅與戰略攻防要素」為主題的資安社群論壇,意在從國際視野來解讀資安威脅趨勢,同時分享政府的資安推動策略、資安事件案例,期望引領有志投入資安發展的青年學子,得以拉升戰略高度,擅於綜覽不同構面做全盤考量,制定最完善的網路安全戰略。果核數位在總經理丁瑋明主導下,近年來積極推動資安社群論壇活動,希冀藉由資安相關實務經驗與技術的傳承,幫助青年學子充實資安知識與技能,從理論接軌實務,為臺灣培育更多資安人才。
洞察全球威脅趨勢,制定有效防護策略
行政院國家資通安全會報技術服務中心主任吳啟文,率先於論壇發表演說,闡述資安威脅趨勢及防護策略。他指出資安不宜無限上綱、必須從風險管理做起,要想做好防護,關鍵第一步便是洞察全球資安威脅趨勢,當前值得留意的趨勢有六項,分別是進階持續(APT)威脅攻擊竊取機密資料、分散式阻斷服務(DDoS)攻擊癱瘓網路運作、物聯網(IoT)設備資安弱點威脅升高、關鍵基礎設施(CII)資安風險倍増、網路與經濟罪犯影響電子商務與金融運作,及資安(訊)供應商持續遭駭破壞供應鏈安全。
受到前述國際風險的影響,也讓臺灣政府蒙受諸多資安威脅,除了有設備微型管理不易、模式翻新應變不易、社交工程防不勝防、認知不足警覺不夠、駐外機構管管理不易等痛點外,舉凡IoT資安風險與日遽增、技術更迭快速不易掌握資安威脅、資安自主能力待提升,及資安人才供不應求等,都一一成為棘手難題。
綜觀近3年政府機關資安事件,皆與網站設計不當、應用程式漏洞及弱密碼等三大因素息息相關。例如駭客組織ifactoryx曾攻擊34個政府機關網站、進行網頁換置,只因受害網站都採用相同網站管理系統,承襲舊版Fckeditor網頁編輯器帶來的漏洞,讓駭客有機可乘;政府機關設置於路口、公園及停車場等區域的網路攝影機,多因未設置密碼或使用預設密碼,以致遭植入惡意程式;某機關門禁控制系統未限制存取權限,且放置於對外網路,導致駭客利用於挖礦活動。
吳啟文表示,因應接踵而來的威脅,政府早在民國90年開始推動資安機制計畫與發展方案,至今邁入第五期,以「打造安全可信賴的數位國家」為願景,箇中蘊含完備資安基礎環境、建構國家資安聯防體系、推升資安產業自主能量、孕育優質資安人才等四大推動策略。為落實這些策略目標,政府不僅制定資通安全管理法,亦致力打造資安治理架構、執行網路攻防演練、落實資安稽核、構築國家資安聯防體系、加強國際資安合作交流。
決勝網路戰,不只靠技術、更要看戰略
中正大學戰國所助理教授林穎佑,嘗試從戰略面的思考來探究資安議題。他首先強調,法規面必須跟隨科技而與時側進,否則易出現矛盾空間,使駭客更有上下其手的機會。所謂資安作戰,乃是網域空間的競逐,儘管此空間看不見也摸不著,但可怕的是,由此衍生的作戰能力,已從虛擬走向實體,足以癱瘓核電廠、淨水場的運作,更有甚者還可透過假新聞操作,進一步影響群眾心理。
具體來說,以網域為主的資安戰略,明顯超越傳統,只因它具有超越地緣限制、具有完全匿名性、作戰的不對稱(以小搏大、以弱擊強)、攻擊易於防守等特性,連帶突顯兩個重點,其一是過去的法規不再適用,另一是落實資安不僅靠安全技術,還須帶入全新的安全管理概念。
談及攻擊類型,第一個值得關注的標的為「網路間諜」,是以政府國家利益為目標的情報戰,主要攻擊對象有政府機關、重要智庫或軍工產業;其次是「網路戰」,涵括竊取、騷擾、癱瘓到破壞等手段,最典型的事件即是發生於2013年的「黑色首爾」;再者是「網路犯罪」,背後動機正是「唯利是圖」,通常搭配黑色產業鏈的技術、社交工程等資源而發動攻擊,勒索加密軟體便是一例。
林穎佑重申,網路戰已邁入世代演進,除人們已熟知的騷擾(換置網頁)、竊取情報外,還加上了APT、癱瘓與「制腦權」(假新聞與假訊息的第五代戰爭),更令人防不勝防。因此一個完整的國家資安戰略,必須包含法規、組織與人才等構面,且須透過國防的角度看待資安,才不會將格局做小。
總括而論,面對現今全無地理空間限制、敵人完全匿蹤,又有黑色產業鏈撐腰的網路戰,人人皆應建立更完整的資安認知,唯有對於從頭到腳、從上到下、從虛到實到心理等等攻擊脈絡的通盤理解,才能制定出好的攻防策略,絕非建置幾套防禦工具便能克道全功。
若有興趣獲取資安論壇資訊,可加入果核粉絲團:
https://www.facebook.com/%E6%9E%9C%E6%A0%B8%E6%95%B8%E4%BD%8D-724591257628290/?ref=bookmarks