卡巴斯基大中華區董事暨總經理鄭啟良：資安情報服務成為資安廠商爭鋒絕對關鍵

歐洲資安防毒頂尖標竿暨全球前三大廠商－俄羅斯卡巴斯基 (Kaspersky)，於去年下半年，在中國大陸 20 個城市，香港、台灣與東南亞各國，舉辦一系列關於網路安全的研討會，網路資訊雜誌特別近身採訪這來自台灣、據網路資安 20 年經歷的大中華區董事暨總經理鄭啟良先生，暢談卡巴斯基的技術優勢、策略佈局與市場現況。

過去三年卡巴斯基的轉變與切入的機會點

鄭啟良一開始指出，過去到防毒廠商趨勢 (Trend Micro) 做 Marketing 並直接對老闆娘報告，並在 2003～04 年派駐到大陸去。後來因緣際會加入卡巴斯基，他感覺是個很不一樣的公司。即便在當時卡巴斯基還是委交由代理商經營台灣市場、對台灣技術支援著墨不多的情況下，當時單機版（防毒軟體）利潤相當高，據 AC Nielson 的統計，2011～2012 年，尤其是在學術單位，卡巴斯基單機版銷售成績不錯，趨勢+賽門鐵克的業績等於卡巴斯基的業績。

後來中國免費 360 防毒軟體出來後，全球單機版市場大受影響。卡巴斯基決定改變策略，把從俄羅斯所開發，比較高端、安全技術導入中國大陸。他坦承以前卡巴斯基過去眼中，台灣還是屬於比較早期中小企業居多的單機版市場，對台灣沒有接觸、耕耘，他決定從 2016 年下半年，陸續將一些複雜技術解決方案，如威脅攻擊、情報分析等跟政府資安/治安單位洽商的技術帶到台灣。

鄭啟良強調，身為歐洲最大、最強的網路安全公司，跟美國知名的賽門鐵克、亞洲趨勢科技並列為全球前三大，卡巴斯基的技術不只在單機，更強的是在企業這一塊。全球許多複雜的針對性的持續性攻擊 (APT) 手法，大多是由卡巴斯基所揭露、發掘出來的，也是防毒/資安產業界是被認為技術比較好的，

鄭啟良亦指出，過去卡巴斯基像是香港與新加坡市場都經營的還不錯，在台灣網路基礎建設成熟，會有很大的機會，故從 2016 年下半開始，開始加強訊息的發送與 PR，並有專人負責台灣的媒體公關。卡巴斯基看到的機會點，尤其是大企業與政府這一塊，對資訊安全不僅是簡單的訊息安全、病毒或木馬，現在攻擊威脅更主要是針對性攻擊 (APT)。台灣一直被列為 APT 打擊的地區，可是現況是台灣仍在用幾年前不合時宜的抵禦手法，被駭客用舊漏洞打舊機器竟然還會成功。

其次他認為資安防禦的訊息與技術是全球流動，台灣不能再繼續小確幸，不能自外、偏安在台灣這一小塊領域。以對岸中國大陸而言，對資安防禦訊息的掌握，從他在在中國北京一天到晚跟中國中央網路安全與信息化領導小組辦公室（網信辦）聯繫，連晚上十一、二點都還透過微信 WeChat 在詢問、確定一些事項；大陸軍方更積極地派人至莫斯科的卡巴斯基去接受訓練。所幸跟台灣的國資通（行政院國家資通安全會報）拜會與溝通後，台灣的政府單位開始有所警覺。

台灣 2017 的計畫

卡巴斯基於 2016 年設立台灣分公司，初期辦公室配置 10 來個人，在中國北京、上海、天津三地設分公司，甚至有在地實驗室做病毒、木馬與威脅等樣本的採集與分析；受限於成本規模與市場接受度，尚未打算在台灣設立安全實驗室，但至少卡巴斯基跨出了第一步。

接下來 2017 年對台灣的目標，是將好的技術、服務導到台灣，讓卡巴斯基在台灣有更多人知道；其次是讓大家知道卡巴斯基不僅是賣產品、單機版防毒軟體的公司，也是做企業、做政府的生意，第三則是把所有技術、解決方案一步一步導入台灣。2017 年初跟持續跟台灣國資通，之後跟中科院等官方機構合作。

「除了單機版以外，2017 年要推的是網路安全情報服務，與 SCADA、IoT 等工控網路安全。是我們想推給台灣市場與社群的。」鄭啟良如此表示：「這些不在目前銷售體系的高端技術，像捷運、機場、核電廠、鋼鐵廠等工業、交通、能源基礎設施等的防護，是我們主要推廣的目標。」他亦指出台灣有某個工控網路，是釣魚網站最強力打擊的對象，也是許多駭客或發動 APT 攻擊的練兵舞台。在台灣的駭客年會一連就辦了十年。

對中國資安市場多年的觀察，鄭啟良不否認競爭確實激烈，尤其是免費防毒軟體；但相對的免費防毒軟體也導致廠商無法持續引入研發資源。過去瑞星曾是中國最大、計畫上市的防毒軟體廠商，前陣子反而低調說自己是中小企業，因為沒有賺錢。360 是賺廣告、捆售軟體上架等費用，資安廠商競相跟著推免費單機版的結果就是不賺錢，自然也無法投入更多的研發資源；阿里巴巴雖然有上千人的資安全團隊，但所有偵測端點都佈署在中國，相對的也無法走出中國迎向世界。

卡巴斯基就有 45 個資安精英，在 2016 年產生了 91 份不公開的 APT 攻擊報告，提供像日本、新加坡、中國大陸政府訂閱，這也是卡巴斯基與競爭者的不同。用戶曾回報某個位於新北市土城區做工業電腦的廠商，其工業網路設備有安全性漏洞。而美商 FireEye 提供防禦 APT 的設備，在台灣很有名，也積極教育台灣客戶開始有防禦 APT 的觀念。但卡巴斯基防禦 APT 的關鍵在後台，要很高檔的設備設置沙箱 (Sandbox) 來隔離系統、觀察意圖不明程式的舉動，不放過一切蛛絲馬跡。中國大陸深圳證交所，前面測試了許多不同廠商後，最後委由卡巴斯基進去分析，仍發現、找出一堆 APT 問題，因此卡巴斯基的重點與強項，就在於背後的技術研發人力。

2017 年卡巴斯基的資安重點－工控

鄭啟良提到，對 IoT、SCADA 工控聯網安全這部份，是卡巴斯基這場研討會的強調重點，甚至在中國大陸被譽為下一代引領工控安全的領導者。工控系統有很多不同層級的供應商與設備，目前業界的做法是工控系統前面放個防火牆，但直接控制機器的 PLC 底層這部份就沒人管。

卡巴斯基內部有「次世代技術」部門來研發、支援工控安全，技術上卡巴斯基是直接對 PLC 進行防禦，不僅有落地的技術，也有像在東南亞地鐵、中國大陸高鐵等成功的實際防禦案例。實作上得先到客戶端一個月去做 Security assessment，診斷工控的安全。他舉出某個中東煉油廠客戶的案例，兩個禮拜內找到 114 個零時差攻擊 (Zero- day attack)。而卡巴斯基亦是美國工業控制系統緊急應變小組 (ICS-CERT) 的重要成員，加入這個工業控制安全組織並提供相關交流訊息。

鄭啟良指出進入台灣市場的方法，是出幾份台灣的 APT 攻擊報告的安全情報服務，來建立這方面的技術權威性。日前已提供給國資通與中科院。後續也可以做模擬滲透性攻擊的測試。卡巴斯基曾幫阿里巴巴底下一萬多台伺服器，從網站、硬體基礎架構到程式碼都有檢視過。而德國萊因 TÜV 集團，找卡巴斯基來分析、研究台灣捷運系統的資訊安全。

鄭啟良指出縱使各廠商對端點偵測防護 (Endpoint Detection and Response, EDR) 銷售策略不盡相同，但 EDR 這種運用大數據分析與機器學習的先進防護技術，會是下一代資安產品的主流。各廠會將某一基礎等級的 APT 功能整合到 EDR，像卡巴斯基的 KATA-EDR 端點偵測解決方案正是這樣的產品，若端點量夠多（建議最少要 5,000 個端點），也可以拿端點資料透過卡巴斯基的 KMP 來進行分析。

最後媒體問到對未知威脅的防禦上，鄭啟良表示有 45 名全球資安精英團隊加持下，未知威脅的防禦絕對是卡巴斯基的強項。不僅全球揭露最多 APT 數量的就是卡巴斯基，且現今在的重點在於數位鑑識 (Forensics) 的能力。卡巴斯基也佈局進入黑色產業鏈、駭客圈臥底等方式投入資源，以零時差方式取得防禦先機。