編輯部2019以色列資安高峰論壇:師法以色列 資安即國安
2019年以色列資安高峰論壇由經濟部國際合作處處長江文若致詞展開,江處長現身說法兩年前親赴以色列參訪,了解到以色列在資安領域的高度投入與卓越成果值得我方效法,且我國與以色列有許多共通處,如土地面積、政經情勢等,相信此一高峰論壇能進一步促進兩方的交流與合作。
台北以色列經濟文化辦事處代表柯思畢(Omer Caspi)亦表示感謝各方來賓與會,今日政府、企業與人民生活均已廣泛深化運用資通訊系統,其安全與信任性已不容忽視,並相信此次峰會能促進更多的共同合作。
台北以色列經濟貿易辦事處處長藍子律(Tslil Lahav)也表示,以色列積極於資安技術創新,並已在全球資安領域中具有角色地位,然同時也需要更多的投資與合作,相信此次峰會將有機會促成更緊密的合作、拓展更多的商業機會,並帶來更安全的環境。
以色列國際資訊安全暨科技交流協會副理事長陳冠廷則說,資安在未來十多年內將是一大挑戰,需多方共同思考解決,然而挑戰的另一面是轉機、商機,我國以良善教育、健全基礎設施為基礎,並透過此次峰會與以色列合作,將會是轉機商機的起點,也會是重要里程碑。
台北市副市長鄧家基同樣重視資安發展與合作,若無完善的資安政府將難以妥善施政,而以色列的資安技術非常先進,期望我方與以色列能有更多交流,以強化健全國家資訊安全體系。
本文目錄
立法委員余宛如:台灣資安法規推動及台以新創科技交流
我國過去也曾擁有新經濟元素,但因為2000年的.com泡沫而停止,而產業西進擁抱的依然是舊經濟元素。立法委員余宛如點出過去我們忘了投資自己,產業未能順利升級。
無法升級連帶產生諸多負面效益,經濟看不到契機、人才外流,死守原有產業反而無法與國際新產業合作,接軌困難等。然而如蔡英文總統所言「資安即國安」,資安同時也可能是商機。因此2016年我國通過DIGI+的8年計畫,期望從根基全面提升我國的數位競爭力。
此外政府也推動一連串策略與行動,包含通過電信管理法、通過金融監理沙盒,鼓勵發展5G與智慧機械將可獲得投資抵減,通過三張純網銀執照等,另外也參考美國FISMA(Federal Information Security Management Act,聯邦資通訊安全管理法案)研擬、通過我國資通訊安全管理法。並期許政府行政單位改變組織架構,使各部會在資安資訊與行動上能更有效溝通聯繫。
由於FISMA較適合美國國情,我們僅能若干參考,無法大程度照搬,且FISMA既有推動落實資安管理的目標有扶植強化美國資安產業的期許,此方面在我國的法案刪除,改以台灣資聯盟專責,以此為配套發展。
除政府積極作為外我國也當師法國外經驗,特別是以色列,我國與以色列有許多相似處,如追求自主性,且以色列有許多方面值得我們學習,包含創新創業體系、科技農業(荒地沙漠多)等,以色列資安產業亦因國防需求與創業環境的協助而蓬勃發展。
我國應加強與以色列間的對話與合作,此前工業技術研究院已在以色列設置辦事處,科技部亦已在特拉維夫的台北駐以色列代表增設科技組,外貿協會亦同樣設置了全球第63個辦事處特拉維夫台灣貿易中心。相信向擁有「中東矽谷」美譽的以色列學習,將有助於我國資安技術,進而推助資安產業提升。
Redware:師法以色列,全面緩解5G部署下可能帶來的業務風險
進入5G世代後,除原有的行動應用程式外(mobile apps)還多了邊緣應用程式(edge-enabled aps),舉凡自駕車、遠距醫療、智慧城市、擴增實境等都需要使用邊緣應用程式,而5G除了更快的速率也意味著更危險,5G必須在新商業機會與風險間求取平衡,Redware技術長David Aviv博士如此說。5G帶來的進化是邊緣式解構(edge disruption),過去集中化的資料中心變成散解式的HyperNet,此一發展可提升5G服務但也可能產生資安隱憂。
另外5G在企業數位轉型中扮演關鍵角色,企業在私有資料中心內有落地的應用程式(premise apps),而在雲端有雲端原生應用程式(cloud-native apps),加上新興的邊緣原生應用程式(cloud-native apps),5G世代必須良善管理與防護這些應用程式方能協助企業順利轉型。
而在5G世代的資安防護上企業必須有新的防護維度認知,包含以服務為基礎的架構(網路切片)、存取認證與防護代理(Security Protection Proxy,SEPP)、應用程式散遍各處,以及新的網路流量特性(mesh型網路)。
在最前頭的行動端部份必須保護接觸點;在邊緣部份更是需要更多的關注,5G邊緣形同微型資料中心,勢必成為新的資安戰場;雲端方面也要關注資料、帳號、資源等三方面,資料有無可能被竊取破壞竄改?帳號會否被盜用?資源會否被DDoS攻擊所耗竭等。
針對5G資安挑戰,Redware主張必須導入先進的自我學習點算法來抵禦零分鐘攻擊(Zero-minute attacks),同時也針對雲端提出雲端工作負荷保護(Cloud Workload Protection, CWP)方案以保護企業的雲端資產,加上邊緣運算防禦、HyperNet防護等,如此企業方能安心地佈建其5G建設,並更專注於拓展5G新服務商機。
資安所所長毛敬豪:人機共智資安共創工控與5G資安發展契機
資訊工業策進會資安科技研究所所長毛敬豪首先分析全球資安產業發展趨勢,無論是國際或國內,資安新創業者的發展都比過往更艱困,愈來愈多新創在尚未掛牌前便被大廠購併,失去持續獨立成長機會。而拒絕被收購的新創也容易遭大廠打壓而難以獲利成長,新創或許可以透過串連整合以抵禦大廠,然實際各業者多忙於自身技術、市場等事務,無暇整合,整合需要專責主持者才有推動可能,而法人正扮演此一角色任務。
為了讓資安產業良善發展資策會資安所已投入多項研發,且自從資訊技術(IT)、通訊技術(CT)、營運技術(OT)三方面深入。資訊技術領域的資安已成熟,因此著重在為現行產品、服務注入人工智慧機制要素;通訊技術則著眼於5G行動通訊;營運技術方面則積極發展工控自動化設備與環境偵防檢測技術,同時也發展IoT、AIoT防護。
各技術的研發投入也結合產業合作共創服務模式,以加速向產業、資安業者擴散,例如與泓格科技合作工控資安技術,由資安所提供工控設備弱點情資訂閱服務、入侵偵測設備技術,以及運用台灣自來水公司在關鍵基礎設施環境中進行實證。
或在醫療資安領域上資安所實現衛福部資安情資串連整合,在金融資安領域也協助富邦金控導入CEH分析平台進而實現Privacy by Design去識別化目標,此外也與資達科技、數聯資安、精誠科技等業者協同共創,強化政府公部門聯防機制。
另外資安所也在林口新創園設置「5G資安創新實驗室」邀集國內外5G相關業者共同測試演練資安,或建立工控資安創新實驗室以協助測試驗證工控資安方案。展望未來資安所亦將布局CCoE Asia Hub資安生態圈,並持續推助資安產業營運模式創新。
技服中心吳啟文:落實資安法遵保證資通安全
行政院國家資通安全會報技術服務中心(以下簡稱技服中心)吳啟文主任以世界經濟論壇(World Economic Forum,WEF)的年度全球風險報告(Global Risk Report,GRR)為例開始說明,在五類型的全球風險中科技風險正在升高,包含網路攻擊、關鍵資訊基礎設施破壞、資料詐欺或竊盜等,其風險或然率在增加,風險的為害性也在增加。
技術中心也觀察到全球資安威脅的多項趨勢,包含進階持續攻擊(APT)、分散式阻斷服務(DDoS)攻擊、物聯網(IoT)受侵害、關鍵資訊基礎設施風險倍增、網路與經濟罪犯影響電子商務與金融運作,以及資安資訊供應商持續遭駭而破壞供應鏈安全。
為因應日益嚴重的資安威脅,技服中心將防護重點放在四大面向,包含情資分享、早期預警、縱身防禦、通報復原。具體行動包含資安威脅資訊蒐集、資安稽核、網路攻防演練等,防護的實施也包含各機關端、GSN骨幹端,以及落實跨機關資安聯防監控,並建立國家資安聯防體系。
最後技服中心也針對資通安全管理法提供因應與建議,資通安全管理法於2018年5月三讀通過並提供施行準備期,於2019年1月正式施行,針對此有五點因應建議,一是落實資安宣導,並訂立出相關獎懲規定;二是提升資安人員的質與量,檢視資安人力適足性、指定資安專職專責人力。
三是檢視資安預算之適足性,針對不足處編列預算;四是精進資安事件通報應變,落實資安事件能在1小時內通報;最後是完備資通安全維護計畫,機關內部資安作業規定、流程須能與資安法銜接,並落實資安法各法遵事項。
CyberArk:以Secret Management及Secretless斷絕帳號安全疑慮
無論是顧能(Gartner)的魔術象限(Magic Quadrant)或Forrester的Wave,在特權存取管理(Privileged Identity Management)的領域中CyberArk均是居於領先者的地位,CyberArk技術顧問黃開印說。
今日多數企業都面臨存取帳號權限管理的困擾,首先是資訊四散在企業的各處,可能在辦公室、機房也可能在雲端;或者重要的帳號密碼是寫死在一些特定位置,在某一段程式裡或某一部機器上;或者帳號是以很陳舊的方式在保護;或有許多存取帳號沒有明確的責任歸屬等等。
企業其實想要有一致的特權資安政策,並將政策落實到各裝置與環境中,包含資料中心內的基礎建設、應用程式,包含公有雲服務,以及容器、DevOps工具等,另外也期望做到由內而外的主動防護。
更重要的是CyberArk可協助企業實現Secretless,過去寫死在各處,可能暴露風險的資訊,改存放到加密的金庫內,任何存取均可保留完整稽核軌跡,如此對開發人員而言可更專心寫程式,也不用再擔心從應用程式處外洩資訊,並落實權責分離的安全架構設計。
黃開印也舉實際案例,某一知名航空公司為了讓旅客可以在其官網上直接線上訂機票,對此必須先合乎PCI DSS規範,但可存取後台的帳號密碼寫死在應用程式內,對此導入了CyberArk Privileged Account Security,以單一整合平台安全管理應用程式系統與相關設備,並在短期內達到合乎PCI DSS規範要求。
最後CyberArk也參與許多產業聯盟以及有強健的夥伴關係,CyberArk是C3聯盟的一份子,與100多家資安業者共同合作;另外CyberArk也建立起線上市集(marketplace),許多知名業者均已加入響應,如AWS、tenable、Pivotal等。期許所有企業均能實現整體一致性的特權存取安全。
Check Point:正視GenV威脅風險,啟動物聯網Nano防護
今日企業面臨的資安挑戰已不是安裝防毒軟體或是新一代防火牆(NGFW)就能因應的,隨著威脅不斷演變進化,防毒軟體只能捕捉舊的病毒、已知的惡意程式,而新一代防火牆也只能在企業網路進出處提供基本防護,離完整防護距離甚遠,尚未補上的防護可稱為防護間隙,Check Point亞太區技術長Tony Jarvis如此說。
更令人擔憂的是,資安威脅從最初電腦病毒的第一代,逐步進展到進幾年的地五代(巨量威脅),展望後續物聯網普及也將進入第六代,但許多企業的防備進度逐漸跟不上。
很明顯的,企業需要全向性的資安防護設備,且必須能隨企業規模成長、流量增加而對應擴展延伸,此方面Check Point的方案為Security Gateway Appliance,再搭配上Maestro Orchestrator即可達到平順擴展延伸之效,流量因應能力從入門的3.6Gbps可一路擴展至最高的150Gbps,擴展只要單純直覺地增加設備數即可。
另外在雲端資安方面,許多企業只專注在可辨識的雲端資產、可量化的雲端資產,許多沒看到或不受管的資產反而成為落實資安上的「間隙」。而知名資訊產業調查研究機構顧能(Gartner)於2018年的雲端資安Hype Cycle報告上也提到:「企業與組織在雲端可視性、能見度上掙扎奮鬥,卻幾乎無法標定運算任務的位置與方向。」
對此Check Point提出新主張網頁應用程式與應用程式介面保護(Web Application and API Protection,WAAP),不僅可保護網頁應用程式以及為應用程式介面(API)帶來防護,同時可緩和機器人(bot)資安威脅。
此外Check Point針對雲端、手機、物聯網等各端點也提供周全的Infinity 2.0防護方案,以全套方案取代過往多家資安供應商的搭組方案,搭組不僅施行複雜且常有漏防,最終企業將發展Infinity 2.0將在防護周全度、防護強度、防護成本、資安人員投入上均較搭組方案為優。
CyberInt執行長Itai Margalit:在數位生態系統中保護您的品牌、客戶資料與資產
資安問題嚴重嗎?答案是肯定的。CyberInt執行長Itai Margalit舉出近期事件,包含CNN報導駭客侵害上1億個Capital One信用卡帳號,CNBC報導Under Armour資料破口影響1.5億個MyFitnessPal帳號,以及BBC報導英國航空老闆為資料破口事件道歉等。
我們可以說,數位化把我們帶入一個未知的環境,我們可能碰到釣魚信件,可能碰到拒絕服務,可能碰到品牌濫用或是詐騙等,新環境充滿未知風險。企業也面對數位轉型挑戰,包含如何轉化與使用公有雲,與客戶間接觸的通路多樣化等,同時要兼顧資安防護,現實卻是難以對資安專注,缺乏資安人才人力,缺乏對數位環境的能見度。
更大的挑戰是資安供應商的多樣,41%企業表示使用50家以上不同資安業者提供的技術、產品及服務,整合與管理也成為一大難題,此正是CyberInt期望解決的,此即威脅智慧與風險防護(Threat Intelligence & Risk Protection)及主動防禦(Proactive Defense)。
針對威脅智慧與數位資產保護,Itai Margalit也舉出4個客戶的實際案例,首先是帳號換手(account takeover),CyberInt對此提出的因應方案黑市憑證破解工具Sentry MBA;第二是資料外洩(leaked data),對此Cyberint Argos可偵測與管理已洩漏出去的個資。
第三是社交工程釣魚(phishing),CyberInt的方案是在先期階段使用Argos進行全天候偵測(detect),而後在分析(analysis)階段使用Cyberint專家支援,更之後則為調查(investigation)階段則同時用上Argos與專家支援,最後再由企業實施回應(response),包含向法務單位報告以及將犯罪者繩之以法。
最後是品牌保護,許多企業對於品牌被冒用濫用相當頭痛,例如駭客用假的App欺騙客戶,損失商譽的卻是企業,對此CyberInt的數位風險保護能提供偵測服務,儘速讓企業掌握冒用資訊。
VOTIRO:防範武器化文件並建立檔案防火牆
力悅資訊總經理彭國達接續說明,因應此一攻擊需採行檔案防火牆技術,VITIRO的技術即可偵測到可疑附件,附件帶有可疑的外部執行緒,因此將其隔離,另外對有執行力的巨集(macro)、物件連結與嵌入(OLE),也能偵測其惡意性並加以移除,可疑的ISO檔若想自動掛載也同樣隔離,未知但有可疑行為者也會隔離。
或者有惡意者試圖利用軟體安全漏洞進行入侵、運用社交工程進行攻擊、運用惡意連結連至外部網站等均會察覺並隔離,其他也包含先進持續威脅(APT)、零時差(Zero Day)攻擊,或多種手法的組合攻擊。彭國達也提醒,特徵比對技術無法處理40%的潛伏惡意威脅,需引入更多技術才能防範。
VITIRO檔案防火牆除了可偵測隔離多種惡意檔案外也提供完整的中控儀表板介紹、防火牆政策設定、存取稽核記錄、威脅活動報告等功能,且在功效外也提供實務建議,針對常見的檔案類型建議阻隔或放行。
進一步的,第8版開始的VITIRO檔案防火牆具備更多先進特點,例如時光回溯RetroScan功能、進階的巨集處理能力、進階的政策管理、URL聲譽檢查、終端使用者自助取回檔案等。最後彭國達也說明如何在企業資訊環境中運用檔案防火牆建立起高安全區,使各檔案流均能獲得完整防護。
Cyberbit:工控自動化不可輕忽物聯網資安
近十年來工控自動化系統的資安事件層出不窮。Cyberbit技術長Oren Aspir舉例,2013年伊朗人入侵紐約水庫系統,2014年Havex惡意程式攻擊歐洲工控設備製造商,2015年烏克蘭因Black Energy病毒導致大停電,2016、2017、2018年,每年均有重大工控資安事件發生,而未來物聯網資安也將如工控資安一樣令人擔憂。
威脅是如何入侵到工控系統中呢?Oren Aspir分析,包含從不安全的遠端連線支援侵入防火牆、ERP、SIEM、交換器,最終到達RTU/PLC,或是透過不安全數據機、不安全的無線連線等,先是感染工作者個人電腦,或OPC伺服器等,最終也能到達RTU/PLC,其他途徑也包含RTU/PLC直接被接入受感染的USB隨身碟,RTU/PLC韌體更新時即被感染,或RTU/PLC有不安全的串接連線等。
針對工控資安問題Cyberbit認為當提升威脅偵測能力,只使用被動方式監督工控自動化設備的通訊是不夠的,必須使用先進的深度封包檢查(Deep-Packet Inspection,DPI)才行。另外必須透過網路探索以增加工控環境的能見度,避免有未受監控的死角盲區,同時也要管理相關資產、偵測未知的威脅,並持續偵測各種營運風險。
進一步的也必須強化資安回應力,此方面Cyberbit建議企業導入資安事件協同合作、自動化與回應(Security Orchestration, Automation and Response, SOAR),Cyberbit此方面的對應方案為SOC 3D。
SOC 3D可統整來自SIEM的資安警訊,並對資安設備下達回應指令,整個資安事件的各階段程序均可在SOC 3D的單一畫面中完成管理,即生命週期管控。另外也可廣泛整合其他資安業者的方案。
最後Oren Aspir也強調Cyberbit的產品組合,除了SOC 3D外亦提供端點偵測與回應的Cyberbit EDR,提供威脅攻防演練訓練與模擬的Cyberbit Range,以及前述的工控自動化/營運技術偵測、可視化方案SCADAShield,甚至有可以攜帶至現場環境的工控網路稽核方案SCADAShield Mobile等,期帶給企業周全的資安方案。
Software = Security:當軟體無處不在時,安全就是一切
Checkmarx區域銷售經理吳凱欣開宗明義說:「Software=Security,當軟體無處不在時,安全就是一切。」軟體確實無處不在,舉凡手機、電腦、車上都有軟體,甚至我們無時無刻都在用,根據調查我們每天約花3小時在不同的線上應用程式上,包含地圖導航、購物搜尋、電子信件、訊息聊天、分享照片與影片、線上銀行等。
對於軟體程式的開發安全,Checkmarx提出STAR Program。STAR Program分成技術與人員/流程兩方面。在技術方面S指的是軟體,許多CVE、CWE揭露的資安漏洞弱點都來自軟體面,軟體必須能以建構方塊(Building Block)的方式支援不同的應用程式,包含Web、App、IoT等。
T指的是測試,包含靜態的、動態的、互動式的應用程式安全防護測試(SAST/DAST/IAST);A則是指自動化,即是與DevOps流程與工具整合;至於R則是Remediation,即補救、矯正,應用程式在歷經設計、建立、測試、佈建後,之後發現了破口(breach),就必須針對破口即時修補。
STAR Program再以人員/流程面而言亦有其對應,S指的是利害關係人(Stakeholder)的各種對象,T則為人員訓練,A則是成員建立與具備意識(Awareness),最後R則是報告,報告則有明確具體的衡量方式,以掃描的軟體數目規模為分母,並以找尋到的軟體漏洞數為分子,即構成了瑕疵密度(defect density)的衡量指標。
最後吳凱欣歸結前述,導入STAR Program對企業或組織而言可帶來多項益處,首先是讓業務與安全性能同步一致,其次可以讓參與成員體會到軟體安全防護是每個人均有責任,其三可建立起協同合作的文化,最後以安全方式開發撰寫應用程式才能讓企業無後顧之憂地前進。
Imperva:同時保護雲端與地端的應用系統
Imperva亞太暨日本區技術總監周達偉引用Marc Andreessen(知名軟體工程師、企業家、投資者)所言:「應用程式正在吞噬世界。」無論是家庭娛樂、醫療診斷、工控系統等無一不使用到程式。同時軟體也愈來愈複雜,過去一套Photoshop不過450萬行程式,而後Chrome瀏覽器達600萬行,Microsoft Office 2013達4,400萬行,Facebook更達到了6,100萬行之譜。
另一方面也愈來愈多企業採行雲端環境,以2015與2018年相比,採行傳統佈建的方式從77%掉落至43%,採行公有雲的卻從25%增長至37%。但網路犯罪者也虎視眈眈,以2018年第4季為例就發生889起應用程式攻擊,58.3%的網站至少被鎖定一次13.1%的網站甚至超過10次,另外有56.7%的DDoS Botnet攻擊均指向美國。
即便如此企業還是要花一段時間才能完全上雲,目前企業僅有20%的x86運算負荷量是在雲端上,也由於本地端與雲端都要兼顧,使許多企業搖擺不定,進而影響資安防護的落實,對此Imperva主張FlexProtect網頁應用程式防火牆(Web Application Firewall, WAF)方案,可同時保護在地端與雲端的應用程式。事實上在WAF領域、DDoS緩解方案領域,以及Application Self-Protection領域(2018年收購Prevoty)均是位於領導者位置。
Imperva也建議企業構築縱深型防護架構,包含在Edge端導入應用程式防護與交付;在Network環節導入落地型(on-premise)WAF;在App/API層次導入RASP內建防護與API防護;在Data區域導入資料防護與合規機制等。除FlexProtect外Imperva建議企業訂閱ThreatRadar(威脅雷達)服務,ThreatRadar能夠與Incapsula、SecureSphere WAF緊密協同運作,使防護更周全。
最後也鼓勵企業直接到Imperva官網的「FlexProtect Plans」頁面上進行各種規劃。FlexProtect能因應企業成長、因應企業改變應用程式策略,卻不用分神在應用程式安全性上,企業能安心大步向前邁進。