我们提供本研讨会主讲者同意授权的演讲档案,欢迎参与来宾下载。
如果遇到档案无法下载,请检查您的电脑是否有以下状况,而造成下载问题:
回顾2016、2017年期间,称得上是网安的多事之秋,就算缺乏IT背景的一般普罗大众,可能都对喧腾一时的ATM盗领、证券商集体遭DDoS(分散式阻断服务)攻击勒索,及WannaCry勒索蠕虫等等事件朗朗上口。相形之下,2018年至今已过大半,表面看来,除了欧盟GDPR、台湾资通安全管理法等新的法遵议题外,似乎未出现令一般人高度关注的焦点事件,也许有人因而认为,专家们苦口婆心提醒注意的网安问题,其实不像预期般严重。
持平而论,对政府或企业等组织而言,与黑客的对抗是一场无休止的战争,不管台面上的涟漪是大或小,可以肯定的是,台面下必定暗潮汹涌,黑客会默默观察人们的应用情境变化,
一个发生在2016年的惨痛案例。俄罗斯黑客以伪装银行、情色或电子商务等App的方式,夹带Cron木马程序,感染逾百万台Android移动设备,利用几家金融公司提供的小额转帐服务漏洞(允许用户以简讯执行转帐),神不知鬼不觉将用户的钱转到黑客的帐户,共计盗取约新台币2,700万元。
综观前例,着实令人心惊胆战,尤其随着移动支付日趋普及,使用网银App的人数持续攀升,倘若肇因App安全漏洞遭致黑客有机可乘,以「山寨版」App诱使不知情使用者下载,无论发生个资外泄或财产损失等结果,对于受害者、服务提供者乃至整个社会,无疑都是不可承受之重。
为此经济部工业局于
随着数码转型浪潮席卷、物联网(IoT)与人工智能(AI)时代来临,不论大中小型企业的信息应用架构,皆与从前不同,逐渐变成混合环境,其中可能包含公有云服务,亦可能衔接供应商、委外厂商或客户的网络,彼此进行服务分享;这些变化,将导致企业难以全盘掌握网安,哪怕自身网安防御工事做得再好,也可能因为供应链夥伴的网安水平不足,以致出现破口,导致大家一同遭殃。
台湾大哥大商务服务企业整合业务暨服务处经理徐德怡认为,由于情势变化快速,企业若继续走传统套路,自行编列预算建置与维护一堆网安防护设备,恐不易跟上威胁的演进速度,无法应付接踵而来的网安挑战。
为此台湾大哥大
众所皆知,近年两岸之间的人才流动与挖角时有所闻,连带使「内部人员威胁」(Insider Threat)成为许多高科技公司的恶梦,只因一旦有内贼携带制程配方、设备参数、机器人程序、营业秘密...等等有价数据,带抢投靠敌营,势将冲击经营命脉,甚至酿成重大损失,后果不堪设想,因而促使不少公司开始重视源码(Source Code)或是研发数据的安全保护。
精品科技网安顾问陈伯榆指出,谈及高科技企业的源码保护议题,版本控制服务器(如:SVN)往往是不容忽略的一环,常见的情境是,当研发工程师产出研发成果,便透过Commit或Pull等方式传递至SVN,再经由SVN执行Diff比对程序
网安议题并非现在才诞生,从过去到现今,已历经多次演进。期初包括防毒、防火墙、Web、E-mail等等闸道端防护,都侧重单点思维,一种设备代表一种防御功能;后来随着恶意攻击手法精进,辅以物联网(IoT)兴起而致联网装置激增、黑客切入点变多,仅凭单点防御不够用,致使协同式防御概念抬头,透过不同类型闸道设备互通信息,再搭配云端、端点等防护机制形成联合防御网。
华电联网资通产品及网安服务处副总经理郑炤仁表示,前述单点式防御、协同式防御,可依序归类为网安演进史的第一、第二阶段,大多数企业仍落在第一阶段,近年开始有愈来愈多企业意识到纵深防御的重要,逐渐启用SOC监控服务。
尽管谈到网安,早在过去随个人电脑、网际网络的普及,便已应运而生,绝不算是新议题,但展望今后的数码科技应用时代,多数IT人公认的最大挑战仍在于网安;为何随着时间演进、网安产品推陈出新,网安威胁却变本加厉?主要症结是,攻击活动的能见度愈来愈低。
奥义智能科技共同创始人丛培侃解释,新型态网安威胁,甚至已不带有任何实体病毒,而是循着正常管道、正常流程,轻松避开传统侦测机制,潜入受害企业内部、先抢占滩头堡,再利用操作系统内建功能,在不同电脑间横向移动,逐步探索并窃据机敏数据,然后把战利品予以打包,以加密方式上传至外部云端储存装置。
换言之,若像过去一样,仅侦测
时至今日,企业上云的趋势已然明朗,甚至被喻为落实数码转型的绝佳途径,惟不可否认,目前仍有一定比例的企业迟未迈开云端脚步,依旧固守就地部署(On-premise)模式,究其主因,在于无法战胜对于网安的恐惧与质疑,生怕若在缺乏完善管控下骤然上云,唯恐徒增未授权存取、窃取帐号及恶意内部行为等等机率,导致数据外泄。
换言之,不管论及微软的Office 365、Google的G Suite抑或Salesforce等云端服务基础上,若有机会附加有效的安全防护,从而大幅降低数据外泄疑虑,无疑是至关重大的催化剂,足以加速企业导入云端服务的进程;而源起于2010年的日商HDE One云端安
回顾过去几年,一些重视网安的人士,普遍对云端服务存疑,总认为在自家建置防护系统,会来得相对安全;综观多数企业的自建情况,说好听是「纵深防御」,说难听是「叠床架屋」,但更大的盲点是,购进一套防护,往往习惯用到坏为止,此等做法恐难有效应付日新月异的威胁;现今,企业上云已蔚为大势所趋,多数企业逐渐体认到与其自建拼装式防御架构,不如直接引用安全可信的云端服务,惟如何选择适当标的,依然是一大课题。
网擎信息(Openfind)云端服务副总经理张嘉渊指出,该公司深耕云端邮件服务已长达20年,对于个中的防护要领,早有深刻认知;他认为网安防护必须涵盖两大面向,一是「安内」,意在满足稽核、
随着近年网安事件层出不穷,让多数企业戒慎恐惧,纷纷强化网安投资;而涵盖防火墙、入侵防御、应用程序管控、Anti-Bot等多重机能的次时代防火墙(NGFW),便是企业布局的重心。以Check Point观点来看,NGFW可定义为第三代防护,仍奠基于特徵码分析,擅长防御已知攻击,但若遭遇APT、勒索病毒等未知威胁,恐力有未逮;因此企业的防护思维亟需向前推进。
Check Point台湾区总经理刘基章指出,为了因应未知攻击,网安业界早已推出沙箱技术,不再倚赖特徵码过滤、而取决于Payload分析,此可归类为第四代防护,目前导入该技术的企业比重约有一成;尽管第四代防护仍待推广,但
从事网安管理的工作者,肩负的担子一天比一天重,一方面得应付外来的恶意攻击,尤其近年肆虐的APT(进阶持续性渗透攻击)、DDoS(阻断服务攻击)、BEC(变脸诈骗)、勒索病毒乃至挖矿病毒,个个都不是吃素的,已经够难防了,另一方面还得严防内贼盗取机敏数据,可谓腹背受敌。
与此同时,史上最严的欧盟个资保护令GDPR上路,使企业面临沈重的合规压力,身为网安管理团队的一份子,当然无法置身事外。但令人啼笑皆非的,原意甚佳的GDPR,竟沦为助长勒索攻击的题材,国外曾出现黑客扬言不付赎金、就公布个资之例,企业网安形势之严峻可见一斑。
当务之急,企业必须学会如何明哲保
清华大学信息工程学系教授孙宏民表示,因有利可图,近年愈来愈多黑客瞄准移动网银、移动支付或虚拟货币交易所展开攻击,犹如一群具专业知识的高端银行抢匪。
深究黑客之所以屡屡得手,症结在于App存在漏洞所致。例如2010年,韩国农协银行网银App遭骇事件,起因于歹徒透过第三方程序网站提供恶意更新程序供人下载,而此程序系利用Android的Master Key漏洞,在App内插入恶意档案,成功将之「木马化」。
孙宏民指出,综观黑客惯用的攻击模式,多是经由反组译、分析程序码、插入恶意码、重新打包等4个步骤,从而导致用户个资外泄,甚至造成严重的财产损失。惟要想防制
台湾大哥大企业用户事业群经理孙嘉瑜指出,随网安威胁复杂化,单凭企业自行采买设备做防御,难免力有未逮;此时运营商可助一臂之力,从用户端、线路端、云端三管齐下,提供网安系统整合、网安营运管理/网安检测暨顾问、云端网安等完整服务,形成多层次防御体系,使企业快速无痛导入全方位防护能量。
台湾大哥大的「网安战警」,即是基于前述脉络所诞生,蕴含诸多亮点服务。首先是电信级多层次DDoS防御,一来于骨干建立如自来水厂的大量清洗设备,二来帮助企业代建代管如家用净水器的常驻型侦测清洗设备,联手抵御L3~7各式流量、资源耗尽及应用层攻击。其次为APT防御,将Sensor布建于骨干端或用户端,
精品科技网安顾问陈伯榆表示,员工利用未经批准的装置、软件或云端服务,执行所需数据交换,尽管便利,但因绕过企业安全机制形成Shadow IT,导致企业研发管控出现破口,后果着实严重;欲收到好的防守效果,须先厘清IT组成结构,从细部展开精准防御。
陈伯榆说,企业常利用SVN/Git管理研发流程,以SVN而论,工程师习惯透过Commit/Pull从SVN Server下载或上传档案,SVN系统则藉由Diff比对源码;企业常见的困扰是,若采用DRM对档案加密,就无法正常进行Diff。为此精品科技诉诸SVS安全碟,在源码保护、Commit/Pull/Diff作业之间达到平衡,确保任
华电联网资深协理杨仁吉强调,随智联网时代来临,网安问题实已超越IT(MIS)层次,成为「商务风险」,使企业全面遭受营收、竞争力、商誉等重大损失。但欲善尽防护,无疑充满莫大挑战,只因大量布建的IoT设备,不仅造成入侵点增加、防御边界扩大,亦因软韧体更新与管理不易,及现有网安设备间互不合作,恐让企业缺乏能见度,无法妥善安排防御优先顺序。
着眼于IoT设备弱点威胁升高,华电联网网安顾问李民伟认为,企业防护思维须尽速进化,不宜停留在过去架设多设备、撰写多规范,却疏于检视落实与否的「佛系防御」,宜先定义自身重要资产,彻底了解关键资产与服务的背景,才有能力据此建立监控机制,随时能够精
Check Point台湾区技术总监傅国书表示,根据2018年世界经济论坛全球风险报告,网安威胁与气候变迁、非预期性天灾,并列为三大祸害之一。何以网安威胁的杀伤力持续攀升?起因于现已进入第五代攻击时代,具有大规模、国家级别的威胁、巨大灾害等特性,更麻烦的是,带有不断演进的攻击手法,及横跨实体网络、端点设备、云服务、移动设备等多重突破口。
傅国书提醒,云端网安其实蕴含分权概念,服务供应商仅负责构筑云端架构的安全,充其量仅至L2/3层次,至于架设于云上的服务器、操作系统、应用程序及数据库,用户须自负防卫之责;但毕竟云端与实体结构大相迳庭,举凡Routing、vLAN等诸多环节
网擎信息(Openfind)云端企划处协理张世锋认为,欲善尽邮件防护,有效遏止网络诈骗、个资外泄或帐号盗用等网安威胁,企业既要做好「攘外」、亦须兼顾「安内」,也就是落实专家倡议的邮件安全纵深防御;殊不知纵深防御带有「来一个、挡一个」意涵,导致企业须布建不同防护系统,不仅徒增支出、也让整体架构趋向叠床架屋。企业能否妥善掌控众多复杂环节,确保每套系统及时更新,恒常保持最佳防护状态?着实充满挑战。
相形之下,云端防护服务无疑是协助企业克服挑战的理想途径。以网擎的MailCloud而论,不仅提供MailCloud云端信箱服务,也支持On-Premises邮件主机、甚或其他云端邮件
HDE大中华区海外事业开发经理中込刚指出,回顾2010年他担任HDE IT主管,当时有40%工时投注在系统维护,仅10%时间可开发新产品;如今HDE蜕变为纯云端公司,无任何服务器或数据中心,完全透过G Suite、Office 365、Zendesk、AWS、Salesforce与Slack等云端服务来满足作业需求,以致现今IT主管仅需花费10%时间维护系统,有50%时间可投入新产品开发,使公司生产力大幅跃升。
中込刚说,已有愈来愈多公司抱持与HDE相同想法,因此据国外专业机构预估,2020年全球将有73%机构使用SaaS营运。以HDE自身为例
Palo Alto Networks技术顾问蓝博彦表示,几年前业界提倡零信任观念,意在实现绝对性网安,但要做到100分水准,背后须投入高昂代价,对多数企业未必是可行方案;因此该公司主张企业应善用自动化的防御技术、辅以实时快速的情资交换,让有限人力资源可被运用到极致,以最小代价迈向网安零容忍境界。
Palo Alto向来致力打造先进安全平台,并结合开放式应用框架、构筑全新安全生态系,使其Wildfire跃居全球最大的进阶威胁防御情报云,得以藉助实时有效的情资,帮助企业快速预测风险,满足闸道、终端、私有云、IaaS、SaaS与PaaS等所有应用场景的精准防御需求,阻断未知威胁
奥义智能科技共同创始人丛培侃点出,今日企业面临的网安挑战,正是「看不见黑客」!黑客懂得以合法掩护非法,利用防毒软件、资产管理软件、AD或VPN作为入侵点,盗取数据后再加密打包输送至公有云,整个过程无声无息;尽管黑客手段日益高明,但建议企业不宜把威胁视为负担,理应视为机会。
机会从何而来?丛培侃解释,企业须有所体认,一定会遭遇数据外泄,如何比别人更早发现,让外泄少一点,某种程度上有助于建立营运竞争优势,例如面对严格的GDPR,如能确实做到72小时内通报,便可望大幅降低罚款。
然而若藉由网安产品买好买齐来建立威胁感知能力,代价太高,故企业应从循迹角度切入