探索网安转骨良方 加强守护数码转型成果

随着数码科技的运用不断深化，企业凭藉万物联网、云端运算、大数据与AI／ML…等助力，成功翻转营运效能、实现商模创新。然而在享有这些甜美果实的同时，也让自己曝露在更高的黑客攻击风险中。

为了帮助企业守护得来不易的数码转型成果，避免被突如其来的恶意威胁侵蚀殆尽，DIGITIMES于日前举办「企业网安论坛」，全面探讨企业营运到供应链网安管理，并点出值得留意的网安趋势到治理工具，期望帮助企业掌握AI时代下的网安风险，为企业网安体质寻找转骨良方。

评级网安成熟度，改善供应链安全风险

工业技术研究院资通系统与信息安全组组长卓传育表示，勒索病毒持续演进，近年更蜕变为商业模式，降低攻击门槛，让企业更防不胜防，只能求尽早发现敌人入侵踪迹。

鉴于此，在2018年的Wannacry事件后，工研院便与台积电合作制定SEMI（国际半导体产业协会）网安标准，首先建立半导体产业的供应链安全规范，其次透过第三方评估工具，协助规模较小的供应夥伴盘点网安风险。

另外工研院也积极跳脱智能制造范畴，向传产、电商推进，展开企业网安成熟度评级工作，协助企业诊断网安治理做得好或不好，2022年在多个公协会协助下，共计执行150件，普遍落在C或D级，防护能力不俗、但侦测和回应能力较差。工研院期许在定期评级、扫描外，也协助企业建立零信任网安防护架构，一方面严加识别来访的人与装置，二方面也在网络层做到分舱分流，隔离系统性营运风险，将攻击限制在一定范围内。

安全快闪存储器，为IoT网安扎下厚实根底

华邦电子安全解决方案行销企划及应用技术处处长陈光辉指出，过去布建IoT，并无网安指导原则，亦缺乏测试基准，容易出现黑客攻击破口。为此各国政府出手，祭出如RED、ISO 21434等规范，驱使器材厂、设备厂在设计产品时便融入安全措施，甚至被攻击时还能启动复原机制。

以华邦电子为例，在设计产品时便充分考虑安全更新、机敏数据安全储存、最小化攻击面、平台自我保护暨复原，因而孕育出安全快闪存储器。

针对安全快闪存储器，目前华邦提供两条不同产品线，一是用于因应不同IoT安全标准如CC2/3等，包含W77Q与W77T。另一是以W75F为代表、对应CC EAL5+等高安全等级，与金融服务、通讯应用较具关联性。

透过内部赋能，培育更多网安审查人才

AWS网安顾问李宜谦表示，AWS内部设有明确的SSDLC，先确定目标为何，接着做Design Review、威胁建模，再针对特定情境设想可能的攻击、如何缓解。

安全在AWS是至高无上的「Job Zero」等级，既要安全、也要符合效率。故需要在开发过程中及早探查风险，将解决措施做进去，透过架构先决的逻辑来预先处理。

为此AWS推动Guardians Program，让人才集中在安全团队，分别接进安全检查的工作单，确保Review的SLR（安全生命周期审查）达标，给服务团队有足够时间做修补，最终准时推出产品。尽管企业普遍面临产品／应用安全人才难找的困境，AWS则有效地藉由内部教育训练和赋能，使工程师、网安两类人才互相学习对方知识，因而产生更多的Reviewer上线、降低平均安全检查时间。

透过数据流再造，化解网络管理难题

Array Networks资深技术顾问何健男说，因应网安与法遵需求，许多企业在既有网络架构上不断添加新的网安设备，导致网络日益复杂，衍生延迟、连线速度变慢、掉包、某些服务不通…等问题。

另外也垫高网安设备建置成本，如让整条路径都走10G界面，殊不知要保护的流量仅500M、1G。

有无改善之道？何健男提倡数据流再造。因为不论Server Farm或员工上网，都会经过许多网安设备，但其实不需遇到每个节点都做一次加解密，可透过数据流重新编排与设计，将流量细分为不同路径，只要在前面做一次解密，接着以明码传输，等到接受完所有检查，最终再加密送至Server Farm或出Internet；途中若遇设备故障，跳过即可，不会因而造成网络断线。

借助第三方SASE，轻易阻挡勒索攻击

欧米英泰智能服务技术总监暨首席工程师田旭弘指出，其成立于2014年，专精网络信息安全防护、网络递送优化，现为Cloudflare台湾代理商暨技术夥伴。

他说第一支勒索软件出现于1989年，至今过了许久但却持续存在，系因勒索攻击已成有利可图商业行为；目前5个常见攻击媒介，包括鱼叉式网络钓鱼、路过式下载、RDP漏洞、软件漏洞、社交工程与恶意广告。

如何化繁为简解决上述问题？基于SASE的Cloudflare One堪称理想解方，它提供快速、可信赖、全球一致的One Control Plane、One Management Interface，简化线上连线方式，有助消弭横向移动，并内建DDoS与防火墙防护机制，加上它不开埠、凭藉内部植入代理程序并建立安全通道的做法，有效阻挡勒索病毒、钓鱼、Shadow IT或不明威胁。

援引Universal Platform，省却软硬件升级烦恼

Extreme Networks亚太区首席技术顾问陈瑞建表示，Extreme提倡Universal Platform概念，客户买设备后可决定跑什麽操作系统（OS）。以交换器为例，可选用传统网络结构，亦可选用最新Fabric结构，据以实现零信任或网络结构虚拟化。

而Extreme在芯片上发展独特功能，使客户不需仰赖外部Probes或TAP，即内建分析能力，可识别逾7,000种TCP应用、网络协定及服务，满足除错、维运及网安等应用。

Extreme也提供Universal Wireless，允许AP跑三种不同OS，涵盖两种落地控制器、一种云端控制器方案。且其ExtremeCloud IQ已成全球第二大云端平台，兼能管控Extreme自家设备、第三方设备；云管理无线网络的优点，包括无控制器架构及控制器备援的要求、无单点失效风险、强迫全面软件升级的困扰、无强迫汰换硬件的困扰。

还原零失误，确保勒索攻击下仍可自救

Veeam Software台湾区技术顾问陈立颖指出，据调查，85%公司在过去一年中至少经历一次勒索攻击，33%支付赎金却没有恢复数据。但营运持续性的阻碍不仅勒索软件，像是如何针对实体、虚拟、公有云多元平台做好统一管理与备份，亦是难题。

持平而论，要在混合架构做到备份，其实相对容易，但如何做到整机还原或异地还原，则是困难之事。

惟透过数据保护专家Veeam的解决方案，即可满足Data Security「零信任」、Data Recovery「零疏漏」及Data Freedom「零锁定」三大优势，为公司的业务提供完美守护，如备份地端的实体机或虚拟机，日后在云上还原这些机器。而Veeam不只符合数据管理保护法则3-2-1，可多提供1与0，1指的是多重验证、确保数据完整性，0则意指还原零失误。

善用安全架构检视，补强云端网安罩门

伊云谷数码科技技术部专案经理刘雨瑄表示，不少人问云端是否安全？她援引Check Point调查报告强调，大部分云端安全问题皆来自人为错误配置，显见用户若能携手取得网安认证的云端代理商共同维护，就能确保安全。

谈到强化云环境网安防护的关键措施，她认为AWS的Security Well-Architected Assessment是很好的检视依据。伊云谷会利用云端安全架构检视工具，比对AWS的安全架构，协助客户理解个中差异，再寻求补强。

基本上云端安全架构有五大优化面向，包含数据保护、身份和浏览管理、系统和应用程序安全、基础架构保护及监控和事件响应；为此Security Well-Architected Assessment提供全面视角，帮助企业确保信息系统的安全性、法遵性和持续性，并且识别潜在威胁。

凭藉有效备份与还原，确保AD持续性及可靠性

Quest系统顾问王诗龄指出，许多企业重视服务备份，但Active Directory （AD）是否也做备份？即使有做，其还原是否有效？似乎都是问题。系因AD是企业关键系统，假使没了AD，恐导致许多服务无法继续启用。

归纳企业对AD的恢复挑战，包括以手动还原AD/DC耗时费力；无法还原整个AD网域和树系；无法验证备份档的有效性；更麻烦的是无法备份还原Azure AD。

所幸透过Quest工具，可快速恢复AD正常运作。因为它支持线上自动化AD备份、在线物件还原、自动化AD网域／树系重建，且从乾净操作系统执行还原、减少恶意软件藏身之处。另一方面Quest提供混合AD环境完整备份和灾难恢复方案，既可还原本地AD，也能还原Azure AD。

高效处理加密流量，不担心恶意软件攻击

A10 Networks台湾区技术总监陈志纬指出，现今逾90%网际网络流量加密，让于加密流量中的恶意软件攻击急剧增加，迫使企业须采取遏止移动。

因网安设备看不懂加密通道，企业须将流量解开，无奈传统做法有其问题，包括处理SSL会耗损效能，多重加解密易造成网络延迟；此外因应网安法遵，并非所有流量都可被解密；且部署加解密需变更网络架构，难免存在风险。

为此A10提出SSL Insight方案，采取前后夹方式，仅需做一次流量解密即可，也无需更动网络架构。SSL Insight内建专属SSL处理芯片，拥有极高SSL/TLS加解密效率、也能降低延迟，可精准识别加解密流量；采用集中式SSL/TLS凭证管理机制，能处理解密时需置换凭证的问题；且以进阶方式处理Bypass，符合网安法规。

利用IT即战力，迅速实现韧性供应链

网擎信息软件（Openfind）行销副总经理李孟秋表示，制造业欲打造强韧生态链，需有头脑（智能化决策）、身体（不间断营运）、手脚（分散式制造）与免疫力（线上协作）。

此时IT可帮忙的地方甚多。针对头脑，可透过AI执行风险诊断与预防。针对身体，可透过On-demand及高HA，以快速复原达到实时应变、冗余准备。针对手脚，借助风险管理来落实分散式制造。针对免疫力，透过线上监控、协作、WFH来达到安全协作。

为此Openfind展现多重优势，用IT助力实现供应链韧性。首先「安全控管」，依管理需求设定权限，有效控制数据存取。其次「稽核防护」，利用DLP，避免敏感数据被不当使用或外泄。再者「杜绝病毒」，防范勒索攻击，既便遭感染能一键还原数据，减少营运损失。

提高侦测速度，让黑客攻击功败垂成

凯信信息协理林文泰表示，据IBM X-Force报告显示，亚太地区连续两年成为受攻击最严重地区，制造业也蝉联最常受攻击的产业。另发现在21%网安事件中攻击者均有部署后门程序，惟其中67%部署失败，换言之若企业及早发现后门，便可避免遭加密勒索。

可惜制造业的侦测能力较弱，平均9.8天才发现被攻击，反观现今勒索攻击的平均持续时间仅4天。当务之急，制造业应设法加快侦测速度，而IBM QRadar EDR正是理想解方，只因它无需大量设定变更，便可在第一时间实时侦测。

凯信以IBM QRadar为基础建置SOC／MDR服务，长期协助客户进行网安事件分析、调查与Threat Hunting；一旦察觉高中级风险，可在1小时内通报，协助客户有效缓解APT、数据外泄或勒索攻击。

从黑客视角反思，严防AIGC引发网安威胁

安侯企业管理执行副总经理林大馗，分享他对生成式AI（AIGC）风行下的网安观点。论及AI可能衍生的网安风险，主要包括学习偏失、人为错误、技术缺陷、流程瑕疵、网安攻击、隐私侵害、决策误用、演算效能不足等八类。如Meta的CISO提出警示，已掌握到黑客开始留意AIGC技术，尝试利用它来激发「无穷想像力」；更有甚者，黑客不再使用ChatGPT进行网络攻击，转而直接攻击OpenAI。

AI造局，网安面临哪些挑战？林大馗援引安侯建业（KPMG）曝险报告指出，多数企业轻忽社群媒体衍生的网络攻击，如在大量运用社群媒体触及受众时，有意无意间留下公务联络信息；另员工在注册社群媒体时，经常将服务的企业名称、公司电子邮件等信息提交上去，导致员工信息更容易被取得，沦为黑客发动鱼叉式社交攻击的利器。

安侯建业（KPMG）建议企业应从黑客视角反思，立即针对社群媒体运用制定管理规范，并透过网安纵深防御策略、Anti-Spam等机制，有效防范企业电子邮件安全，避免Credential遭窃取，引发后续严重后果。