Security Summit 2024:强化网安治理,打造决胜未来的超凡韧性 智能应用 影音
Event
EVmember

Security Summit 2024:强化网安治理,打造决胜未来的超凡韧性

  • 郑茨云DIGITIMES企划

为期两日的网安峰会,齐聚产官学研多位网安专家,为台湾企业擘划网安韧性蓝图,图为开幕合影。左起:卡巴斯基台湾销售总监黄茂勳、Synology台湾事业处总经理李乾玮、趋势科技台湾暨香港区总经理洪伟淦、DIGITIMES暨IC之音董事长黄钦勇、数码发展部政务次长阙河鸣、国家资通安全研究院院长何全德、AWS台湾暨香港总经理王定恺、台北金融研究发展基金会董事长周吴添、亚利安科技网安技术支持部协理王添龙。DIGITIMES摄
为期两日的网安峰会,齐聚产官学研多位网安专家,为台湾企业擘划网安韧性蓝图,图为开幕合影。左起:卡巴斯基台湾销售总监黄茂勳、Synology台湾事业处总经理李乾玮、趋势科技台湾暨香港区总经理洪伟淦、DIGITIMES暨IC之音董事长黄钦勇、数码发展部政务次长阙河鸣、国家资通安全研究院院长何全德、AWS台湾暨香港总经理王定恺、台北金融研究发展基金会董事长周吴添、亚利安科技网安技术支持部协理王添龙。DIGITIMES摄

近年网安攻击事件越演越烈,除了令人闻之色变的勒索软件攻击、钓鱼邮件/网站攻击、社交工程攻击、漏洞攻击依旧猖獗外,肇因于企业使用开源软件元件或函式库所衍生的供应链攻击,亦使得许多企业猝不及防,因而酿成关键服务停摆的悲剧。

更让人担心的,随着生成式AI爆红、混合云架构盛行,加上地缘政治情势升温,种种变量接踵而至,而台湾向来是频繁遭受攻击的热门区域,今后的网安情势恐怕更加凶险,看来并无缓解迹象。

DIGITIMES暨IC之音董事长黄钦勇为网安峰会进行开幕致词。DIGITIMES摄

DIGITIMES暨IC之音董事长黄钦勇为网安峰会进行开幕致词。DIGITIMES摄

数码发展部政务次长阙河鸣为听众揭示政府对于网安政策的未来重大方向。DIGITIMES摄

数码发展部政务次长阙河鸣为听众揭示政府对于网安政策的未来重大方向。DIGITIMES摄

网安院何全德院长于DIGITIMES首届网安峰会分享主题演讲「新时代AI对网安治理的挑战与契机」。DIGITIMES摄

网安院何全德院长于DIGITIMES首届网安峰会分享主题演讲「新时代AI对网安治理的挑战与契机」。DIGITIMES摄

勤业众信联合会计师事务所资深执行副总经理简宏伟分享以零信任危机处的网安风险管理。DIGITIMES摄

勤业众信联合会计师事务所资深执行副总经理简宏伟分享以零信任危机处的网安风险管理。DIGITIMES摄

Veeam资深技术顾问陈绍鹏演示企业如何达成数码韧性与数据保护。DIGITIMES摄

Veeam资深技术顾问陈绍鹏演示企业如何达成数码韧性与数据保护。DIGITIMES摄

OneDegree集团信息长Stanley ChouAuthme、共同创始人暨CEO李纪广共同探讨AI趋势成形后的网安风险因应。DIGITIMES摄

OneDegree集团信息长Stanley ChouAuthme、共同创始人暨CEO李纪广共同探讨AI趋势成形后的网安风险因应。DIGITIMES摄

为解锁GenAI力量,AWS举办「2024 AWS生成式AI创新产业应用日」,展示横跨10余个产业、超过15个不同GenAI应用场景。DIGITIMES摄

为解锁GenAI力量,AWS举办「2024 AWS生成式AI创新产业应用日」,展示横跨10余个产业、超过15个不同GenAI应用场景。DIGITIMES摄

亚利安科技精锐尽出,展示现阶段所有代理品牌,例如擅长数据库与网站应用程序防护的Imperva、知名CNAPP平台Orca等。DIGITIMES摄

亚利安科技精锐尽出,展示现阶段所有代理品牌,例如擅长数据库与网站应用程序防护的Imperva、知名CNAPP平台Orca等。DIGITIMES摄

卡巴斯基(Kaspersky)推出Kaspersky Next新一代网安产品,强调可凭藉强大的端点保护、EDR及XDR,帮助企业应对现今复杂的新兴威胁。DIGITIMES摄

卡巴斯基(Kaspersky)推出Kaspersky Next新一代网安产品,强调可凭藉强大的端点保护、EDR及XDR,帮助企业应对现今复杂的新兴威胁。DIGITIMES摄

群晖科技(Synology)主推数据保护方案,可集中备份各种实体和虚拟应用数据,藉以完善3-2-1备份架构并达到实时数据还原。DIGITIMES摄

群晖科技(Synology)主推数据保护方案,可集中备份各种实体和虚拟应用数据,藉以完善3-2-1备份架构并达到实时数据还原。DIGITIMES摄

来自日本的HENNGE,鉴于社交工程攻击、钓鱼网站威胁至钜,提出社交/钓鱼演练、DLP、身份识别控管等多层次防御方案。DIGITIMES摄

来自日本的HENNGE,鉴于社交工程攻击、钓鱼网站威胁至钜,提出社交/钓鱼演练、DLP、身份识别控管等多层次防御方案。DIGITIMES摄

A10展示Thunder TPS次时代DDoS防御方案,不仅承载大量恶意IP数据,且结合ML动态侦测机制,得以有效防范多重DDoS攻击。DIGITIMES摄

A10展示Thunder TPS次时代DDoS防御方案,不仅承载大量恶意IP数据,且结合ML动态侦测机制,得以有效防范多重DDoS攻击。DIGITIMES摄

OneDegree提供AI赋能的自动化红队演练方案,协助金融业消弭大型语言模型(LLM)或AI系统的道德、合规、数据外泄等风险。DIGITIMES摄

OneDegree提供AI赋能的自动化红队演练方案,协助金融业消弭大型语言模型(LLM)或AI系统的道德、合规、数据外泄等风险。DIGITIMES摄

着眼于此,DIGITIMES特别开启Security Summit 2024网安峰会活动。在第一天议程中,聚焦于「软件x治理x人才」主题,期望协助企业翻转网安防护架构与观念思维,更有自信地应对各种网安挑战与考验。

重新定义/定位/定价,紧扣AI爆发商机

DIGITIMES暨IC之音董事长黄钦勇表示,2024年是动荡的一年。2023年底的时候,业界原本期待2024年PC与手机回温,结果仅有1~3%微幅成长;另期待电动车带来新商机,车用半导体却呈现负成长状态。然而AI加速器则令人惊艳,增幅不是用百分比算、而是高达2.5倍。

世局多变,导致AI气势如虹、正在颠覆我们的世界。欲解读AI带来的爆发性商机,必须理解Top-Down决定产品规格已然远去,取而代之的是Bottom-Up时代,市场需要的是快速回应、技术超前的生态系统服务;过去数十年已淬链深厚基底的台湾,将迎来莫大机遇。

有人说AI吃掉软件、软件吃掉硬件,黄钦勇同意这般论点。但正所谓相依、相生、相克,硬件吃掉AI的可能性相当大,因为「做不出来就赢了」,台湾不管半导体、服务器等产业无可替代,因此我们必须善用新的工具与方法,重新自我定义、定位与定价,在AI引爆的价值翻转中跻身大赢家。

政府防范AI风险,修正电子签章法并成立AI评测中心

数码发展部政务次长阙河鸣指出,展望今后有几个重大政策方向值得留意。环顾国家希望工程政策,总计八大施政目标中就有两个与网安相关,首先是韧性台湾,旨在推动网安联防、强化数码韧性,保障安全与民主。

其次是产业网安、网安产业。分析民间企业网安投资,一些知名的大型电子公司其实无需担心,真正需要关注的是中小企业,他们经常遭受勒索攻击。因此未来中小企业将是政策着力重点,会给予一些资源,帮助他们满足基本网安需求;如产业署推动的DIGITAL+数码服务创新补助计划,就带有这样的意涵。

至于下一重点正是AI。数发部很早就预见AI一定会衍生网安议题,也在一年半前研究深伪诈骗,尽管迄今尚无完整答案,但已研拟一些方法,所以着手修正电子签章法,并且成立AI评测中心;与此同时会在公家机关积极推展零信任架构,希望中央部会在未来1~2年内导入完毕。

有效与可靠,为AI可信任的基石

国家资通安全研究院院长何全德强调,AI引爆全新的典范和机会,不仅加快双轴转型速度,也让许多企业面临极大压力。所以据统计,全球逾六成CEO表示无论2024年经济状况如何,都会持续投资AI。

尽管GenAI带动人类效率、效能与智力全面钜变,但持平而论AI是矛也是盾,虽有转机但也存在危机,故需留意风险治理问题,以期兼顾Speed和Security,让我们可以安全地利用AI潜力,最大限度降低相关风险。传统软件基于程序逻辑,易于预测输出,但LLM涉及上千亿参数,无人能精确掌握其生成之道,可能带来独特甚或加剧的风险。

所以企业思考AI风险治理时,除需考量传统CIA外,亦需注意Abuse与Misuse,防范不尽真确的AI幻觉议题,确保AI与人世间的道德价值对齐;诚如NIST观点,有效与可靠是AI可信任的基石,因此数发部规划成立AI产品与系统评测中心,道理便在于此。

借力云端AI科技,避免攻防武器不对等

AWS台湾暨香港总经理王定恺说,IT产业经常存在一些刻板印象,如老板或IT主管认为有使用VPN、通过ISO 27001认证、安装防毒软件及防火墙,且将数据锁在公司机房不上云,就安全无虞。殊不知黑客已采用先进技术与思维,用GenAI来发动攻势,导致你的防御武器不对等,因而陷入险境。

「GenAI正在改变网安运作,黑客已用枪炮,你岂能耍大刀?」王定恺认为别人道高一尺、我们就要魔高一丈。以亚马逊为例,因年营收逾5千亿美元规模,一向是黑客觊觎目标,故内部早已建立「Security is job zero」文化,期望打造最安全云端环境,让同仁安心探索新技术;另善用AI科技持续升级防御武器,时时侦测与分析黑客异常行为,并自动化展开反制移动,不断增强事故应变能力。

存取控制+可视性+日志稽核,扎稳混合云网安基本功

趋势科技台湾暨香港区总经理洪伟淦表示,近年威胁态势险峻,造成网安议题日益火热。深究其因,为新兴科技催化数码转型快速发展,而云端是转型过程最关键的新兴技术载具,加上大家对云端不了解,以致衍生网安问题,包括纯云端或云地混合攻击模式皆有。

云地网安差别何在?攻击手法其实差异不大,但云端变动快、冲击大,尤其基础架构程序(IaC)带来便利但也伴随Access Key外泄及被盗用风险。应对这些挑战,建议企业务必订定云端网安政策且严格执行,其中须涵盖存取控制、可视性、稽核(云端日志保存)、自动化(Security as Code)等重点。例如利用云端安全态势管理(CSPM)工具比对Log,厘清有无错误设定情形;或针对Github执行Hunting,检查是否有Access Key不慎被丢上Github。

结合零信任、AI与PQC,因应网安新挑战

亚利安科技网安技术支持部协理王添龙呼吁,面对网安新挑战,企业应尽速研拟AI、量子运算冲击加密机制的因应对策,再结合零信任与AI技术,打造动态且智能的网安防护,有效应对日趋复杂的网安法规,确保数码转型旅程一路安全合规。

综观多项法规,「加密」出现频率甚高,包含网安法、金融网安移动方案2.0、行政院建议之数据安全管理措施、安维办法,乃至ISO 27001新增控制项目均有相关规定。惟值得一提,因量子运算恐破解现行PKI,企业宜着手将加密机制升级至后量子口令学(PQC);接着应盘点资源存取途径,以零信任深化网安防护。

掌握威胁情报,提升网安维运效能

卡巴斯基(Kaspersky)台湾销售总监黄茂勳表示,近年Kaspersky提倡一项很特殊观念「网络免疫」,为一个简单概念,藉由垫高攻击成本与时间、使其得利益不及这一切,让黑客放弃攻击念头,而实现此目标的关键养分便是情资。

Kaspersky认为,欲使SOC中心的数据更广泛,务必建立好端点安全、威胁情资、安全日志三大要素。其中情资对SOC至关重要,故应善用第三方网安厂商提供的大数据情资,达到快速定位问题根因的效果。为此Kaspersky提供CyberTrace平台,主动吐数据给企业,让企业轻易获得全球IP Reputation,包含C2主机的URL与相关IP、恶意程序的Hash,且更新速度甚快;企业只要加以比对,便可迅速揪出潜在祸患、提升安全维运效能。

完整实践数据保护,加速达成ISO 27001合规目标

群晖科技(Synology)台湾事业处总经理李乾玮指出,迄今群晖于全球累积销售逾千万台NAS,近年着眼用户对数据应用需求转变,逐渐聚焦四大领域,涵括数据储存、数据备份暨灾难复原、企业生产力、智能影像监控;其中备份与容灾更是企业满足合规的重点。

群晖建议客户从ISO 27001出发,系因它涵盖RTO/RPO、还原演练计划、备份3-2-1等基本规定。归纳ISO 27001在数据保护的重点有四,分别是保护来源数据、确保备份可⽤性、建构备份可还原性、多元还原及随需取回。群晖对这些要点着力甚深,例如以Active Backup免授权软件协助满足各个平台的备份需求;透过Hyper Backup满足备份3-2-1;藉由新推出的备份一体机ActiveProtect,助用户透过CMS集中管理单一丛集下至多达2,500台备份服务器。

循序建构零信任,为网安事件预做准备

勤业众信联合会计师事务所资深执行副总经理简宏伟认为,零信任概念是自然而然产生的,系因传统网安防护需要设定边界,但如今边界定义渐趋模糊,迫使企业须从另一角度思考风险管理,甚至将网安导向治理角度;此时即需从「零」开始发展服务与建构环境。

他提示几个做好零信任的重点。例如将内网视同外网、从部门别来区隔网络甚至建立微分段,把每个Entity视为边界、个个变成验证主体。针对特权帐号管理,一定限缩到最小。蒐集充分的Log,做为信任推论的基准。以及推动零信任先不急着买Solution,务必先盘点你要保护的是什麽,再据此调整网络架构,会比较容易。此外从高风险低冲击的场域开始试做,再根据个中经验建立SOP。

以多层次防御,遏阻人为错误引发的网安风险

HENNGE台湾惠顶益行销经理张克豪点出,谈到企业最需警戒的网安风险,钓鱼网站与社交工程手段肯定名列其中,它们与其余风险最大不同,在于都是针对人的攻击,任凭企业布建再先进的防御系统、也终究防不胜防。

建议企业应对此建立多层次防御。第一层先做社交工程/钓鱼信件演练,借此培养员工网安意识,练习事件发生时的正确应对。第二层为数据外泄防护(DLP),即便有人不慎受骗,在对外传递机密过程,亦可适时拦阻。第三层是身份识别控管做为最后防线,如启用SSO或MFA,避免身份外泄造成网安疑虑。针对上述三层,HENNGE分别提供Tadrill、Email DLP/File DLP、Access Control/Device Certificate等完整方案。

部署新一代DDoS防线,瓦解地毯式攻击

A10 Networks台湾区技术总监陈志纬表示,据DBIR报告,2023年DDoS占所有攻击40%堪称头号威胁。但值得留意,现今DDoS与过往有所变化,单凭传统防御机制恐因无法分析DDoS攻击类型,导致误挡或漏挡。

以往企业依阀值启动防御机制,反观现在DDoS多是地毯式攻击,攻击目标分散化,以致单一目标的量不大、不会触发阀值。所以做为新一代DDoS防御,首先要能藉助多元化感知器,达到精准侦测。其次要有防御等级之分,无攻击时不放任何Policy,力求不误拦;当攻击流量进来,则动态依据Level 1~4严重等级启动对应规则。再者由机器取代人来自动化分析攻击型态,让计算时间从30~60分钟骤减至5分钟内,以便及时迅速套用至防御设备。而A10的Thunder TPS,便是符合这些条件的新时代防御利器。

实践完整数据保护,建立最强数码韧性

Veeam资深技术顾问陈绍鹏指出,不少人将网安视为成本,其实只要折中拿出3%做数据保护,便能有效防止企业环境遭破坏。但须注意,现今93%黑客主攻备份储存库,为此我们从法遵出发,从金融网安精进措施2.0等规范中拉出大方向,做好营运持续演练、强化数据保全,再以自动化达成上述目标,便有望建立足够数码韧性。

Veeam长年专注发展数据保护技术,协助用户高效执行演练、备份、还原、防勒、上云,进而符合法规并通过验证。系因Veeam可凭藉单一平台,全面支持实体机、虚拟机器、云、Apps、SaaS或容器等业界最多元的工作负载,亦日复一日自动执行验证,确保你的备份数据是否可用;另在备份时,透过AI确认其中数据有无问题、是否已遭入侵,经确认无误,再放进无人可动的保险箱。

运用创新科技建立防线,防范数码经济下安全风险

峰会第一天举办的两场Panel,一是由IC之音‧竹科广播「科技领航家」主持人朱楚文主持的「数码经济下,产业如何透过上云与创新科技因应网安风险」,与谈人包括Authme共同创始人暨CEO李纪广、OneDegree集团信息长Stanley Chou。

Stanley Chou认为随着AI趋势成形,已开始出现典范转移。可预见愈来愈多的应用层,会从传统Rule-based转向机器学习ML-based。网安亦是如此,企业须确保其LLM不被攻击者操弄、产生不正确或不公平回应,且有能力遏止数据泄漏或Prompt Injection风险。OneDegree可协助用户执行红队演练、甚至达到演练自动化,以系统化机制验证AI系统或LLM有无漏洞与风险。

李纪广说,擅长金融KYC的Authme关注身份诈欺议题,研究如何防范黑客发动深伪(Deepfake)或AI诈骗;曾有因Deepfake而酿成某企业大笔财务损失之例,风险可见一斑。建议企业先从设备监别、MFA方法做起,分析是否为本人;若涉及网络交易或高风险交易,Authme可提供SDK协助用户进行控管,识别影像来源是否为真,而非遭到中间人攻击,亦确保并未被P图过。

SSO+MFA+FIDO+AI,打造阻骇反诈大防线

压轴议程为「金融网安:以SSO/MFA/无口令巩固身份安全」Panel,主持人为朱楚文,与谈人是富邦金控副总经理暨网安长苏清伟。

苏清伟强调,金融机构须确保客户个网安全及交易正确性,故需防范因DDoS或勒索攻击导致交易系统停摆。此外金融业者亦应关注防诈骗,富邦也花了许多心力来防范这一部分,避免影响与客户之间的信赖。

富邦尽力让假信息尽快下架,不让客户接触。但反制过程有其难度,因诈骗成本甚低,诈骗集团就算被迫下架,也会立即生成一样的粉丝专页。富邦曾因不断检举、下架再生成,与诈骗集团周旋两星期,所幸数发部意识到此事,要求网络广告平台若被通知有刊登诈骗广告,应于24小时内下架,可望增强防诈力道。

论及防骇与防诈关键技术,苏清伟认为有SSO、MFA及FIDO,其中诉诸无口令的FIDO,有机会成为身份验证主流技术,系因验证过程能有效避免帐密外泄。另一重要技术为AI,譬如北富银为加强保护客户个资隐私与交易安全,特别携手刑事警察局开发「鹰眼模型」AI侦测技术,提升对可疑帐户识别的精确性。

关键字