由財團法人台灣網路資訊中心(TWNIC)、台灣電腦網路危機處理暨協調中心(TWCERT/CC)主辦、數位發展部指導的「TWCERT 2022台灣資安通報應變年會」於11月15日盛大舉辦。今年年會以「資安韌性 營運永續」為題,邀集數位發展部、法務部調查局、卡內基美隆大學軟體工程學院電腦緊急應變團隊、微軟威脅情資中心(MSTIC)、美國國土安全部網路安全暨基礎設施安全局(CISA),與台達電子、鴻海研究院、合勤投控控股等科技大廠資安長,探討資安聯防最佳實踐、資安威脅趨勢發展,冀盼更多人投注資安,強化台灣資安韌性。
(上圖由左至右分別為)台灣大哥大公司處長柯正義、台灣網路資訊中心副執行長丁綺萍、瑞昱半導體資安長翁啟舜、台灣網路資訊中心執行長黃勝雄、數位發展部韌性建設司副司長吳銘仁、美國在台協會經濟組組長Patrick Boland。
台灣網路資訊中心董事長李育杰於開場表示,2022是動盪的一年,俄羅斯入侵烏克蘭前已發動網路認知作戰,美國眾議院議長裴洛西訪台期間也發生網路攻擊,民眾見證地緣政治衝突下,網路攻擊可被武器化,直接影響民生。這一連串事件,顯見「資安不能單打獨鬥」。
數位發展部韌性建設司副司長吳銘仁表示,數位發展部以「全民數位韌性」為核心理念,從社會共榮、產業轉型、應變韌性等三個層面建構相關基礎,強化國家整體數位韌性與治安防護。
應邀與會的美國在台協會經濟組組長Patrick Boland說,全球今年在政治地緣上面臨許多挑戰,美、台也面臨網路安全威脅,這些攻擊威脅公民、企業組織與國家安全,幾個月前裴洛西訪台發生的網路威脅更敲響警鐘。作為志同道合的夥伴,期盼台、美雙方共同努力,反應共同的價值觀並保護人權。
供應鏈資安及國際聯防
台灣網路資訊中心執行長黃勝雄以「供應鏈資安」為題發表演說。他表示,不同國家對資安有不同考量、國際間對資安投注不對等、採用不同的標準規範,都影響資安防範。在供應鏈方面,黃勝雄舉中國透過微晶片寄生在主機板,美國油管遇到勒索贖金等網路犯罪等案例,提出要降低網路資安攻擊風險,可透過盤查資產降低曝險度、主動積極保護系統、定期進行網路設備盤查等作法。但他也說,「比較困難的是人的行為。」因此,要增加與供應商間資安防護的信任,需透過不同機制進行。
當天他並主持國際座談會,與美國國土安全部網路安全暨基礎設施安全局(CISA)科長(Section Chief)Patricia A. Soler、微軟威脅情資中心(MSTIC)Benjamin Koehl、卡內基美隆大學軟體工程學院電腦緊急應變團隊代表Christopher Rodman,與馬來西亞MyCERT專家Sharifah Roziah Mohd Kassim,共同探究網路資安風險與解決方案。
Soler提及合作的重要性。她說,CISA關注全球資訊,並與國際合作保護大家的集體利益。她指出,網路安全是全球性議題,實際上並無國界。她以中國政府對特定政府的關鍵基礎建設發動攻擊為例指出,當時透過與博通(Broadcom)公司合作迅速反應,最終使國際受益,顯見國際合作尋求專業的重要性。
Koehl表示,針對遠端管理設備的邊緣攻擊,截至今年5月增加5倍。企業組織經常將資源暴露在網際網路,允許員工遠端存取資源,但這些設備沒有妥善保護,容易被攻擊者利用,一旦漏洞被披露後果可能無法管控。他也說,過去幾年網路犯罪進入新領域,世界各地發生針對醫院、石油管線等國家級的基礎安全設施攻擊,這些需跨國合作解決問題。
擁有聯邦調查局經驗的Rodman談及資安風險表示,從他們與許多國際團隊合作經驗來說,關鍵基礎設施、媒體或新聞、學術界、國防與政府等部門,是持續性威脅最終目標。此外還需考慮新技術擴展可能造成的資安威脅,如新興的遠端工作,涉及企業組織內部雲端數據安全複雜性等。
Kassim分享馬來西亞常見的攻擊方式,包括網路詐欺、釣魚軟體等。她說,一些技術如雲端服務等,對個資保護是巨大威脅,目前已看到許多針對個人使用者的攻擊,企業組織應從保護網路周邊開始,同時教育使用者,因很多的資安攻擊來自於使用者的人性弱點,如網路釣魚等。
國內資安情勢發展重點
奧義智慧科技創辦人邱銘彰以「黑暗AD中的一條明路—使用AI模擬攻擊路徑可視化」(Attack Path Visualization With AI Simulation)為題,強調網路攻擊危機不能只靠自評,而需用科學化的數據進行評估,「可視化」後企業組織才能規劃目標。他表示,AD攻擊路徑對企業最為重要,這不僅是IT重要核心,也是駭客攻防必爭之地。研究指出,86%的企業增加AD防護預算原因,主要是駭客攻擊AD的手法更加流行,遠距上班增加、雲端服務盛行,導致邊界更為模糊、管理成本更高。他建議企業主可用AI設計控制權轉移機率,模擬預測攻擊入侵點、計算攻擊成本,透過路徑分析得知最重要的帳號模擬出路徑。
法務部調查局資安工作站主任鄭健行,則就「資安就是國安」分享近期台灣出現的各類資安危機。今年8月3日裴洛西訪台,台鐵左營站電視牆顯示內容遭置換,他們輾轉聯繫台鐵、外包廣告公司、LED螢幕系統開發商,發現電視牆螢幕置換內容「僅需知道IP」即可,不需帳號密碼即可透過網頁上傳、編輯播放內容。他們還發現,駭客透過網站方式上傳,連記錄都未保存。鄭健行說,上述情況讓他們發現追溯源頭的困難,以及電訊商是否有權留存相關資料等。他建議應增列電視牆等IoT連網設備審核時,需提報資安檢測證明才可發放許可的規定,降低被駭風險。此外,委外廠商也需進行資安要求,減少這些平台被利用的機會。
(圖片由左至右為)國立陽明交通大學資訊工程學系講座教授林盈達、
合勤投控控股資安長游政卿、鴻海研究院執行長李維斌、
台達電子資訊長曾立峰共同分享資安見解。
國立陽明交通大學資訊工程學系教授林盈達主持當天壓軸的產業資安高峰座談會,高科技資安聯盟召集人暨合勤投控控股資安長游政卿、資安長聯誼會會長暨鴻海研究院執行長李維斌、台灣資安主管聯盟副會長暨台達電子資訊長曾立峰等大廠專家,以企業角度分享如何面對資安威脅。
游政卿不諱言說,合勤投控控股2007年起即被特定駭客長期持續性攻擊。他認為要做好資安,企業組織首先需了解「場域有多少資產,多少台機器」,更重要的是,病毒碼是否更新、作業系統更新是否為最新版本等,這些「基本功」都是企業資安最重要的部分。
橫跨學術、政府、銀行至製造業的李維斌認為,資安上面臨最大問題是組織文化衝擊。當企業組織面對資安威脅,理解有什麼技術可使其更安全後,要想辦法融入,最後熟悉這些資安技術,將其成為組織文化的一部分。至於各部門如何配合這些組織文化落實資安,是企業需解決的核心問題。
曾立峰則從日常執行資訊安全的角度表示,企業組織可先確認本身重要的資產為何,如何保護,如何支持客戶端,再從合作角度確認有哪些系統可予以幫助,員工日常工作也需了解各類重要資訊。他說,從這些面向盤點、設立管控點後,風險管理就會更清楚。他並建議企業組織增加員工的資安意識,當真正遇到資安威脅時才能有章法解決。