新世代資安 3 大挑戰:供應鏈安全、跨域聯防與思維轉型

作者 | 發布日期 2021 年 11 月 15 日 9:00 | 分類 資訊安全 Telegram share ! follow us in feedly


面對後疫情時代之數位經濟浪潮,物聯網 IoT、AI、5G 技術快速發展,強韌安全的數位應用已成為當下重要的顯學。TWNIC 財團法人台灣網路資訊中心及 TWCERT/CC 台灣電腦網路危機處理暨協調中心於 11 月 3 日線上、線下舉辦「2021 台灣資安通報應變年會」。TWNIC 李育杰董事長開場時提到,近來資安事件已從企業辦公室資訊設備延展到區域的基礎建設場域、通訊環境與工控設備等,其影響層面,已擴大到企業組織、國家層級的安全。

供應鏈資安與韌性

2021 年接連發生 SolarWinds 及 Kaseya 等重大供應鏈攻擊事件,NCC 孫雅麗委員表示,「供應鏈的可視性很重要,供應鏈涵蓋很多層,裡面藏有許多盲點。如一台主機裡,一定有元件是跟別人買的。你相信你的供應商,但是你相信你的供應商的供應商嗎?」。

因此,要如何確保供應商產品是安全的,NCC 有 3 個創新作為:

1. 制定「關鍵電信基礎設施資通設備資通安全檢測技術規範」

NCC 指定防火牆、交換器、路由器須作實機測試與資料備查。在實機共同測試的項目中,強調系統弱點及漏洞檢測。

2. 通傳事業資通設備資安漏洞通報系統

電信商需要定期盤點有哪些資通設備,清單要上傳至 C-ISAC;由 C-ISAC 自動通知電信業業者 CVE 待修補資訊。

3. 成立國家通訊領域軟體安全實驗室(NCCSC)

為我國 5G 網路業者、應用服務開發者和 IoT 製造商提供、協助或諮詢安全軟體設計及開發的服務與專業培訓。

而為了減少供應鏈資安風險的核⼼作為,鴻海研究院執⾏⻑兼資安所所⻑李維斌也提出 5 點:

  1. 了解⾃我的準備情況/成熟度
  2. 慎選供應商,採購流程不能只有價格標
  3. 提升企業組織的網路韌性
  4. 測試事件應變計畫
  5. 考慮投資建立數位鑑識能⼒

日月光集團(高雄廠)總經理室暨資訊中心副總經理李政傑特別提到,半導體協會目前針對設備類跟未來應用類,正在制定資安標準。重點還是在供應鏈上,可以幫助供應商對於設備的資安防護設計,能有標準可循。

▲ 圖說:本次參與年會嘉賓合照。由右至左為台灣網路資訊中心丁綺萍副執行長、荷蘭在台辦事處創新科技處楊智凱資深創新與科技事務官、美國在臺協會經濟組 Dannielle Andrews 組長、NCC 孫雅麗委員與鄧惟中委員、行政院資通安全處林春吟副處長、台灣網路資訊中心黃勝雄執行長、調查局張尤仁副處長、NCC 鄭明宗處長。(Source:法蘭克福展覽)

對抗勒索要「聯防」

2021 年台灣高科技業紛紛中了「勒索軟體」的箭,再次凸顯資安是企業營運持續管理(BCM)及營運持續計畫(BCP)裡的三大安全之一。

華碩資安長金慶柏表示,「民間企業要透過不同工具、自動化設備,先了解自己的弱點,加強防護。此外,加入專業資安的聯盟組織,如 TWCERT/CC、高科技產業資安聯盟,可以事先掌握情資,了解攻擊手法,聯合防禦。」威聯通技術長龔化中認為備份跟加密是防禦勒索攻擊之必要。日月光則從預防、防禦、復原等三個層次防禦勒索攻擊。

其實不只台灣,同樣是製造大國的日本、印度、泰國,也遭受許多的勒索攻擊。與談代表日本 JPCERT、印度 CERT-In、泰國 ThaiCERT 以該國經驗建議不要支付贖金,但應該第一時間通知警方以及客戶,做好第一時間應對。他們提醒即便付了贖金,大多數案例只有 50-60% 的資料被復原。同時不要直接與駭客談判,找第三方談判員進行協調、資安保險等是建議可以考慮的作法。

▲圖說:科技業資安高峰座談會。由右至左為國家資通安全會報技術服務中心吳啟文主任、日月光集團(高雄廠)李政傑總經理室暨資訊中心副總經理、華碩電腦金慶柏資安長、威聯通龔化中技術長。(Source:法蘭克福展覽)

資安思維也要「轉型」

本次年會幾個被提出的數字:駭客攻擊的工具至少有 552 招、單一企業平均每月遭受 9.2 萬次攻擊、 75% 的中⼩企業缺乏專業⼈員解決 IT 安全問題…等都點出資安的現實面:網路威脅可以降低、可以管理、可以復原,但無法滅絕。企業⼼態必須從『如果被駭客攻擊』轉向『當被駭客攻擊時。』

資安思維以往著重「事前」,但是應該留一部分的資源在「事中與事後」。奧義智慧創辦人邱銘彰解釋,「事中、事後很需要人力,跟事前預防是不同的能量。」他建議企業量化潛在威脅與現況,尤其是內部端點跟 AD 安全。並用 MITRE ATT&CK 制訂三個被攻擊像定情境,才進行資安投資與配置。

行政院國家資通安全會報技術服務中心主任吳啟文總結道:「資安防禦越來越困難。大家應採用新的思維,零信任網路架構,如何從身分鑑別、設備鑑別、信任轉移加強資安防禦。政府也在談主動式防禦,在駭客攻擊前先做到情資掌握,化被動為主動。」

(首圖圖說:TWNIC 李育杰董事長於開場時提到,資安防護已不再僅僅是政府或專家的責任,每個人都肩負著這項使命。圖片來源:法蘭克福展覽;資料來源:法蘭克福展覽)