下一代的資安科技發展

 前瞻資安技術年會 ─ 專訪 Matthew Conover

資安問題就像是包著糖衣的美麗謊言，最大的威脅端視我們所針對的主體為何，所以對於不同的組織而言，所面對的威脅與風險也有差異，Matthew表示，「就我所知，的確，以統計數字來看大多嚴重的資安事故是因為內部員工所引起，然而，這當中可能有部分是誤導，其中包含員工不小心執行、存取，他不應該使用的資訊資源，但是卻是無心之過」。比較近幾年來逐漸嚴重的針對性攻擊(targeted email attacks)鎖定公司C字輩的高階主管而來，這對於公司而言是更嚴重的，表示你這家公司可能有一些領先對手的科技或者是有營業秘密可以挖。所以我個人認為，內部員工威脅數量的確有上升，但是來自於針對性攻擊的威脅則是最嚴重的。

過去1年以來 在個人研究領域上的轉變有很大的原因是，惡意軟體每年的增長速率已經快要趕上天文數字，以病毒碼或特徵值作為依據的廠商感受到很大的壓力，許多公司已經開始往復古的道路走，例如白名單、經驗法則等，但是這邊有一個問題，為什麼有這麼大量的惡意軟體出現，大多數的惡意軟體是透過網站傳播，攻擊用戶端網路瀏覽器的弱點，像是 Internet Explorer或知名的ActiveX元件， 只要造訪這些網站就有機會被感染，還有現在開始流行惡意的flash廣告，我們對於網站安全還有很大的改善空間。

對我個人而言，目前研究如何偵測及移除rootkit是一個很現實的問題，像是之前Peacomm、Rustock、 Mebroot這些有rootkit功能的惡意程式，Mebroot是隱藏在MBR開機區的rootkit，都會造成嚴重的問題。在這個偵測及移除rootkit的研究領域還有發展空間，隨著rootikit出現越來越頻繁、越來越難偵測更不用說自動移除，在這方面的研究還需要更多的投入。

SyScan主要是以亞洲的資安社群為主，與亞洲之外的資安社群有些許的差異，關於這個問題，的確很難區分出所謂東西方之間的差異，我們試著把這問題更一般化來看，然後舉幾個例子。亞洲有很多的軟體公司，但是都是針對地區市場，以大陸的防毒軟體公司瑞星來說，在中國大陸是很有名的，但是出了亞洲區就不知道了，或者區域性的軟體，像是QQ這種即時通訊軟體。所以，亞洲的資安問題肯定與全世界是有所差異的。而且在資安社群(info-security community)應該是有存在沒有經常交流溝通的事實，在亞洲很有名的資安專家或駭客，到了西方國家似乎就沒這麼有名，也許是比較沒有參與西方的研討會或積極投稿的因素，甚至是在mailing lists.中發表意見。有時候我對於亞洲地區所發表的資安技術工作的成果，也會感到令人驚艷的品質與國際其他地區並駕齊驅的相同水準。

對於西方國家而言，漸漸地為了樂趣而研究的資安人員越來越少，肯無償奉獻的精神不復見，像是在90年代有許多安全相關議題的工作小組，不論是白帽黑帽，他們都是為了樂趣而研究，曾幾何時許多商業軟體逐漸出現之後，為錢為利益而作的成分逐漸提高。現在國際研討會中也是越來越多演講者，都帶有置入式行銷的演講內容，甚至講自家產品。當然，現在亞洲地區還是有許多資安研究社群，等到市場夠大足以吸收這些社群時，這樣的問題同樣會出現，所以目前亞洲的資安研究還是很活絡的，可以是為興趣為名聲而做的。

雖然亞洲與東歐地區在資安「黑市」似乎發展蓬勃，許多複雜的惡意程式及rootkit都是出自亞洲地區，原因可能是因為沒有足夠的法律約束以及合法的資安企業來雇用這些高手，讓他在正確的地方發揮。而且壓洲市場比起歐美的確是相對地小，公司規模也是，但是每年仍然從學校畢業大量的資訊科系學生，未來還是有機會成為全球資安中心的匯集之地(hub)。