RSA Conference堪稱是 2010 年度最盛大的資安會議,已於三月初在舊金山舉行,一般認為RSA會議是了解年度資安動態的最佳資訊來源,今年也不例外,以Security Decode為主題,則是希望破解資安問題之考驗。如預期地,雲端安全與網路犯罪議題引爆了討論。此外環繞著 Google等企業被駭客入侵的事件,也造成了重新思考用戶端點安全、網路釣魚與針對性攻擊的防禦策略是否仍有效的問題。
雖然這些並非新問題,但是亟需新的答案。原因是,在犯罪手法與策略的進步與複雜化,傳統的資安防禦方式也勢必要做相對應變革,完全仰賴防火牆加上防毒軟體的觀念,幾乎已經無法阻擋目前的資安外部威脅。面對科技的進展,不只是因應變化而是要加速趕上變化。從Google遭入侵事件為中心,透過網頁瀏覽器以及插件的弱點,可以快速不費力地入侵至企業的內部網路。這樣的狀況其實離不開透過殭屍網路、網路釣魚、身分竊盜等,所共同造成的新一波網路犯罪現象。
因為極度不對稱的資訊科技,一般受到攻擊入侵的受害者並無相對的資訊安全技術背景,而問題的根源幾乎可以歸咎於:軟體本身的漏洞和人腦的漏洞。試想,如果沒有軟體漏洞的存在,像是微軟或Adobe的相關軟體問題,這些外部威脅的犯罪成本是相對更高的,因此在探討漏洞揭露與修補之作法上,亦是長久以來用戶與業主的爭議。正如Toyota汽車因為產品瑕疵大量回收以挽救商譽之時,資訊科技廠商應持等同之社會責任來面對軟體漏洞的修補問題。人腦的漏洞即是最後一哩的防禦,面對社交工程與針對性攻擊的手法,加上科技技術與漏洞的演進,人腦也需要不斷地透過教育訓練來做修補強化。