觀點

資安產業如何搭上國際趨勢列車?

2009 / 09 / 11
左恩燦
資安產業如何搭上國際趨勢列車?
台灣技術夠強,國際市場夠大,如何接軌、再創新機?

  資安國產商自主研發的能力有目共睹,但現實情況卻是成長幅度相當微幅緩慢;因此,近來有關國產商如何踏出台灣這塊百家爭鳴的彈丸市場,走向國際的話題,一直被熱烈的討論著。由於資安市場是「信任」市場,自有品牌是『通行護照』不遑多論,然而國產商要打著自有品牌在國際發光,需面臨的問題已跳脫了技術本位的問題,而是對國際市場生態的認知、行銷策略的捉摸,甚至回歸至『Made in Taiwan』在國際地位上的尷尬瓶頸。

  由經濟部工業局主辦的《資訊安全產業市場與技術趨勢國際研討會》 6月7日(2006)在台北舉辦。主要目的是將現今美國資安市場趨勢與關鍵技術發展現況,透過「北美台灣工程師協會(NATEA)」與在美已有基礎市場的廠商,提供行銷策略交流,並分享其在美開疆闢土的實務經驗。

資安與威脅循環共生

  IT供應商在研發新科技和提供新服務時,並沒有把周全的安全設計也考量進來,因此,同時也生產了更多的安全漏洞;當一端以利益為動機的攻擊事件日益複雜,並且正為組織化的犯罪行為引導現形時,防禦端的網路安全、主機設備的發展,也和如何降低風險與安全管理並駕齊驅的馳騁。道魔持續的消長,資安與威脅循環共生,亦諷刺的創造著商機。

  不安全產品使企業成了受害者,消費者更是這個生物鏈的『下游受災戶』,當消費者將問題丟給立法者時,立法者則再反諸企業。因此,法律的規範驅策著美國CEO/CFO的政策制定和採購方向,也激發著企業防禦能力的提升;攻防賽則在入侵者與抵禦者之間上演,兩者表演著高超的技術和精湛的工具,而安全供應商則像是這場競賽的『軍火商』,同時『販賣恐懼』。

法規驅策安全發展

  美國的確是個善於法治操作的國家,安全產業亦不例外,其資安的發展可說是被法規牽著鼻子走的,從SOX、HIPPA、Patriot、BaselⅡ、到GLBA、FFIEC、PCI等,法規的要求將諸多解決方案綁了進來,活絡了商機。

  據InfoPro調查,美國資安人員在諸多安全管理項目中,認為最迫切需求,並列為最優先考量的項目即為法規依循,第二為SOX,再其次才是安全營運、存取控制管理等項目;主因是CEO會直接受到法規的影響。北美台灣工程師協會資深安全架構師張思源強調,「只要是SOX中規範的相關產品就很好賣,因為企業的選擇夾雜了許多被迫成分,並非完全是安全考量。」。

  資訊安全防禦從週邊安全轉移至內部的存取控制和身分管理;企業必需制定政策以確保機密資料安全,並遵從這些政策。現在安全重任已落到C字輩的長官們(CEO/CFO)肩膀上了,他們必需面對責無旁貸的法律義務,假設發生資安事件,不需等狗仔來踢爆,就得主動對外說明,並給客戶一個解釋和報告。因此,法規依循成為企業安全投資時最大的驅動力。

市場趨勢帶動關鍵技術

  據IDC和Pacific Crest 2005年的報告,美國整體安全市場共達17億美元,較前一年成長了17%,而內容安全管理和UTM安全應用產品和技術逐漸加溫,在未來幾年亦將持續發燒。Frost & Sullivan 2005年報告亦指出,Smart card的市場相當火熱,估計2010年將成長30%,達545佰萬美元,展現了高度商機。

  據Gartner的報告指出,一台丟失的PC,它的帳號密碼最快可在14分鐘內不費吹灰之力的被破解;間諜軟體也可以輕易的拿走正在線上的使用者密碼;而網路釣魚技術的高明甚過於使用者的電腦功效,讓受害者在銀行的存款自動地送到『釣魚者』手上。Marsoft的CEO陳昱寧表示,單一密碼已無法滿足身分認證的安全需求,現FFIEC(Federal Financial Institutions Examination Council)針對網路銀行有明確的規範,在2006年底前金融機構必需完成多因素身分認證的規範。

  據InfoPro調查結果,身分管理和資訊保護是千人以上大企業的主要需求,弱點管理與漏洞管理在大企業已不如以往熱門,但仍為中小企業的需求,而個人防火牆和Network IPS則仍然同為兩者之所需。保護個人資訊的安全工具逐漸被重視?Network IPS、SSL VPN及通訊保護等,是2005至2006年邊界安全中前三項新編預算。而IDC的調查顯示,美國資安市場仍以郵件安全為最大,而最大幅度成長的則以網頁安全/網頁過濾為榜首,其次為IDS/IPS、弱點安全管理。IPO集團總裁蔡體行表示,熱門產品趨向於四個面向:與消費者身分認證有關者、與法規相關者,以及多功能應用和網頁安全;而Firewall/VPN與防毒則逐漸勢微。

  從市場趨勢來看安全的模式,張思源則表示,安全架構的核心圍繞在身分、風險、可信賴即弱點管理上。企業的第一要務是加強基礎架構做好弱點管理,第二是能掌握使用者端的身分管理,第三必需加強流程與資料保護,建立可信賴的管理機制,其四為建置監控系統以防禦不適當和惡意行為。關鍵技術即圍繞在此四個面向的in-line設備上著墨:

1. 弱點管理(弱點評估、軟體安全):系統存取控制。

2. 身分管理(身分認證、帳號密碼管理):認證與存取控制。

3. 信賴管理(政策管理、金鑰管理、可信賴模式):加密技術。

4. 風險管理(風險識別、安全監控、稽核):入侵偵測與防禦。

沙盤推演還需實戰演練

  如何在國際競技賽中嗅到商機,取得有利位置?蔡體行表示,「跟隨著新的服務佈署,例如WLAN、VoIP等,因為新產品新服務上市時,同時也是新的攻擊威脅和新的資安商機。而具成本效益的多功能安全應用工具,將協助企業佈署更多的安全保護。另外,資訊安全管理與安全監控服務亦是可關注的機會。」

  張思源認為,探勘不同領域的市場需求,並了解該領域應遵從的法規,例如,金融服務業對防釣魚網站解決方案的需求,以及必須遵從的SOX內容規範,在其法規預算中拓展商機;在企業和應用軟體供應商之間發現關聯性、建立橋樑,以及利用傳統通路的力量,將商機觸角延伸至客戶的客戶等。「揣測CEO/CSO的思維,或許他們需要的解決方案,是如何監控員工日常的工作行為而非技術上的弱點」;提供更有價值的產品和服務,而不僅是察覺弱點而已─「如何讓客戶的工具處理的更快、節省花費;以多功能解決方案取代多端點佈署的安全產品。」

  在高喊進攻前先自我評量一下,什麼項目是你在行的,再進軍哪一塊市場;意志力太薄弱恐怕也不適合這局博弈。Marsoft的CEO陳昱寧談及,進軍美國市場時遇到的困難和挫折點滴在心頭,像是以台灣廠商的身分要打入新市場,被矮化的眼光亦難免,但陳昱寧舉例,「要打國際市場,就要有成吉思汗拓荒者般的征服精神,堅毅不撓地找尋並攻下屬於自己的部落,才能超越藩籬開闢出自己的疆土。」陳昱寧亦強調,了解和善用你的工作成員,將其特質和優點發揮出來,解決困難,「要像美國職棒紐約洋基隊的教練一樣,永遠知道每個球員的專長、特質和信念,讓最困難的時刻有最適合的人選來化解危機。」

國產商的瓶頸

  SOHOWare的總裁及CEO烏鋆圖表示,國產商開發美國市場時可能會面臨的困難是,從「價格導向」轉為「價值服務」模式的挑戰,因為這是有別於國產商在地的低價策略和優勢。因此,除了價格和堅強的技術底子外,還可以如何思考?蔡體行建議,「市場上還沒人做過的新技術產品,或僅少數供應商在做而且是市場需求的…」,重點在於什麼是CEO擔心的事情,什麼產品是IT人員容易向老闆推薦的,這些都會是比較好賣的產品。陳昱寧認為,安全的賣點即是便利性,如何讓產品安全又方便操作就容易銷售。

對政府的期待

  政府這幾年大力推動資安,與民間業者建立資安維護的夥伴關係,也擴大了國內資安市場,但速度和力道趕不及整個大環境的變化,實在無法滿足國產商殷切企盼的眼神。期待政府未來亦可學習美國對法規的重視,從法規和標準制度著手,帶動台灣資安產業發展,讓國產商在台灣就有很好的練兵場,更能走向國際市場。

  北美台灣工程師協會表示,協會本身能運用組織的功能和在美的人脈關係,盼能成為台灣與美國接軌的橋樑。另外,工業局已成立的「安全產業推動辦公室」,為期四年的計畫,主要面向在推動資安、安全器材、工安、消防、通訊安全等,諸多資安推動計畫已在進行;工業局在會中亦誠摯表達,希望國產商不吝與工業局多溝通,透過更多的謀合,共同為資安產業注入更多力量。