RSA 2017的觀察與資安趨勢

2017 / 03 / 08

黃敬博

一年一度的國際資安盛事，RSA資安研討會於2月17日結束，參觀的人數超過四萬五千多人，可說是目前全世界規模最大的資安研討會。由於Full Pass入場卷每人要價約兩千美金，此昂貴的入場費用已過濾掉非本業的相關人員，因此來參觀者均可說是背負著公司或單位派與的任務來瞭解最新的資安現況、趨勢及解決方案等，而參展的廠商也無不卯足全力來介紹公司最新的資安服務、應用技術及產品。由於筆者本次參觀竭儘所能的去瞭解現場最新的應用技術及聽取各重要資安論壇的精髓，以下是筆者整體的觀察整理，分享幾個今年RSA展場現象及各資安專家演講說明未來資安重點及趨勢。

美國國家單位－設立醒目展區：
以往筆者所參與的各種資安相關之商用國際研討會，特別在美國很少看到有這麼多美國資安相關重量級單位參展，包括美國國土安全部（HomeLand Security）、國家安全局(NSA)、聯邦調查局(FBI)、NIST(國家標準局)…等各個與資安犯罪及防禦相關的單位均設立極醒目的展區。

近距離瞭解後發現，美國這個全世界強權的老大哥，是真的把資安當國安在看，在他們的展區可看到不少由國家力量所主導的不同領域資安聯盟及資注各種新技術研究資源的方案，也就是以國家力量當組頭把美國各領域的資安公司團結在一起，進行國家各種資安防禦機制及新技術研究，只有領域聯盟內的成員有優先參與權。參展的目的無非就是告知所有美國國內的資安新創技術公司，只要你有好的頂尖技術，歡迎你來加入各領域的聯盟及研究計劃，國家就把餅分給你，滋養各種資安公司創新研發（當然只限美國本土公司，想必申請者也會經過嚴格審核評估）。

如此看來美國早已把“資安即國安”視為國家重要執行政策，以往有形的高科技武器研發只限本國公司，如今資安的無形戰力也是如此的作法，以國家力量組織各種不同領域的頂尖技術開發公司，可同時兼顧資安產業發展及國家安全，確實是一個聰明的作法，而展區的另一重要資訊，就是透明各種資安研究成果及資源分享機制，間接鼓勵有興趣來參與各領域資安聯盟的申請者，瞭解加入聯盟後可獲得的各種分享技術資源，如此讓各領域公司可專注於新技術的研發而避免重複開發資源浪費。

IOT及封閉式系統的資安問題成為新焦點：
在許多最新資安攻擊事件中，已開始陸續發現許多封閉式系統遭受攻擊，其中有一最近案例發生於2017年1月澳洲，有一四星級旅館業者(註1)，其客房的所有門禁系統遭駭客破解而感染了IOT型勒索病毒，導致所有客人被鎖在房內，逼迫業者以比特幣方式立即支付贖金。

以往勒索病毒只針對傳統的電腦平台進行感染勒索，但新型的攻擊已轉移至更具威脅性的封閉式控制系統，如工業自動化生產設備、自動化駕駛、醫療設備及各種民生家電應用IOT裝置，當類似此種與日常生活更相關之裝置遭受駭客成功入侵後，其所造成的生命財產損失將更形嚴重。

活動第二天的焦點論壇（Keynote Speech）中即有專家不斷的警告，由各項跡象顯示駭客開始著眼於大型公共系統的資安攻擊，其中一位大型電廠的資安專家即現身說法其所發現的各種真實攻擊情境及防治方式，且預見駭客及恐怖份子利用資安攻擊的方式只會愈加頻繁，主要根本在於其投資報酬率已遠遠超越傳統各種武器及實體攻擊的有效性，其造成的損害與所投入的資源比例的懸殊性，將會導致有更多的黑經濟資源挹注到攻擊組織，未來類似事件只會更加頻繁，提醒各與會人員需更有計劃的投入相關的防禦資源及IOT產品的資安設計保護。

有幸的是，筆者在展區中發現不少類IOT資安展商，大多均為新創公司，由於IOT資安防護的主要困難點在於必需在設計階段就已把相關機制考慮進去，否則資安廠商很難瞭解封閉式系統中的韌體及各種差異極大的作業系統架構，無法有效設計一個通用性高的資安防禦機制，但由於IOT裝置的特性，必然要透過網路進行資料交換及控制，因此標準化的網路通訊協定即為資安檢測的重點。

筆者發現多數的資安檢測應用仍在於TCP/IP協定內容的異常檢測，少數已著眼於藍牙協定異常檢測，但特別的是也有將感測器用於電源及電磁波的異常檢測，著眼於物理訊號之異常。姑且不論每項技術其背後的複雜性，但此類資安異常的檢測均有其共通性，就是在於蒐集大量的正常訊號資訊後，利用數據分析技術方式，當發現有異於正常的訊號內容出現時則可立即發出警訊通知，也見識到了建立了完整的醫療IOT裝置資料庫的公司，並開始以雲端服務的方式提供專有領域的資安檢測服務。從這些新創公司的觀點，可觀察出未來資安防禦的重點將開始?申至非傳統電腦平台的IOT裝置防禦，此資安市場可能更具爆炸性成長潛力。

雲端資安服務平台的大量出現：
這次會場中發現許多資安廠商將產品線改以雲端服務平台機制提供，無論大小公司均可發現到有相當多的比例把資安服務搬到雲端平台上，特別是新創公司也一開始就把資安產品定位到只以雲端服務模式提供，如此可省下鉕額的產品配送、產品安裝及人員技術支援的成本，只要花費合理的租金即可使用到Amazon、Google及各電信業者的雲端平台，可相對省去鉅額的機房及網路建置投資。

另外，端點保護、滲透測試、DLP防禦、FinTech安全、惡意程式分析及各種資安情資均有業者提供雲端化服務，特別是資安情資平台業者比預期的還要熱絡，可以想像已有更多跨國大企業及國家單位願意花昂貴的費用購買資安情報，比起駭客攻擊成功後所付出的鉅額賠償代價及股價損失，能先事先掌握關鍵情報防範未然，已成為大公司普遍接受的觀念。除此之外，許多焦點議題也討論到有關資安保險的必要性，看來大公司已經逐漸明白資安防護没有百分之百，只有如何把風險降至最低才能分散經營風險。

零時差攻擊及未知型惡意程式防禦技術趨勢：
依據統計勒索病毒雖然普遍，但其損失大多為偶發性且勒索金額以2000美金以下居多，以往筆者的資安鑑識經驗中，針對性的攻擊才是真正可怕的地方，受害者其被感染的惡意程式多已蟄伏一段時間，有計劃的將資料外洩竊走，造成企業嚴重財產及名譽損失，無論偶發或針對性的攻擊，多數受害者均有安裝防毒軟體但卻仍舊受害感染，主要原因在於零時差攻擊及未知型惡意程式並無特徵碼可供即時偵測及防禦。

因此在本次展商中發現到許多偵測工具開始加入人工智慧學習（AI），許多開發商聲稱具有大數據惡意程式樣本資料庫，可不斷學習並偵測新的攻擊行為模式，另外也加入了鑑識（Forensic）元素可還原事件發生的原因，但鑑識大多只能從安裝產品的時間點開始記錄，相對的若攔截的資訊愈多，其所造成對使用者效能影響也愈大，且稽核紀錄易遭竄改，以目前看來資安防禦與數位鑑識仍由不同的領域的專家在進行，尚未看到有一較完善的整合工具。

結論:
本次RSA2017資安大會中，看到全世界廣大的資安經濟產業鏈規模，今年除地主國美國為第一大參展國之外，第二大的參展國則是中國共有四十多個參展商設展，據瞭解去年中國的參展商不到五家，但今年卻以十倍速的規模成長，而韓國也看到設立一個專門的展區，相對於台灣目前仍難建立起資安產業鏈，我們期望當各國普遍將資安列為國家產業發展的重點時，台灣政府的新政策“資安即國安”，也能以國家隊方式來團結各個領域的研發技術。

註1：http://fortune.com/2017/01/29/hackers-hijack-hotels-smart-locks/
本文作者，目前任職於鑒真數位iForensics 資深鑑識顧問