面對後疫情時代之數位經濟浪潮,物聯網IoT、AI、5G技術快速發展,強韌安全的數位應用已成為當下重要的顯學。TWNIC財團法人台灣網路資訊中心及TWCERT/CC台灣電腦網路危機處理暨協調中心於11月3日線上、線下舉辦「2021台灣資安通報應變年會」。TWNIC李育杰董事長開場時提到,近來資安事件已從企業辦公室資訊設備延展到區域的基礎建設場域、通訊環境與工控設備等,其影響層面,已擴大到企業組織、國家層級的安全。
TWNIC李育杰董事長於開場時提到,資安防護已不再僅僅是政府或專家的責任,每個人都肩負著這項使命
供應鏈資安與韌性
2021年接連發生SolarWinds及Kaseya等重大供應鏈攻擊事件,NCC孫雅麗委員表示,「供應鏈的可視性很重要,供應鏈涵蓋很多層,裡面藏有許多盲點。如一台主機裡,一定有元件是跟別人買的。你相信你的供應商,但是你相信你的供應商的供應商嗎?」。
因此,要如何確保供應商產品是安全的,NCC有3個創新作為:
- 制定「關鍵電信基礎設施資通設備資通安全檢測技術規範」
NCC指定防火牆、交換器、路由器須作實機測試與資料備查。在實機共同測試的項目中,強調系統弱點及漏洞檢測。
- 通傳事業資通設備資安漏洞通報系統
電信商需要定期盤點有哪些資通設備,清單要上傳至 C-ISAC;由 C-ISAC自動通知電信業業者CVE待修補資訊。
- 成立國家通訊領域軟體安全實驗室(NCCSC)
為我國5G網路業者、應用服務開發者和IoT製造商提供、協助或諮詢安全軟體設計及開發的服務與專業培訓。
減少供應鏈資安風險的核⼼作為,鴻海研究院執⾏⻑兼資安所所⻑李維斌提出5點:
- 了解⾃我的準備情況/成熟度
- 慎選供應商,採購流程不能只有價格標
- 提升企業組織的網路韌性
- 測試事件應變計畫
- 考慮投資建立數位鑑識能⼒
日月光集團(高雄廠)總經理室暨資訊中心副總經理李政傑特別提到,半導體協會目前針對設備類跟未來應用類,正在制定資安標準。重點還是在供應鏈上,可以幫助供應商對於設備的資安防護設計,能有標準可循。
由右至左為國家資通安全會報技術服務中心吳啟文主任、日月光集團(高雄廠)李政傑總經理室暨資訊中心副總經理、華碩電腦金慶柏資安長、威聯通龔化中技術長。
抗勒索要「聯防」
2021年台灣高科技業紛紛中了「勒索軟體」的箭,再次凸顯資安是企業營運持續管理(BCM)及營運持續計畫(BCP)裡的三大安全之一。
華碩資安長金慶柏表示,「民間企業要透過不同工具、自動化設備,先了解自己的弱點,加強防護。此外,加入專業資安的聯盟組織,如TWCERT/CC、高科技產業資安聯盟,可以事先掌握情資,了解攻擊手法,聯合防禦。」威聯通技術長龔化中認為備份跟加密是防禦勒索攻擊之必要。日月光則從預防、防禦、復原等三個層次防禦勒索攻擊。
其實不只台灣,同樣是製造大國的日本、印度、泰國,也遭受許多的勒索攻擊。與談代表日本JPCERT、印度CERT-In、泰國ThaiCERT以該國經驗建議不要支付贖金,但應該第一時間通知警方以及客戶,做好第一時間應對。他們提醒即便付了贖金,大多數案例只有50-60%的資料被復原。同時不要直接與駭客談判,找第三方談判員進行協調、資安保險等是建議可以考慮的作法。
TWNIC董事暨執行長黃勝雄與日本JPCERT、印度CERT-In、泰國ThaiCERT線上討論如何防禦勒索攻擊。
資安思維也要「轉型」
本次年會幾個被提出的數字:駭客攻擊的工具至少有552招、單一企業平均每月遭受9.2萬次攻擊、75%的中⼩企業缺乏專業⼈員解決IT安全問題…等都點出資安的現實面:網路威脅可以降低、可以管理、可以復原,但無法滅絕。企業⼼態必須從『如果被駭客攻擊』轉向『當被駭客攻擊時。』
資安思維以往著重「事前」,但是應該留一部分的資源在「事中與事後」。奧義智慧創辦人邱銘彰解釋,「事中、事後很需要人力,跟事前預防是不同的能量。」他建議企業量化潛在威脅與現況,尤其是內部端點跟AD安全。並用MITRE ATT&CK制訂三個被攻擊像定情境,才進行資安投資與配置。
行政院國家資通安全會報技術服務中心主任吳啟文總結道:「資安防禦越來越困難。大家應採用新的思維,零信任網路架構,如何從身分鑑別、設備鑑別、信任轉移加強資安防禦。政府也在談主動式防禦,在駭客攻擊前先做到情資掌握,化被動為主動。」
相關文章: 「TWCERT 2021台灣資安通報應變年會」跨域聯防打造健全資安生態系