HITCON 總召、台灣駭客協會 常務理事
DEVCORE 戴夫寇爾 執行長
翁浩正
台灣IBM
企業資訊安全事業處資深技術顧問
曾心天
互動資通股份有限公司
行銷長
何瑋
緯謙科技股份有限公司
技術總監
馬志昇
HDE, Inc.
大中華區 海外事業開發經理 中込剛 (Go Nakakomi)
台灣雲端資安產品經理 陳廷瑀
勤業眾信聯合會計師事務所
協理
陳威棋
我們提供本研討會主講者同意授權的演講檔案,歡迎參與來賓下載。
如果遇到檔案無法下載,請檢查您的電腦是否有以下狀況,而造成下載問題:
論及資安事件,近年來不管在國內或國外,皆是洋洋灑灑。先從國外來看,儘管2016年期間,似乎未出現如過去Sony Pictures或Target可被當做教案的大型慘劇,但依舊風波不斷,且驚悚程度有過之而無不及。
首先值得一提的,便是以巨量DDoS攻擊掀起腥風血雨的Mirai。2016年10月DNS服務供應商Dyn慘遭DDoS侵襲,導致Twitter、Reddit、Spotify或SoundCloud等使用其服務的知名網路受到波及,無法正常運作,而在稍早前的9月,包括KrebsOnSecurity資安部落格、法國網站代管服務供應商OVH,也曾遭遇近1Tbps的猛烈
綜觀近兩年全球資安事件,不難窺見箇中的趨勢脈絡,便是攻擊的規模愈來愈大,而攻擊者在行動過程中所動用的資源部位,愈來愈豐富,攻擊手段也愈來愈精巧細緻,顯見現今駭客已非單打獨鬥,而是集結眾家高手的力量,進行整合作戰。
在此前提下,戴夫寇爾(DEVCORE)執行長翁浩正認為,可以預期,2017年企業用戶遭遇攻擊的數量、頻率乃至規模都會較往年提高;更可怕之處,在於企業所要面對的,不是單一駭客,而是一群駭客組織、甚至是一個駭客產業,他們將基於盈利目的,處心積慮發想更新穎的攻擊手段,且利用比從前更為廣泛之標的物,比方說網路設備、民生基礎設施、智慧家電、物聯網裝置等,無所不用其極達到攻
綜觀近年來讓人聞之色變的資安威脅,不外三大類型,分別是進階持續性威脅(APT)、分散式阻斷服務(DDoS)及勒索軟體,展望2017年,各方皆預期這三類資安攻擊將不會偃旗息鼓,甚至可能變本加厲。在前述攻擊型態中,除了僅與端點息息相關的勒索軟體外,用戶皆可望借助雲端解決方案提供者(CSP)所供應的相關服務,發揮顯著防禦效果。
2016年9月成為台灣首家取得亞馬遜雲端服務(Amazon Web Services;AWS)代管服務合作夥伴資格(MSP )的Nextlink博弘雲端科技 ,其解決方案處處長宋青雲指出,依一般人的認知,APT的起始點往往在於社交工程郵件,所
近幾年來,一方面肇因於資安攻擊手法日新月異,二方面則因企業對於雲端服務的倚賴度不斷攀高,使得「資訊安全代管服務」(Managed Security Services Provider;MSSP)蔚為新寵;換言之,愈來愈多企業體悟到單憑己身之身,不足以有效防範層出不窮的威脅,故而期盼CSP(Cloud Solution Provider)伸出援手,協助進行資安管理與防護,將威脅阻絕於境外。
毋庸置疑,伴隨前述趨勢發展,勢將使得電信公司的角色愈趨重要。台灣大哥大企業用戶事業群副總劉建倫指出,時值企業有感於人力與專業度不足,亟盼MSSP業者共同協防之際,電信公司憑藉從底層的電信
在2017年開春,台灣驚爆史上第一起證券商集體遭DDoS攻擊勒索事件,震撼程度堪與一銀ATM遭駭事件等量齊觀;著眼於此,金管會開始要求所有金融機構,須因應DDoS防護需求,切實建立監控、事故應變等機制,並於每年至少實施一次程序演練。因此若說DDoS是2017年重大資安議題,理應不為過。
勤業眾信聯合會計師事務所風險諮詢服務協理陳威棋認為,事實上2017年值得關注的資安課題,並不僅止於DDoS,尚有其他重要項目。
首先除了金管會要求銀行須於5月20日前完成App安全檢測,必須依行動應用App基本資安檢測基準.V2.1版進行29個項目之檢測,另近期行政院
歷經多年洗禮,現今大多數企業主,皆已對雲端服務的益處知之甚詳,面對此類型服務衍生的資料取用便利性與效率,乃至後續營造的行動化辦公願景,莫不心生嚮往。根據日本雲端資安服務廠商HDE每年定期推動的調查顯示,第一波上雲企業所欲追求的價值,主要是基於上述緣由。
HDE大中華區海外事業開發經理中込剛(Go Nakakomi)指出,相對來說,早年不少企業幾經深思熟慮,忍痛擱置上雲計畫,其間最關鍵的環節,無非正是基於成本與資安考量,尤其後者更堪稱最大阻力。
經過數年後,企業對於雲端服務的信任感大幅激增,供應商已無需針對效率或便利性等誘因多做解釋,但若
伴隨智慧型手機普及、雲端服務興起,及大眾普遍養成即時通訊使用習慣,驅使企業邁進數位溝通時代,也讓企業溝通協作市場持續增溫,許多軟體巨擘相繼加入戰局;影響所及,企業溝通協作市場已揮別過往萌芽階段,正式進入主流成長期。
6年前開始耕耘企業即時通訊、以team+品牌著稱的互動資通,其創辦人郭承翔認為,儘管國際大廠壓境,team+看似面臨競爭壓力,但其實彼此發展方向不同,team+拓展空間依舊遼闊。
國外大軍主打空戰,走公有雲路線,意在串聯網路上各種應用工具,主要鎖定中小企業族群;反觀team+如地面部隊,走私有雲環境,強調可將所有商務資訊或檔案儲存在企業自行管控的伺服器系統
吳冠儀台北
隨著雲端平台的快速推廣,企業將逐步把現有的系統整合搬移到雲端運算平台,包括ERP和CRM等系統。雲端服務通常用於關鍵應用程式的運作與重要業務資料的儲存,但既有的安全控管產品大多是為Local端的應用程式設計,因此並無法涵蓋不同的雲端部署範圍。
Imperva以先進的安全技術和靈活的部署模式,保護客戶的網路應用免於各種威脅,提供企業及其客戶結構化與非結構化資料和應用程式的防護。
早在2010年,Imperva便預測WAF市場將受雲端傳輸運用而有所改變,因此鎖定Incapsula,並在2014年正式將Incapsula
隨著HTTPS/SSL加密愈來愈被重視,搜尋引擎龍頭Google也不遺餘力地在推廣HTTPS/SSL加密的使用,設計了「安全瀏覽」機制讓使用者安心,在2014年8月也宣布將HTTPS加密機制作為網站搜尋結果的排名考量依據,讓有使用HTTPS安全加密網站的排名提升到前面。可想而知的是,網路上SSL加密資料流量的比率也會愈來愈高。
根據安全應用服務領導廠商A10 Networks最近的一份報告顯示,SSL流量在2015年約佔網路流量的30%,在2016年會大幅成長至67%,並且在未來趨近到全部的100%。
「現代的滲透攻擊手法中,駭客也會利用SSL加密封
吳冠儀台北
趨勢科技將其內含機器學習能力的最新 XGen防護技術導入趨勢科技Worry-Free服務中來提升中小企業端點防護方案。XGen防護融合了高準度的機器學習與其他威脅防護技巧,提供最佳的防護來防範各種已知及未知威脅,同時保護使用者的連網活動和裝置。該技術能不斷學習、適應並自動分享威脅情報給客戶最重要的平台和應用程式。
趨勢科技獨家導入XGen防護的Worry-Free中小企業解決方案,採用通過市場考驗的技術來快速偵測無害的資料和已知威脅,讓更高階的智慧型技巧,如:應用程式控管、漏洞防堵、行為分析、沙盒模擬分析、機器學習等等,能夠更快、更準確
毋庸置疑,論及雲端世代的資安攻防,不僅是一場資訊不對稱的戰爭,且攻擊者與防禦者雙方的實力差距,仍在逐步擴大當中;現今的攻擊活動,已非源自單一駭客、或一小撮駭客群體的獻技心態,而是訴諸專業分工的駭客團隊,憑藉背後偌大黑色產業的支撐力道,從而基於牟利動機所發動的組織型攻勢。
回顧2016年至今,舉凡讓人咋舌的第一銀行ATM盜領事件、勒索軟體肆虐,乃至多家券商集體遭受DDoS攻擊勒索,以及令企業主驚恐不已的「變臉詐騙(Business Email Compromise)」或「商業流程入侵(Business Process Compromise)」,皆是肇因於組織型惡意攻擊。
多年前政府成立「國家資通安全技術服務中心」,意在強化台灣資通訊安全,並透過官網持續更新披露資安新聞,其間無論是可癱瘓IoT裝置的惡意程式、駭客意圖藉由供應鏈滲透目標攻擊對象、駭客鎖定醫療產業匿名FTP伺服器發動攻擊等資訊,皆使企業為之膽寒,意識到現今環境之險惡。
為協助企業遠離數位風險,DIGITIMES日前舉辦「雲端資安論壇」,邀集來自戴夫寇爾(DEVCORE)、博弘雲端科技(Nextlink)、台灣IBM、互動資通、緯謙科技、台灣恩悌悌(NTT Taiwan)、台灣大哥大、HDE、勤業眾信等單位的專家,分享真知灼見,期盼引領企業掌握正確的技術、流程與策略,提升雲端資安
持平而論,縱使現今多數企業都認為資安確實重要,卻鮮少意識到,資安是一場資訊不對稱的戰爭,若未能理解駭客的思維脈絡,只是一廂情願佈建防禦工事,那麼防護效果就難以到位。
現任戴夫寇爾(DEVCORE)執行長、台灣駭客年會核心成員的翁浩正,認為企業在資安攻防上最大對手,並不純粹僅是駭客或駭客組織,而是黑色產業,正因有需求、有利益,才會有駭客集團進行組織性攻擊。
論及黑色產業的營利模式,則包括詐騙集團獲取個人信用卡號與交易資料,從事詐騙行徑,駭客組織取得個人帳密發動撞庫攻擊,竊取資料庫進行販賣或加密勒索,掌握流量而發動DDoS攻擊。
<
毋庸置疑,雲端安全是現今重大課題,欲實現此目標,有賴於共同責任模型之運作,一方面由服務供應商致力維護雲端基礎安全,二方面由用戶本身負責雲端內部安全。因此一個完整的雲端防護架構,從外到內理應蘊含多個層次,包含實體安全、網路安全、系統安全及資料安全。
Nextlink博弘雲端科技解決方案處處長宋青雲指出,以其代理銷售的亞馬遜雲端服務(Amazon Web Services;AWS)而論,已針對多層次防護需求展開綿密布局。
首先,亞馬遜憑藉多年營運大型資料中心的歷練,藉由無特徵的設施、強大的邊界管理、嚴格的進出管控、多層的身份驗證,捍衛「實體安全」;其次A
經IBM調查發現,現今企業認為資訊安全的最大挑戰,乃是基於威脅的速度愈來愈快、複雜性愈來愈高,故而急需減少事件回應及解決的時間,並有效改進安全威脅分析能力,如此才可望將網路安全風險降到最低,一來避免企業營運中斷,二來避免後果更加嚴重的品牌信譽損失。
持平而論,儘管企業普遍期望爭取事故的回應與解決時效,並增強分析能力,但要想順利實現這些目標,並不容易,只因多數企業不論在「情報」、「速度」與「準確性」等面向,都明顯暴露弱點;台灣IBM企業資訊安全事業處資深技術顧問曾心天認為,若僅靠人力介入,哪怕專業能力再強,都不易弭平前述三大差距,唯一突破之道,便是與智能掛鉤。
<
根據國外專業機構的調查,亞洲區千大企業中,逾六成將「數位轉型」列為2017年策略核心重點;其間攸關日常工作訊息傳遞、管理、專案執行的「溝通協作」,可謂邁向數位化的關鍵最後一哩,重要性不言可喻,連帶驅使全球軟體大廠紛紛跨足企業即時通訊產品。
互動資通行銷長何瑋指出,不可諱言,倘若員工皆將社交、私人的溝通協作工具,用於公務討論,勢將形成企業管理隱憂;因此多數企業主急欲在效率、安全等天平兩端,找到最佳平衡點,期能安心邁向指尖運籌辦公新局。
早在5年前,互動資通即充分體認企業的殷切需求,於是決定基於私有雲架構,打造team+企業溝通協作App,彙集包括專屬企
隨著駭客攻擊手法日益精進,導致現今許多資安風險,往往隱身在合法使用過程,單憑傳統偵測技術,很難逼使這些風險現形。更麻煩的是,多數企業已邁入混合雲架構,以致IT環境更加複雜,連帶使資安管理與需求出現驟變,其間稍有疏漏,難免徒留資安風險醞釀滋生的溫床。
緯謙科技資深總監馬志昇表示,緯謙科技長期專注於提供基於公有雲解決方案、行動協同辦公應用等相關服務,現已成為微軟產品銷售夥伴(含EA、Open及CSP),服務供應範圍則含括規劃建置、維運管理及加值服務,舉凡混合雲管理、資安優化或協同辦公等項目,都是加值服務中的重要環節。
馬志昇說,緯謙管理服務,係以自身技術
2016年堪稱前所未見的網路威脅高峰期,勒索軟體(Ransomware)家族數量,竟從前一年度的29個急遽攀升至247個,增幅高達752%,最終導致全球企業因而慘虧10億美元。
深究Ransomware的感染途徑,高達79%比重為垃圾郵件,顯見企業若欲抵禦相關威脅的侵襲,就必須能夠有效監控電子郵件流量,濾除疑似不安全的URL、附檔或其他惡意Payload。但問題是,這些威脅型態變遷快速,單憑現有資安檢測模式,終究窮於追逐應付不斷滋生的新式攻擊。
台灣恩悌悌(NTT)資深經理森一浩指出,近年全球資安事件屢見不鮮,比方說去年(2016)的10月期間,美國Dyn公司所經營的
據統計,因應網際網路行動化及雲端化發展,輔以網路駭客攻擊日益頻繁,全球企業資安投資金額快速增長,預估2017年達1,148億美元,年複合平均成長率7.9%;深究此趨勢的形成背景,在於企業面臨多樣且複雜的威脅,舉凡翻倍暴增的資料外洩事件、愈演愈烈的DDoS攻擊,及嚴重肆虐的勒索軟體,皆令企業主聞之色變。
台灣大哥大企業用戶事業群經理徐德怡認為,資安已成為企業穩定營運的首要之務。但環顧現實世界,企業經年累月針對不同防護需求,先後佈建許多分散式資安系統,各有不同的控制台界面,產生大量格式不一的Log,導致難以彙整串聯可用情資,使防禦體系恆常處於效率低下、效益甚微的窘境。
當前多數企業都瞭解上雲的好處,也明白這是攸關數位轉型的必然趨勢;但已對雲端觀望3年、甚至5年,至今仍按兵不動的企業,並不在少數。深究箇中緣由,在於他們認為上雲將提高資料外洩風險,且對投資效益有所質疑。
成立於1996年、始終專注提供B2B資安方案的日商HDE,為協助企業安全使用Office 365及G Suite,在2010年推出HDE One雲端安全服務。HDE大中華區海外事業開發經理中込剛(Go Nakakomi)指出,HDE One服務在日本市佔率高達逾7成,累計的用戶數突破2,700家、終端使用者超過230萬。
中込
時至今日,資安攻防已是不對稱戰力之競爭,單一企業愈來愈難以對抗有組織、且專業分工的駭客集團。
勤業眾信聯合會計師事務所風險諮詢服務協理陳威棋認為,在數位創新時代,資安管理已成為安全體系的對抗,而速度正是決勝關鍵,因此企業必須做好三件事,一是藉由管理與技術縱深防禦,強化固有風險有管控之成熟度;二是透過技術檢測與威脅分析,提高體系弱點評估與威脅情資分析的能力與速度;三是經由攻防演練與事件應變,提升資安事件應變速度及能力。
陳威棋接著說,Gartner於2014年2月提出「預防無用論」,意指企業絕對無法成功阻止針對性攻擊,故企業應永遠假設正在遭受攻擊,整體