探索資安轉骨良方 加強守護數位轉型成果 智慧應用 影音
Microchip
ST Microsite

探索資安轉骨良方 加強守護數位轉型成果

  • 許安妮DIGITIMES企劃

D Forum 企業資安論壇於6月16日內科t.Hub舉辦,議程豐富,線上與實體活動同步,現場更有多家業者提供解方。DIGITIMES攝

D Forum 企業資安論壇於6月16日內科t.Hub舉辦,議程豐富,線上與實體活動同步,現場更有多家業者提供解方。DIGITIMES

隨著數位科技的運用不斷深化,企業憑藉萬物聯網、雲端運算、大數據與AI/ML…等助力,成功翻轉營運效能、實現商模創新。然而在享有這些甜美果實的同時,也讓自己曝露在更高的駭客攻擊風險中。

為了幫助企業守護得來不易的數位轉型成果,避免被突如其來的惡意威脅侵蝕殆盡,DIGITIMES於日前舉辦「企業資安論壇」,全面探討企業營運到供應鏈資安管理,並點出值得留意的資安趨勢到治理工具,期望幫助企業掌握AI時代下的資安風險,為企業資安體質尋找轉骨良方。

工業技術研究院資通系統與資訊安全組組長卓傳育。DIGITIMES攝

工業技術研究院資通系統與資訊安全組組長卓傳育。DIGITIMES

評級資安成熟度,改善供應鏈安全風險

工業技術研究院資通系統與資訊安全組組長卓傳育表示,勒索病毒持續演進,近年更蛻變為商業模式,降低攻擊門檻,讓企業更防不勝防,只能求儘早發現敵人入侵蹤跡。

鑒於此,在2018年的Wannacry事件後,工研院便與台積電合作制定SEMI(國際半導體產業協會)資安標準,首先建立半導體產業的供應鏈安全規範,其次透過第三方評估工具,協助規模較小的供應夥伴盤點資安風險。

另外工研院也積極跳脱智慧製造範疇,向傳產、電商推進,展開企業資安成熟度評級工作,協助企業診斷資安治理做得好或不好,2022年在多個公協會協助下,共計執行150件,普遍落在C或D級,防護能力不俗、但偵測和回應能力較差。工研院期許在定期評級、掃描外,也協助企業建立零信任資安防護架構,一方面嚴加識別來訪的人與裝置,二方面也在網路層做到分艙分流,隔離系統性營運風險,將攻擊限制在一定範圍內。

安全快閃記憶體,為IoT資安扎下厚實根底

華邦電子安全解決方案行銷企劃及應用技術處處長陳光輝指出,過去佈建IoT,並無資安指導原則,亦缺乏測試基準,容易出現駭客攻擊破口。為此各國政府出手,祭出如RED、ISO 21434等規範,驅使器材廠、設備廠在設計產品時便融入安全措施,甚至被攻擊時還能啟動復原機制。

以華邦電子為例,在設計產品時便充分考慮安全更新、機敏資料安全儲存、最小化攻擊面、平台自我保護暨復原,因而孕育出安全快閃記憶體。

針對安全快閃記憶體,目前華邦提供兩條不同產品線,一是用於因應不同IoT安全標準如CC2/3等,包含W77Q與W77T。另一是以W75F為代表、對應CC EAL5+等高安全等級,與金融服務、通訊應用較具關聯性。

透過內部賦能,培育更多資安審查人才

AWS資安顧問李宜謙表示,AWS內部設有明確的SSDLC,先確定目標為何,接著做Design Review、威脅建模,再針對特定情境設想可能的攻擊、如何緩解。

安全在AWS是至高無上的「Job Zero」等級,既要安全、也要符合效率。故需要在開發過程中及早探查風險,將解決措施做進去,透過架構先決的邏輯來預先處理。

為此AWS推動Guardians Program,讓人才集中在安全團隊,分別接進安全檢查的工作單,確保Review的SLR(安全生命週期審查)達標,給服務團隊有足夠時間做修補,最終準時推出產品。儘管企業普遍面臨產品/應用安全人才難找的困境,AWS則有效地藉由內部教育訓練和賦能,使工程師、資安兩類人才互相學習對方知識,因而產生更多的Reviewer上線、降低平均安全檢查時間。

透過資料流再造,化解網路管理難題

Array Networks資深技術顧問何健男說,因應資安與法遵需求,許多企業在既有網路架構上不斷添加新的資安設備,導致網路日益複雜,衍生延遲、連線速度變慢、掉包、某些服務不通…等問題。

另外也墊高資安設備建置成本,如讓整條路徑都走10G介面,殊不知要保護的流量僅500M、1G。

有無改善之道?何健男提倡資料流再造。因為不論Server Farm或員工上網,都會經過許多資安設備,但其實不需遇到每個節點都做一次加解密,可透過資料流重新編排與設計,將流量細分為不同路徑,只要在前面做一次解密,接著以明碼傳輸,等到接受完所有檢查,最終再加密送至Server Farm或出Internet;途中若遇設備故障,跳過即可,不會因而造成網路斷線。

借助第三方SASE,輕易阻擋勒索攻擊

歐米英泰智慧服務技術總監暨首席工程師田旭弘指出,其成立於2014年,專精網路資訊安全防護、網路遞送優化,現為Cloudflare台灣代理商暨技術夥伴。

他說第一支勒索軟體出現於1989年,至今過了許久但卻持續存在,係因勒索攻擊已成有利可圖商業行為;目前5個常見攻擊媒介,包括魚叉式網路釣魚、路過式下載、RDP漏洞、軟體漏洞、社交工程與惡意廣告。

如何化繁為簡解決上述問題?基於SASE的Cloudflare One堪稱理想解方,它提供快速、可信賴、全球一致的One Control Plane、One Management Interface,簡化遠端連線方式,有助消弭橫向移動,並內建DDoS與防火牆防護機制,加上它不開埠、憑藉內部植入代理程式並建立安全通道的做法,有效阻擋勒索病毒、釣魚、Shadow IT或不明威脅。

援引Universal Platform,省卻軟硬體升級煩惱

Extreme Networks亞太區首席技術顧問陳瑞建表示,Extreme提倡Universal Platform概念,客戶買設備後可決定跑什麼作業系統(OS)。以交換器為例,可選用傳統網路結構,亦可選用最新Fabric結構,據以實現零信任或網路結構虛擬化。

而Extreme在晶片上發展獨特功能,使客戶不需仰賴外部Probes或TAP,即內建分析能力,可辨識逾7,000種TCP應用、網路協定及服務,滿足除錯、維運及資安等應用。

Extreme也提供Universal Wireless,允許AP跑三種不同OS,涵蓋兩種落地控制器、一種雲端控制器方案。且其ExtremeCloud IQ已成全球第二大雲端平台,兼能管控Extreme自家設備、第三方設備;雲管理無線網路的優點,包括無控制器架構及控制器備援的要求、無單點失效風險、強迫全面軟體升級的困擾、無強迫汰換硬體的困擾。

還原零失誤,確保勒索攻擊下仍可自救

Veeam Software台灣區技術顧問陳立穎指出,據調查,85%公司在過去一年中至少經歷一次勒索攻擊,33%支付贖金卻沒有恢復資料。但營運持續性的阻礙不僅勒索軟體,像是如何針對實體、虛擬、公有雲多元平台做好統一管理與備份,亦是難題。

持平而論,要在混合架構做到備份,其實相對容易,但如何做到整機還原或異地還原,則是困難之事。

惟透過資料保護專家Veeam的解決方案,即可滿足Data Security「零信任」、Data Recovery「零疏漏」及Data Freedom「零鎖定」三大優勢,為公司的業務提供完美守護,如備份地端的實體機或虛擬機,日後在雲上還原這些機器。而Veeam不只符合資料管理保護法則3-2-1,可多提供1與0,1指的是多重驗證、確保資料完整性,0則意指還原零失誤。

善用安全架構檢視,補強雲端資安罩門

伊雲谷數位科技技術部專案經理劉雨瑄表示,不少人問雲端是否安全?她援引Check Point調查報告強調,大部分雲端安全問題皆來自人為錯誤配置,顯見用戶若能攜手取得資安認證的雲端代理商共同維護,就能確保安全。

談到強化雲環境資安防護的關鍵措施,她認為AWS的Security Well-Architected Assessment是很好的檢視依據。伊雲谷會利用雲端安全架構檢視工具,比對AWS的安全架構,協助客戶理解箇中差異,再尋求補強。

基本上雲端安全架構有五大優化面向,包含資料保護、身分和瀏覽管理、系統和應用程式安全、基礎架構保護及監控和事件響應;為此Security Well-Architected Assessment提供全面視角,幫助企業確保資訊系統的安全性、法遵性和持續性,並且識別潛在威脅。

憑藉有效備份與還原,確保AD持續性及可靠性

Quest系統顧問王詩齡指出,許多企業重視服務備份,但Active Directory (AD)是否也做備份?即使有做,其還原是否有效?似乎都是問題。係因AD是企業關鍵系統,假使沒了AD,恐導致許多服務無法繼續啟用。

歸納企業對AD的恢復挑戰,包括以手動還原AD/DC耗時費力;無法還原整個AD網域和樹系;無法驗證備份檔的有效性;更麻煩的是無法備份還原Azure AD。

所幸透過Quest工具,可快速恢復AD正常運作。因為它支援遠端自動化AD備份、線上物件還原、自動化AD網域/樹系重建,且從乾淨作業系統執行還原、減少惡意軟體藏身之處。另一方面Quest提供混合AD環境完整備份和災難恢復方案,既可還原本地AD,也能還原Azure AD。

高效處理加密流量,不擔心惡意軟體攻擊

A10 Networks台灣區技術總監陳志緯指出,現今逾90%網際網路流量加密,讓於加密流量中的惡意軟體攻擊急劇增加,迫使企業須採取遏止行動。

因資安設備看不懂加密通道,企業須將流量解開,無奈傳統做法有其問題,包括處理SSL會耗損效能,多重加解密易造成網路延遲;此外因應資安法遵,並非所有流量都可被解密;且部署加解密需變更網路架構,難免存在風險。

為此A10提出SSL Insight方案,採取前後夾方式,僅需做一次流量解密即可,也無需更動網路架構。SSL Insight內建專屬SSL處理晶片,擁有極高SSL/TLS加解密效率、也能降低延遲,可精準辨識加解密流量;採用集中式SSL/TLS憑證管理機制,能處理解密時需置換憑證的問題;且以進階方式處理Bypass,符合資安法規。

利用IT即戰力,迅速實現韌性供應鏈

網擎資訊軟體(Openfind)行銷副總經理李孟秋表示,製造業欲打造強韌生態鏈,需有頭腦(智慧化決策)、身體(不間斷營運)、手腳(分散式製造)與免疫力(遠距協作)。

此時IT可幫忙的地方甚多。針對頭腦,可透過AI執行風險診斷與預防。針對身體,可透過On-demand及高HA,以快速復原達到即時應變、冗餘準備。針對手腳,借助風險管理來落實分散式製造。針對免疫力,透過遠距監控、協作、WFH來達到安全協作。

為此Openfind展現多重優勢,用IT助力實現供應鏈韌性。首先「安全控管」,依管理需求設定權限,有效控制資料存取。其次「稽核防護」,利用DLP,避免敏感資料被不當使用或外洩。再者「杜絕病毒」,防範勒索攻擊,既便遭感染能一鍵還原資料,減少營運損失。

提高偵測速度,讓駭客攻擊功敗垂成

凱信資訊協理林文泰表示,據IBM X-Force報告顯示,亞太地區連續兩年成為受攻擊最嚴重地區,製造業也蟬聯最常受攻擊的產業。另發現在21%資安事件中攻擊者均有部署後門程式,惟其中67%部署失敗,換言之若企業及早發現後門,便可避免遭加密勒索。

可惜製造業的偵測能力較弱,平均9.8天才發現被攻擊,反觀現今勒索攻擊的平均持續時間僅4天。當務之急,製造業應設法加快偵測速度,而IBM QRadar EDR正是理想解方,只因它無需大量設定變更,便可在第一時間即時偵測。

凱信以IBM QRadar為基礎建置SOC/MDR服務,長期協助客戶進行資安事件分析、調查與Threat Hunting;一旦察覺高中級風險,可在1小時內通報,協助客戶有效緩解APT、資料外洩或勒索攻擊。

安侯企業管理執行副總經理林大馗。DIGITIMES攝

安侯企業管理執行副總經理林大馗。DIGITIMES

從駭客視角反思,嚴防AIGC引發資安威脅

安侯企業管理執行副總經理林大馗,分享他對生成式AI(AIGC)風行下的資安觀點。論及AI可能衍生的資安風險,主要包括學習偏失、人為錯誤、技術缺陷、流程瑕疵、資安攻擊、隱私侵害、決策誤用、演算效能不足等八類。如Meta的CISO提出警示,已掌握到駭客開始留意AIGC技術,嘗試利用它來激發「無窮想像力」;更有甚者,駭客不再使用ChatGPT進行網路攻擊,轉而直接攻擊OpenAI。

AI造局,資安面臨哪些挑戰?林大馗援引安侯建業(KPMG)曝險報告指出,多數企業輕忽社群媒體衍生的網路攻擊,如在大量運用社群媒體觸及受眾時,有意無意間留下公務聯絡訊息;另員工在註冊社群媒體時,經常將服務的企業名稱、公司電子郵件等資訊提交上去,導致員工資訊更容易被取得,淪為駭客發動魚叉式社交攻擊的利器。

安侯建業(KPMG)建議企業應從駭客視角反思,立即針對社群媒體運用制定管理規範,並透過資安縱深防禦策略、Anti-Spam等機制,有效防範企業電子郵件安全,避免Credential遭竊取,引發後續嚴重後果。

華邦電子提供TrustME系列安全方案,包括已通過CC認證的W75F、W76S及W77Q等安全快閃記憶體,旨在強化用戶的資安防禦網。DIGITIMES攝

華邦電子提供TrustME系列安全方案,包括已通過CC認證的W75F、W76S及W77Q等安全快閃記憶體,旨在強化用戶的資安防禦網。DIGITIMES

AWS鼓勵企業透過簡單四步驟註冊AWS帳號,免費體驗AWS的平台、產品和服務,最高領取1,500 AWS Credit,立即實現上雲第一步。DIGITIMES攝

AWS鼓勵企業透過簡單四步驟註冊AWS帳號,免費體驗AWS的平台、產品和服務,最高領取1,500 AWS Credit,立即實現上雲第一步。DIGITIMES

Array Networks建議企業可重新編排與設計資料流,把流量細分為不同路徑,讓網路更簡化且更具彈性,避免服務出現中斷。DIGITIMES攝

Array Networks建議企業可重新編排與設計資料流,把流量細分為不同路徑,讓網路更簡化且更具彈性,避免服務出現中斷。DIGITIMES

歐米英泰為Cloudflare 的技術夥伴,擅長提供客製化服務、架構建置及優化、技術諮詢、7x24監控,協助企業全面佈局零信任。DIGITIMES攝

歐米英泰為Cloudflare 的技術夥伴,擅長提供客製化服務、架構建置及優化、技術諮詢、7x24監控,協助企業全面佈局零信任。DIGITIMES

Extreme Networks借助廣為全球用戶採用的雲管理平台,助力企業打破網路規模和地域限制,持續挹注無限分散的營運動能。DIGITIMES攝

Extreme Networks借助廣為全球用戶採用的雲管理平台,助力企業打破網路規模和地域限制,持續挹注無限分散的營運動能。DIGITIMES

Veeam藉由最新版V12資料平台,提供Data Security零信任、Data Recovery零疏漏、Data Freedom零鎖定等三大重要基礎元素。DIGITIMES攝

Veeam藉由最新版V12資料平台,提供Data Security零信任、Data Recovery零疏漏、Data Freedom零鎖定等三大重要基礎元素。DIGITIMES

伊雲谷為全台首家AWS MSSP認證廠商,可透過SOC監控、Compliance視覺化報告、Expertise專業團隊、IR事件回報,助企業快速增進資安力。DIGITIMES攝

伊雲谷為全台首家AWS MSSP認證廠商,可透過SOC監控、Compliance視覺化報告、Expertise專業團隊、IR事件回報,助企業快速增進資安力。DIGITIMES

鑒於AD是企業關鍵系統,一旦AD失靈、恐影響諸多服務。此時可善用Quest工具,加速恢復AD、自動化重建AD網域/樹系。DIGITIMES攝

鑒於AD是企業關鍵系統,一旦AD失靈、恐影響諸多服務。此時可善用Quest工具,加速恢復AD、自動化重建AD網域/樹系。DIGITIMES

A10透過SSL Insight方案,以前後夾方式讓流量解密一次即可,不需更動原本網路架構,也能達到集中式SSL/TLS憑證管理目標。DIGITIMES攝

A10透過SSL Insight方案,以前後夾方式讓流量解密一次即可,不需更動原本網路架構,也能達到集中式SSL/TLS憑證管理目標。DIGITIMES

網擎資訊軟體(Openfind)鎖定風險管理、即時應變、安全協作、冗餘準備等四大主軸,協助製造業打造韌性供應鏈。DIGITIMES攝

網擎資訊軟體(Openfind)鎖定風險管理、即時應變、安全協作、冗餘準備等四大主軸,協助製造業打造韌性供應鏈。DIGITIMES

凱信資訊以IBM QRadar為基底,長年為客戶提供專業的SOC及MDR服務,包含進行資安事件分析、調查與Threat Hunting。DIGITIMES攝

凱信資訊以IBM QRadar為基底,長年為客戶提供專業的SOC及MDR服務,包含進行資安事件分析、調查與Threat Hunting。DIGITIMES

ExaGrid以「分層備份存儲」聞名,不僅帶來磁磁,亦帶來記憶體、頻寬與處理能力,一次滿足高備份效能的所有元素。DIGITIMES攝

ExaGrid以「分層備份存儲」聞名,不僅帶來磁磁,亦帶來記憶體、頻寬與處理能力,一次滿足高備份效能的所有元素。DIGITIMES

網創資訊(Netron)自許為網路加速與資安整合服務專家,藉由DNS代管、CDN乃至資安防護等方案,幫企業強化安全基底。DIGITIMES攝

網創資訊(Netron)自許為網路加速與資安整合服務專家,藉由DNS代管、CDN乃至資安防護等方案,幫企業強化安全基底。DIGITIMES

關鍵字