探索資安轉骨良方 加強守護數位轉型成果

隨著數位科技的運用不斷深化，企業憑藉萬物聯網、雲端運算、大數據與AI／ML…等助力，成功翻轉營運效能、實現商模創新。然而在享有這些甜美果實的同時，也讓自己曝露在更高的駭客攻擊風險中。

為了幫助企業守護得來不易的數位轉型成果，避免被突如其來的惡意威脅侵蝕殆盡，DIGITIMES於日前舉辦「企業資安論壇」，全面探討企業營運到供應鏈資安管理，並點出值得留意的資安趨勢到治理工具，期望幫助企業掌握AI時代下的資安風險，為企業資安體質尋找轉骨良方。

評級資安成熟度，改善供應鏈安全風險

工業技術研究院資通系統與資訊安全組組長卓傳育表示，勒索病毒持續演進，近年更蛻變為商業模式，降低攻擊門檻，讓企業更防不勝防，只能求儘早發現敵人入侵蹤跡。

鑒於此，在2018年的Wannacry事件後，工研院便與台積電合作制定SEMI（國際半導體產業協會）資安標準，首先建立半導體產業的供應鏈安全規範，其次透過第三方評估工具，協助規模較小的供應夥伴盤點資安風險。

另外工研院也積極跳脱智慧製造範疇，向傳產、電商推進，展開企業資安成熟度評級工作，協助企業診斷資安治理做得好或不好，2022年在多個公協會協助下，共計執行150件，普遍落在C或D級，防護能力不俗、但偵測和回應能力較差。工研院期許在定期評級、掃描外，也協助企業建立零信任資安防護架構，一方面嚴加識別來訪的人與裝置，二方面也在網路層做到分艙分流，隔離系統性營運風險，將攻擊限制在一定範圍內。

安全快閃記憶體，為IoT資安扎下厚實根底

華邦電子安全解決方案行銷企劃及應用技術處處長陳光輝指出，過去佈建IoT，並無資安指導原則，亦缺乏測試基準，容易出現駭客攻擊破口。為此各國政府出手，祭出如RED、ISO 21434等規範，驅使器材廠、設備廠在設計產品時便融入安全措施，甚至被攻擊時還能啟動復原機制。

以華邦電子為例，在設計產品時便充分考慮安全更新、機敏資料安全儲存、最小化攻擊面、平台自我保護暨復原，因而孕育出安全快閃記憶體。

針對安全快閃記憶體，目前華邦提供兩條不同產品線，一是用於因應不同IoT安全標準如CC2/3等，包含W77Q與W77T。另一是以W75F為代表、對應CC EAL5+等高安全等級，與金融服務、通訊應用較具關聯性。

透過內部賦能，培育更多資安審查人才

AWS資安顧問李宜謙表示，AWS內部設有明確的SSDLC，先確定目標為何，接著做Design Review、威脅建模，再針對特定情境設想可能的攻擊、如何緩解。

安全在AWS是至高無上的「Job Zero」等級，既要安全、也要符合效率。故需要在開發過程中及早探查風險，將解決措施做進去，透過架構先決的邏輯來預先處理。

為此AWS推動Guardians Program，讓人才集中在安全團隊，分別接進安全檢查的工作單，確保Review的SLR（安全生命週期審查）達標，給服務團隊有足夠時間做修補，最終準時推出產品。儘管企業普遍面臨產品／應用安全人才難找的困境，AWS則有效地藉由內部教育訓練和賦能，使工程師、資安兩類人才互相學習對方知識，因而產生更多的Reviewer上線、降低平均安全檢查時間。

透過資料流再造，化解網路管理難題

Array Networks資深技術顧問何健男說，因應資安與法遵需求，許多企業在既有網路架構上不斷添加新的資安設備，導致網路日益複雜，衍生延遲、連線速度變慢、掉包、某些服務不通…等問題。

另外也墊高資安設備建置成本，如讓整條路徑都走10G介面，殊不知要保護的流量僅500M、1G。

有無改善之道？何健男提倡資料流再造。因為不論Server Farm或員工上網，都會經過許多資安設備，但其實不需遇到每個節點都做一次加解密，可透過資料流重新編排與設計，將流量細分為不同路徑，只要在前面做一次解密，接著以明碼傳輸，等到接受完所有檢查，最終再加密送至Server Farm或出Internet；途中若遇設備故障，跳過即可，不會因而造成網路斷線。

借助第三方SASE，輕易阻擋勒索攻擊

歐米英泰智慧服務技術總監暨首席工程師田旭弘指出，其成立於2014年，專精網路資訊安全防護、網路遞送優化，現為Cloudflare台灣代理商暨技術夥伴。

他說第一支勒索軟體出現於1989年，至今過了許久但卻持續存在，係因勒索攻擊已成有利可圖商業行為；目前5個常見攻擊媒介，包括魚叉式網路釣魚、路過式下載、RDP漏洞、軟體漏洞、社交工程與惡意廣告。

如何化繁為簡解決上述問題？基於SASE的Cloudflare One堪稱理想解方，它提供快速、可信賴、全球一致的One Control Plane、One Management Interface，簡化遠端連線方式，有助消弭橫向移動，並內建DDoS與防火牆防護機制，加上它不開埠、憑藉內部植入代理程式並建立安全通道的做法，有效阻擋勒索病毒、釣魚、Shadow IT或不明威脅。

援引Universal Platform，省卻軟硬體升級煩惱

Extreme Networks亞太區首席技術顧問陳瑞建表示，Extreme提倡Universal Platform概念，客戶買設備後可決定跑什麼作業系統（OS）。以交換器為例，可選用傳統網路結構，亦可選用最新Fabric結構，據以實現零信任或網路結構虛擬化。

而Extreme在晶片上發展獨特功能，使客戶不需仰賴外部Probes或TAP，即內建分析能力，可辨識逾7,000種TCP應用、網路協定及服務，滿足除錯、維運及資安等應用。

Extreme也提供Universal Wireless，允許AP跑三種不同OS，涵蓋兩種落地控制器、一種雲端控制器方案。且其ExtremeCloud IQ已成全球第二大雲端平台，兼能管控Extreme自家設備、第三方設備；雲管理無線網路的優點，包括無控制器架構及控制器備援的要求、無單點失效風險、強迫全面軟體升級的困擾、無強迫汰換硬體的困擾。

還原零失誤，確保勒索攻擊下仍可自救

Veeam Software台灣區技術顧問陳立穎指出，據調查，85%公司在過去一年中至少經歷一次勒索攻擊，33%支付贖金卻沒有恢復資料。但營運持續性的阻礙不僅勒索軟體，像是如何針對實體、虛擬、公有雲多元平台做好統一管理與備份，亦是難題。

持平而論，要在混合架構做到備份，其實相對容易，但如何做到整機還原或異地還原，則是困難之事。

惟透過資料保護專家Veeam的解決方案，即可滿足Data Security「零信任」、Data Recovery「零疏漏」及Data Freedom「零鎖定」三大優勢，為公司的業務提供完美守護，如備份地端的實體機或虛擬機，日後在雲上還原這些機器。而Veeam不只符合資料管理保護法則3-2-1，可多提供1與0，1指的是多重驗證、確保資料完整性，0則意指還原零失誤。

善用安全架構檢視，補強雲端資安罩門

伊雲谷數位科技技術部專案經理劉雨瑄表示，不少人問雲端是否安全？她援引Check Point調查報告強調，大部分雲端安全問題皆來自人為錯誤配置，顯見用戶若能攜手取得資安認證的雲端代理商共同維護，就能確保安全。

談到強化雲環境資安防護的關鍵措施，她認為AWS的Security Well-Architected Assessment是很好的檢視依據。伊雲谷會利用雲端安全架構檢視工具，比對AWS的安全架構，協助客戶理解箇中差異，再尋求補強。

基本上雲端安全架構有五大優化面向，包含資料保護、身分和瀏覽管理、系統和應用程式安全、基礎架構保護及監控和事件響應；為此Security Well-Architected Assessment提供全面視角，幫助企業確保資訊系統的安全性、法遵性和持續性，並且識別潛在威脅。

憑藉有效備份與還原，確保AD持續性及可靠性

Quest系統顧問王詩齡指出，許多企業重視服務備份，但Active Directory （AD）是否也做備份？即使有做，其還原是否有效？似乎都是問題。係因AD是企業關鍵系統，假使沒了AD，恐導致許多服務無法繼續啟用。

歸納企業對AD的恢復挑戰，包括以手動還原AD/DC耗時費力；無法還原整個AD網域和樹系；無法驗證備份檔的有效性；更麻煩的是無法備份還原Azure AD。

所幸透過Quest工具，可快速恢復AD正常運作。因為它支援遠端自動化AD備份、線上物件還原、自動化AD網域／樹系重建，且從乾淨作業系統執行還原、減少惡意軟體藏身之處。另一方面Quest提供混合AD環境完整備份和災難恢復方案，既可還原本地AD，也能還原Azure AD。

高效處理加密流量，不擔心惡意軟體攻擊

A10 Networks台灣區技術總監陳志緯指出，現今逾90%網際網路流量加密，讓於加密流量中的惡意軟體攻擊急劇增加，迫使企業須採取遏止行動。

因資安設備看不懂加密通道，企業須將流量解開，無奈傳統做法有其問題，包括處理SSL會耗損效能，多重加解密易造成網路延遲；此外因應資安法遵，並非所有流量都可被解密；且部署加解密需變更網路架構，難免存在風險。

為此A10提出SSL Insight方案，採取前後夾方式，僅需做一次流量解密即可，也無需更動網路架構。SSL Insight內建專屬SSL處理晶片，擁有極高SSL/TLS加解密效率、也能降低延遲，可精準辨識加解密流量；採用集中式SSL/TLS憑證管理機制，能處理解密時需置換憑證的問題；且以進階方式處理Bypass，符合資安法規。

利用IT即戰力，迅速實現韌性供應鏈

網擎資訊軟體（Openfind）行銷副總經理李孟秋表示，製造業欲打造強韌生態鏈，需有頭腦（智慧化決策）、身體（不間斷營運）、手腳（分散式製造）與免疫力（遠距協作）。

此時IT可幫忙的地方甚多。針對頭腦，可透過AI執行風險診斷與預防。針對身體，可透過On-demand及高HA，以快速復原達到即時應變、冗餘準備。針對手腳，借助風險管理來落實分散式製造。針對免疫力，透過遠距監控、協作、WFH來達到安全協作。

為此Openfind展現多重優勢，用IT助力實現供應鏈韌性。首先「安全控管」，依管理需求設定權限，有效控制資料存取。其次「稽核防護」，利用DLP，避免敏感資料被不當使用或外洩。再者「杜絕病毒」，防範勒索攻擊，既便遭感染能一鍵還原資料，減少營運損失。

提高偵測速度，讓駭客攻擊功敗垂成

凱信資訊協理林文泰表示，據IBM X-Force報告顯示，亞太地區連續兩年成為受攻擊最嚴重地區，製造業也蟬聯最常受攻擊的產業。另發現在21%資安事件中攻擊者均有部署後門程式，惟其中67%部署失敗，換言之若企業及早發現後門，便可避免遭加密勒索。

可惜製造業的偵測能力較弱，平均9.8天才發現被攻擊，反觀現今勒索攻擊的平均持續時間僅4天。當務之急，製造業應設法加快偵測速度，而IBM QRadar EDR正是理想解方，只因它無需大量設定變更，便可在第一時間即時偵測。

凱信以IBM QRadar為基礎建置SOC／MDR服務，長期協助客戶進行資安事件分析、調查與Threat Hunting；一旦察覺高中級風險，可在1小時內通報，協助客戶有效緩解APT、資料外洩或勒索攻擊。

從駭客視角反思，嚴防AIGC引發資安威脅

安侯企業管理執行副總經理林大馗，分享他對生成式AI（AIGC）風行下的資安觀點。論及AI可能衍生的資安風險，主要包括學習偏失、人為錯誤、技術缺陷、流程瑕疵、資安攻擊、隱私侵害、決策誤用、演算效能不足等八類。如Meta的CISO提出警示，已掌握到駭客開始留意AIGC技術，嘗試利用它來激發「無窮想像力」；更有甚者，駭客不再使用ChatGPT進行網路攻擊，轉而直接攻擊OpenAI。

AI造局，資安面臨哪些挑戰？林大馗援引安侯建業（KPMG）曝險報告指出，多數企業輕忽社群媒體衍生的網路攻擊，如在大量運用社群媒體觸及受眾時，有意無意間留下公務聯絡訊息；另員工在註冊社群媒體時，經常將服務的企業名稱、公司電子郵件等資訊提交上去，導致員工資訊更容易被取得，淪為駭客發動魚叉式社交攻擊的利器。

安侯建業（KPMG）建議企業應從駭客視角反思，立即針對社群媒體運用制定管理規範，並透過資安縱深防禦策略、Anti-Spam等機制，有效防範企業電子郵件安全，避免Credential遭竊取，引發後續嚴重後果。