Security Summit 2024:強化資安治理,打造決勝未來的超凡韌性 智慧應用 影音
Event
DFORUM

Security Summit 2024:強化資安治理,打造決勝未來的超凡韌性

  • 鄭茨云DIGITIMES企劃

為期兩日的資安峰會,齊聚產官學研多位資安專家,為台灣企業擘劃資安韌性藍圖,圖為開幕合影。左起:卡巴斯基台灣銷售總監黃茂勳、Synology台灣事業處總經理李乾瑋、趨勢科技台灣暨香港區總經理洪偉淦、DIGITIMES暨IC之音董事長黃欽勇、數位發展部政務次長闕河鳴、國家資通安全研究院院長何全德、AWS台灣暨香港總經理王定愷、台北金融研究發展基金會董事長周吳添、亞利安科技資安技術支援部協理王添龍。DIGITIMES攝
為期兩日的資安峰會,齊聚產官學研多位資安專家,為台灣企業擘劃資安韌性藍圖,圖為開幕合影。左起:卡巴斯基台灣銷售總監黃茂勳、Synology台灣事業處總經理李乾瑋、趨勢科技台灣暨香港區總經理洪偉淦、DIGITIMES暨IC之音董事長黃欽勇、數位發展部政務次長闕河鳴、國家資通安全研究院院長何全德、AWS台灣暨香港總經理王定愷、台北金融研究發展基金會董事長周吳添、亞利安科技資安技術支援部協理王添龍。DIGITIMES攝

近年資安攻擊事件越演越烈,除了令人聞之色變的勒索軟體攻擊、釣魚郵件/網站攻擊、社交工程攻擊、漏洞攻擊依舊猖獗外,肇因於企業使用開源軟體元件或函式庫所衍生的供應鏈攻擊,亦使得許多企業猝不及防,因而釀成關鍵服務停擺的悲劇。

更讓人擔心的,隨著生成式AI爆紅、混合雲架構盛行,加上地緣政治情勢升溫,種種變數接踵而至,而台灣向來是頻繁遭受攻擊的熱門區域,今後的資安情勢恐怕更加凶險,看來並無緩解跡象。

DIGITIMES暨IC之音董事長黃欽勇為資安峰會進行開幕致詞。DIGITIMES攝

DIGITIMES暨IC之音董事長黃欽勇為資安峰會進行開幕致詞。DIGITIMES攝

數位發展部政務次長闕河鳴為聽眾揭示政府對於資安政策的未來重大方向。DIGITIMES攝

數位發展部政務次長闕河鳴為聽眾揭示政府對於資安政策的未來重大方向。DIGITIMES攝

資安院何全德院長於DIGITIMES首屆資安峰會分享主題演講「新世代AI對資安治理的挑戰與契機」。DIGITIMES攝

資安院何全德院長於DIGITIMES首屆資安峰會分享主題演講「新世代AI對資安治理的挑戰與契機」。DIGITIMES攝

勤業眾信聯合會計師事務所資深執行副總經理簡宏偉分享以零信任危機處的資安風險管理。DIGITIMES攝

勤業眾信聯合會計師事務所資深執行副總經理簡宏偉分享以零信任危機處的資安風險管理。DIGITIMES攝

Veeam資深技術顧問陳紹鵬演示企業如何達成數位韌性與資料保護。DIGITIMES攝

Veeam資深技術顧問陳紹鵬演示企業如何達成數位韌性與資料保護。DIGITIMES攝

OneDegree集團資訊長Stanley ChouAuthme、共同創辦人暨執行長李紀廣共同探討AI趨勢成形後的資安風險因應。DIGITIMES攝

OneDegree集團資訊長Stanley ChouAuthme、共同創辦人暨執行長李紀廣共同探討AI趨勢成形後的資安風險因應。DIGITIMES攝

為解鎖GenAI力量,AWS舉辦「2024 AWS生成式AI創新產業應用日」,展示橫跨10餘個產業、超過15個不同GenAI應用場景。DIGITIMES攝

為解鎖GenAI力量,AWS舉辦「2024 AWS生成式AI創新產業應用日」,展示橫跨10餘個產業、超過15個不同GenAI應用場景。DIGITIMES攝

亞利安科技精銳盡出,展示現階段所有代理品牌,例如擅長資料庫與網站應用程式防護的Imperva、知名CNAPP平台Orca等。DIGITIMES攝

亞利安科技精銳盡出,展示現階段所有代理品牌,例如擅長資料庫與網站應用程式防護的Imperva、知名CNAPP平台Orca等。DIGITIMES攝

卡巴斯基(Kaspersky)推出Kaspersky Next新一代資安產品,強調可憑藉強大的端點保護、EDR及XDR,幫助企業應對現今複雜的新興威脅。DIGITIMES攝

卡巴斯基(Kaspersky)推出Kaspersky Next新一代資安產品,強調可憑藉強大的端點保護、EDR及XDR,幫助企業應對現今複雜的新興威脅。DIGITIMES攝

群暉科技(Synology)主推資料保護方案,可集中備份各種實體和虛擬應用資料,藉以完善3-2-1備份架構並達到即時資料還原。DIGITIMES攝

群暉科技(Synology)主推資料保護方案,可集中備份各種實體和虛擬應用資料,藉以完善3-2-1備份架構並達到即時資料還原。DIGITIMES攝

來自日本的HENNGE,鑒於社交工程攻擊、釣魚網站威脅至鉅,提出社交/釣魚演練、DLP、身分識別控管等多層次防禦方案。DIGITIMES攝

來自日本的HENNGE,鑒於社交工程攻擊、釣魚網站威脅至鉅,提出社交/釣魚演練、DLP、身分識別控管等多層次防禦方案。DIGITIMES攝

A10展示Thunder TPS次世代DDoS防禦方案,不僅承載大量惡意IP資料,且結合ML動態偵測機制,得以有效防範多重DDoS攻擊。DIGITIMES攝

A10展示Thunder TPS次世代DDoS防禦方案,不僅承載大量惡意IP資料,且結合ML動態偵測機制,得以有效防範多重DDoS攻擊。DIGITIMES攝

OneDegree提供AI賦能的自動化紅隊演練方案,協助金融業消弭大型語言模型(LLM)或AI系統的道德、合規、數據外洩等風險。DIGITIMES攝

OneDegree提供AI賦能的自動化紅隊演練方案,協助金融業消弭大型語言模型(LLM)或AI系統的道德、合規、數據外洩等風險。DIGITIMES攝

著眼於此,DIGITIMES特別開啟Security Summit 2024資安峰會活動。在第一天議程中,聚焦於「軟體x治理x人才」主題,期望協助企業翻轉資安防護架構與觀念思維,更有自信地應對各種資安挑戰與考驗。

重新定義/定位/定價,緊扣AI爆發商機

DIGITIMES暨IC之音董事長黃欽勇表示,2024年是動盪的一年。2023年底的時候,業界原本期待2024年PC與手機回溫,結果僅有1~3%微幅成長;另期待電動車帶來新商機,車用半導體卻呈現負成長狀態。然而AI加速器則令人驚艷,增幅不是用百分比算、而是高達2.5倍。

世局多變,導致AI氣勢如虹、正在顛覆我們的世界。欲解讀AI帶來的爆發性商機,必須理解Top-Down決定產品規格已然遠去,取而代之的是Bottom-Up時代,市場需要的是快速回應、技術超前的生態系統服務;過去數十年已淬鍊深厚基底的台灣,將迎來莫大機遇。

有人說AI吃掉軟體、軟體吃掉硬體,黃欽勇同意這般論點。但正所謂相依、相生、相剋,硬體吃掉AI的可能性相當大,因為「做不出來就贏了」,台灣不管半導體、伺服器等產業無可替代,因此我們必須善用新的工具與方法,重新自我定義、定位與定價,在AI引爆的價值翻轉中躋身大贏家。

政府防範AI風險,修正電子簽章法並成立AI評測中心

數位發展部政務次長闕河鳴指出,展望今後有幾個重大政策方向值得留意。環顧國家希望工程政策,總計八大施政目標中就有兩個與資安相關,首先是韌性台灣,旨在推動資安聯防、強化數位韌性,保障安全與民主。

其次是產業資安、資安產業。分析民間企業資安投資,一些知名的大型電子公司其實無需擔心,真正需要關注的是中小企業,他們經常遭受勒索攻擊。因此未來中小企業將是政策著力重點,會給予一些資源,幫助他們滿足基本資安需求;如產業署推動的DIGITAL+數位服務創新補助計畫,就帶有這樣的意涵。

至於下一重點正是AI。數發部很早就預見AI一定會衍生資安議題,也在一年半前研究深偽詐騙,儘管迄今尚無完整答案,但已研擬一些方法,所以著手修正電子簽章法,並且成立AI評測中心;與此同時會在公家機關積極推展零信任架構,希望中央部會在未來1~2年內導入完畢。

有效與可靠,為AI可信任的基石

國家資通安全研究院院長何全德強調,AI引爆全新的典範和機會,不僅加快雙軸轉型速度,也讓許多企業面臨極大壓力。所以據統計,全球逾六成CEO表示無論2024年經濟狀況如何,都會持續投資AI。

儘管GenAI帶動人類效率、效能與智力全面鉅變,但持平而論AI是矛也是盾,雖有轉機但也存在危機,故需留意風險治理問題,以期兼顧Speed和Security,讓我們可以安全地利用AI潛力,最大限度降低相關風險。傳統軟體基於程式邏輯,易於預測輸出,但LLM涉及上千億參數,無人能精確掌握其生成之道,可能帶來獨特甚或加劇的風險。

所以企業思考AI風險治理時,除需考量傳統CIA外,亦需注意Abuse與Misuse,防範不盡真確的AI幻覺議題,確保AI與人世間的道德價值對齊;誠如NIST觀點,有效與可靠是AI可信任的基石,因此數發部規劃成立AI產品與系統評測中心,道理便在於此。

借力雲端AI科技,避免攻防武器不對等

AWS台灣暨香港總經理王定愷說,IT產業經常存在一些刻板印象,如老闆或IT主管認為有使用VPN、通過ISO 27001認證、安裝防毒軟體及防火牆,且將資料鎖在公司機房不上雲,就安全無虞。殊不知駭客已採用先進技術與思維,用GenAI來發動攻勢,導致你的防禦武器不對等,因而陷入險境。

「GenAI正在改變資安運作,駭客已用槍砲,你豈能耍大刀?」王定愷認為別人道高一尺、我們就要魔高一丈。以亞馬遜為例,因年營收逾5千億美元規模,一向是駭客覬覦目標,故內部早已建立「Security is job zero」文化,期望打造最安全雲端環境,讓同仁安心探索新技術;另善用AI科技持續升級防禦武器,時時偵測與分析駭客異常行為,並自動化展開反制行動,不斷增強事故應變能力。

存取控制+可視性+日誌稽核,扎穩混合雲資安基本功

趨勢科技台灣暨香港區總經理洪偉淦表示,近年威脅態勢險峻,造成資安議題日益火熱。深究其因,為新興科技催化數位轉型快速發展,而雲端是轉型過程最關鍵的新興技術載具,加上大家對雲端不瞭解,以致衍生資安問題,包括純雲端或雲地混合攻擊模式皆有。

雲地資安差別何在?攻擊手法其實差異不大,但雲端變動快、衝擊大,尤其基礎架構程式(IaC)帶來便利但也伴隨Access Key外洩及被盜用風險。應對這些挑戰,建議企業務必訂定雲端資安政策且嚴格執行,其中須涵蓋存取控制、可視性、稽核(雲端日誌保存)、自動化(Security as Code)等重點。例如利用雲端安全態勢管理(CSPM)工具比對Log,釐清有無錯誤設定情形;或針對Github執行Hunting,檢查是否有Access Key不慎被丟上Github。

結合零信任、AI與PQC,因應資安新挑戰

亞利安科技資安技術支援部協理王添龍呼籲,面對資安新挑戰,企業應儘速研擬AI、量子運算衝擊加密機制的因應對策,再結合零信任與AI技術,打造動態且智能的資安防護,有效應對日趨複雜的資安法規,確保數位轉型旅程一路安全合規。

綜觀多項法規,「加密」出現頻率甚高,包含資安法、金融資安行動方案2.0、行政院建議之資料安全管理措施、安維辦法,乃至ISO 27001新增控制項目均有相關規定。惟值得一提,因量子運算恐破解現行PKI,企業宜著手將加密機制升級至後量子密碼學(PQC);接著應盤點資源存取途徑,以零信任深化資安防護。

掌握威脅情報,提升資安維運效能

卡巴斯基(Kaspersky)台灣銷售總監黃茂勳表示,近年Kaspersky提倡一項很特殊觀念「網路免疫」,為一個簡單概念,藉由墊高攻擊成本與時間、使其得利益不及這一切,讓駭客放棄攻擊念頭,而實現此目標的關鍵養分便是情資。

Kaspersky認為,欲使SOC中心的資料更廣泛,務必建立好端點安全、威脅情資、安全日誌三大要素。其中情資對SOC至關重要,故應善用第三方資安廠商提供的大數據情資,達到快速定位問題根因的效果。為此Kaspersky提供CyberTrace平台,主動吐資料給企業,讓企業輕易獲得全球IP Reputation,包含C2主機的URL與相關IP、惡意程式的Hash,且更新速度甚快;企業只要加以比對,便可迅速揪出潛在禍患、提升安全維運效能。

完整實踐資料保護,加速達成ISO 27001合規目標

群暉科技(Synology)台灣事業處總經理李乾瑋指出,迄今群暉於全球累積銷售逾千萬台NAS,近年著眼用戶對資料應用需求轉變,逐漸聚焦四大領域,涵括資料儲存、資料備份暨災難復原、企業生產力、智慧影像監控;其中備份與容災更是企業滿足合規的重點。

群暉建議客戶從ISO 27001出發,係因它涵蓋RTO/RPO、還原演練計畫、備份3-2-1等基本規定。歸納ISO 27001在資料保護的重點有四,分別是保護來源資料、確保備份可⽤性、建構備份可還原性、多元還原及隨需取回。群暉對這些要點著力甚深,例如以Active Backup免授權軟體協助滿足各個平台的備份需求;透過Hyper Backup滿足備份3-2-1;藉由新推出的備份一體機ActiveProtect,助用戶透過CMS集中管理單一叢集下至多達2,500台備份伺服器。

循序建構零信任,為資安事件預做準備

勤業眾信聯合會計師事務所資深執行副總經理簡宏偉認為,零信任概念是自然而然產生的,係因傳統資安防護需要設定邊界,但如今邊界定義漸趨模糊,迫使企業須從另一角度思考風險管理,甚至將資安導向治理角度;此時即需從「零」開始發展服務與建構環境。

他提示幾個做好零信任的重點。例如將內網視同外網、從部門別來區隔網路甚至建立微分段,把每個Entity視為邊界、個個變成驗證主體。針對特權帳號管理,一定限縮到最小。蒐集充分的Log,做為信任推論的基準。以及推動零信任先不急著買Solution,務必先盤點你要保護的是什麼,再據此調整網路架構,會比較容易。此外從高風險低衝擊的場域開始試做,再根據箇中經驗建立SOP。

以多層次防禦,遏阻人為錯誤引發的資安風險

HENNGE台灣惠頂益行銷經理張克豪點出,談到企業最需警戒的資安風險,釣魚網站與社交工程手段肯定名列其中,它們與其餘風險最大不同,在於都是針對人的攻擊,任憑企業布建再先進的防禦系統、也終究防不勝防。

建議企業應對此建立多層次防禦。第一層先做社交工程/釣魚信件演練,藉此培養員工資安意識,練習事件發生時的正確應對。第二層為資料外洩防護(DLP),即便有人不慎受騙,在對外傳遞機密過程,亦可適時攔阻。第三層是身份識別控管做為最後防線,如啟用SSO或MFA,避免身份外洩造成資安疑慮。針對上述三層,HENNGE分別提供Tadrill、Email DLP/File DLP、Access Control/Device Certificate等完整方案。

部署新一代DDoS防線,瓦解地毯式攻擊

A10 Networks台灣區技術總監陳志緯表示,據DBIR報告,2023年DDoS佔所有攻擊40%堪稱頭號威脅。但值得留意,現今DDoS與過往有所變化,單憑傳統防禦機制恐因無法分析DDoS攻擊類型,導致誤擋或漏擋。

以往企業依閥值啟動防禦機制,反觀現在DDoS多是地毯式攻擊,攻擊目標分散化,以致單一目標的量不大、不會觸發閥值。所以做為新一代DDoS防禦,首先要能藉助多元化感知器,達到精準偵測。其次要有防禦等級之分,無攻擊時不放任何Policy,力求不誤攔;當攻擊流量進來,則動態依據Level 1~4嚴重等級啟動對應規則。再者由機器取代人來自動化分析攻擊型態,讓計算時間從30~60分鐘驟減至5分鐘內,以便及時迅速套用至防禦設備。而A10的Thunder TPS,便是符合這些條件的新世代防禦利器。

實踐完整資料保護,建立最強數位韌性

Veeam資深技術顧問陳紹鵬指出,不少人將資安視為成本,其實只要折中拿出3%做資料保護,便能有效防止企業環境遭破壞。但須注意,現今93%駭客主攻備份儲存庫,為此我們從法遵出發,從金融資安精進措施2.0等規範中拉出大方向,做好營運持續演練、強化資料保全,再以自動化達成上述目標,便有望建立足夠數位韌性。

Veeam長年專注發展資料保護技術,協助用戶高效執行演練、備份、還原、防勒、上雲,進而符合法規並通過驗證。係因Veeam可憑藉單一平台,全面支援實體機、虛擬機器、雲、Apps、SaaS或容器等業界最多元的工作負載,亦日復一日自動執行驗證,確保你的備份資料是否可用;另在備份時,透過AI確認其中資料有無問題、是否已遭入侵,經確認無誤,再放進無人可動的保險箱。

運用創新科技建立防線,防範數位經濟下安全風險

峰會第一天舉辦的兩場Panel,一是由IC之音‧竹科廣播「科技領航家」主持人朱楚文主持的「數位經濟下,產業如何透過上雲與創新科技因應資安風險」,與談人包括Authme共同創辦人暨執行長李紀廣、OneDegree集團資訊長Stanley Chou。

Stanley Chou認為隨著AI趨勢成形,已開始出現典範轉移。可預見愈來愈多的應用層,會從傳統Rule-based轉向機器學習ML-based。資安亦是如此,企業須確保其LLM不被攻擊者操弄、產生不正確或不公平回應,且有能力遏止數據洩漏或Prompt Injection風險。OneDegree可協助用戶執行紅隊演練、甚至達到演練自動化,以系統化機制驗證AI系統或LLM有無漏洞與風險。

李紀廣說,擅長金融KYC的Authme關注身分詐欺議題,研究如何防範駭客發動深偽(Deepfake)或AI詐騙;曾有因Deepfake而釀成某企業大筆財務損失之例,風險可見一斑。建議企業先從設備鑑別、MFA方法做起,分析是否為本人;若涉及網路交易或高風險交易,Authme可提供SDK協助用戶進行控管,識別影像來源是否為真,而非遭到中間人攻擊,亦確保並未被P圖過。

SSO+MFA+FIDO+AI,打造阻駭反詐大防線

壓軸議程為「金融資安:以SSO/MFA/無密碼鞏固身分安全」Panel,主持人為朱楚文,與談人是富邦金控副總經理暨資安長蘇清偉。

蘇清偉強調,金融機構須確保客戶個資安全及交易正確性,故需防範因DDoS或勒索攻擊導致交易系統停擺。此外金融業者亦應關注防詐騙,富邦也花了許多心力來防範這一部分,避免影響與客戶之間的信賴。

富邦盡力讓假訊息儘快下架,不讓客戶接觸。但反制過程有其難度,因詐騙成本甚低,詐騙集團就算被迫下架,也會立即生成一樣的粉絲專頁。富邦曾因不斷檢舉、下架再生成,與詐騙集團週旋兩星期,所幸數發部意識到此事,要求網路廣告平台若被通知有刊登詐騙廣告,應於24小時內下架,可望增強防詐力道。

論及防駭與防詐關鍵技術,蘇清偉認為有SSO、MFA及FIDO,其中訴諸無密碼的FIDO,有機會成為身分驗證主流技術,係因驗證過程能有效避免帳密外洩。另一重要技術為AI,譬如北富銀為加強保護客戶個資隱私與交易安全,特别攜手刑事警察局開發「鷹眼模型」AI偵測技術,提升對可疑帳戶識別的精確性。

關鍵字