物聯網的資安攻防大戰!臺灣該如何見招拆招?
110/09/22
曾繁安
科技大觀園特約編輯
資策會資安科技研究所王仁甫策略總監專訪
5G 科技讓萬物聯網的新紀元已經來臨,代表著機器與機器溝通,人類過上全自動化的超便捷生活不再是夢。但這同時也意味著科幻電影中,邪惡駭客組織攻占重要機關的主機系統,引發一連串資安問題,甚至攸關社會國家安危的重大事件,也可能在現實中發生!
科技帶來的便利與風險並存的這個世代,來聽聽資安專家——資策會資安科技研究所王仁甫策略總監的精彩分享,一起思考 5G 物聯網下面對的資安挑戰。
一起跟資安達人瞭解 5G 如何翻轉我們的生活!
「16 年前一個月黑風高的夜晚,博士班學姐的一通電話,讓我踏上資安這條不歸路……」
問起投入資安領域的契機,王總監用打趣的口吻開場。當時在學姐的建議下,他參與了設計國内第一個資安指標的工作,從此開啓與資安的不解之緣。自稱「資安界 56 哥」的王總監,雖非一般人熟悉的另一位仁甫兄,但他對科技資安研究的敏銳觀察與豐富經驗,肯定令人甘拜下風。
他談到,4G 網絡的發展令網紅經濟崛起,你我都不曾想像『點讚、訂閲、打開小鈴鐺』會變成一種常態。而接下來的 5G 物聯網,將帶來更大的轉變與衝擊。
為什麽比起 4G,5G 有「大頻寬、高速率、低延遲」的特性?這是因為目前 4G 所在電磁波區間(約 450 MHz ~ 3800 MHz)已塞滿用戶,讓網速變得越來越慢,因此人類便把腦筋動到頻率更高的毫米波頻段(約30 GHz ~ 300 GHz)。增加了 5G 的區段,就像從塞爆的車流中,移到空曠的新路上。而頻率越高,頻寬也越寬,這條道路不止空曠而且比原先的更寬闊,於是訊息的傳遞能暢行無阻,理論上可比 4G 快一百倍!
「5G 最重要的,就是可以達成邊緣運算(Edge Computing)。」
王總監舉例,自動駕駛和遠距醫療還未普及,是因為傳統仰賴的雲端運算(Cloud Computing),傳輸訊息的速度不夠快,且成本高。雲端運算可以比喻作中央集權制,凡事都要經過朝廷皇上批閲議決,效率自然較低;但邊緣運算就像地方分權,讓數據可以直接在收集端附近實時處理和分析,無需先上報到雲端進行存儲、管理和分析運算,節省了上傳等待運算的時間,也減輕網絡和服務器的負擔。
在高速公路和手術檯上,微秒之差就是生死關頭。而 5G 搭配邊緣運算,大大提高的數據傳輸速率與極低的延遲,讓自動車之間可以維持安全的相對距離,遠端控制的手術刀可以精準無差地落在正確的部位。
也有賴於 5G 科技,需要大量運算資源的人工智慧(Artificial Intelligence,AI)也可以實現。這些發展促成物聯網(Internet of Things, IOT)的建立,機器和機器之間可以達成溝通,整合各方數據資訊,迅速有效率地完成各種指令。小至個人智能家居,大至工廠機械、重要基礎設備如水壩、發電廠等等,都能踏入數位自動化的新境界。
越方便就越危險?機器與機器的連接也要小心
不過,5G 的特性也改變了用戶與網絡間的關係。傳統 4G 是直鏈狀的系統,由電信商自上而下提供網絡,再經由應用程式界面(Application Programming Interface,API)提供服務給用戶,存在一個封閉式的層級關係。但速率快、訊號覆蓋範圍較小的 5G(注1), 則是由邊緣端、應用裝置及用戶組成,數據傳輸相互往來的三角形體系,不再有上下權限差別的限制。為了形成物聯網提供更多應用,5G 網絡也變得更對外開放,被駭入的風險也會提高。
研究專長為駭客行爲的王總監提到,如今網絡犯罪的作案手法越來越多元。過去搶匪洗劫銀行,還要擔心實體鈔票金條太重,扛不動。現在駭客只要動一動手指,就能利用惡意程式讓銀行的上億元瞬間消失;或使用勒索病毒,鎖定廠商的資料庫,再以巨額款項要挾,否則就把重要生產機密銷毀或公諸於世。
「5G 應用得越深,危害的情境就越高。」
未來 5G 物聯網可能面對的兩大資安威脅,包括用戶 IP 可能被駭入後,可能被用作惡意中繼站或跳板繼續攻擊另一方,讓受害者同時也成了加害者。再來,當物聯網涉及的層面越來越廣,假如被不法分子入侵掌控的是自駕車、基地台,甚至是重大國家基礎建設如水壩、發電廠等等,造成的損失傷害不堪設想!
網絡戰資訊戰開打,台灣如何接招還擊?
從個人角度,平時養成謹慎小心的習慣,不隨便亂點不明連接,隨時留意最新的網絡犯罪手法,是保護自己的不二法門。但在通訊科技發達的今時,第三次世界大戰很可能就在網路上發生,資安可是攸關國家安危的重大議題。
自 2016 年起,台灣便喊出「資安即國安」的口號,而王總監也參與在草擬「資安即國安」1.0 與 2.0 戰略的工作中。在1.0 戰略中,首要步驟就是將資安鐵三角(資訊安全、通訊安全、國家安全)正規化。政府也修訂相關法規,將資訊和網際空間延伸為國家主權的一環,並把駭客攻擊與竊取智慧財產,納入情報蒐集的工作,才能為網絡戰做好準備。
「守護要自己來,就需要有人才。沒有資安人才,就沒有基礎的資安;沒有錢投入,也不會有資安人才。」
王總監强調,一個國家的資安要做好,最重要的就是資源與人力的投入。如果國内資安產業沒有妥善發展,資安人才缺乏,就必須仰賴國外的產品。若系統程式都不是由自己人開發,而是假手於他人,便難以確保檢測過程的可靠性,往往等到資安事件發生後,才驚覺漏洞的存在。因此,政府也編組了多支專業團隊,培訓資通電軍與資安產業人才,為國内資安把關。
而「資安即國安 2.0」的重點,除了規劃新設數位發展部、成立專責的資通安全署,就是主動式防禦(注 2)——與其乖乖等著被人打,不如自己先請外部團隊攻擊自己,作資安測試,去找出資安漏洞和弱點!舉例來說,業界為了找出系統防禦上的漏洞盲點,常會委外進行紅隊演練(Red Teaming)。就像在進行軍事演習,紅隊扮演進攻方,以無所不用其極的方法嘗試入侵,同時驗證藍隊防守方的偵測與回應能力。這樣的演練成本可不低,一次就要三五百萬臺幣起跳。
但台灣不用付錢,就有免費的資安攻防演練!王總監如此笑言。這是因為,在全球最常受駭客攻擊的國家排行榜上,台灣可是位居前列。根據網路資安商 Fortinet 的報告,2021 年第一季台灣遭受到超過兩百萬次的駭客攻擊,平均每分鐘就會遭遇逾 15 次的攻擊!所謂危機就是轉機,這些源源不絕的攻擊,也讓台灣深具適合發展資安產業的龐大潛力。王總監認為,資安產業要像台灣未來的台積電,扮演護國神山般的角色。
想投身資安產業?不需要獻出心臟,只要有一顆熱忱的心
「投入資安產業不要限科系,但是要有一顆熱忱、學習的心。」對於有心想往資安領域發展的年青人,王總監給出這樣的建議。
雖非資訊科學出身,但大學的工程背景,讓王總監有了程式語言的基礎。後來他取得經濟學、法學雙碩士,前者使他瞭解產業界的趨勢走向,法學則令他知曉資安重合規性與合法性的重要。在科技管理與智慧財產權領域的博士論文中,他則從社會學、科技研究的方法分析駭客行為。他表示,跨領域的學習可以讓他從更廣濶的視角,釐清各方問題之後,找到痛點,來提供更好、更全面的科技與資安政策。
王總監指出,這一代除了要與人溝通,還要學會與機器溝通,所以掌握好程式語言的邏輯基礎是重要的,因此王總監所在的資策會資安所,除了研發研發資安監控平臺,將研發的成果技轉給業界,同時他也擔任台灣駭客協會(HITCON)理事和社團法人臺灣校園資訊安全推廣暨駭客培育協會(TDOH)理事,推展培育資安人才的各項活動,未來希望能舉辦小朋友駭客營,讓孩子在小學階段就能接觸和體會程式語言是有趣的。他也勉勵年輕人,能力好的可以負責找漏洞和抵禦攻擊,站在資安攻防戰最前線;即使程度不夠拔尖,也可肩負資安維運的工作,在各自的崗位上適才所用,都能為守護資安和國安,盡一份心力。
根據光速等於波長乘以頻率(c = f × λ)關係式,我們知道頻率越高的波段,波長越短,穿透能力強。所以 5G 電磁波訊號遇到障礙物時,會想强行穿越而非「繞」過,繞射能力弱,造成散失的能量大。因此 5G 雖然有著高速率、低延遲的優勢,弱點就是訊號覆蓋範圍小,故需要設置夠多的基地台方可實現,而電信服務商會提供用戶建設專網——既不同於覆蓋範圍大的公網,而是擁有特地目的、獨立運作的網絡系統。
此外,主動式防禦也包含三要素:歸因、阻斷、減災。歸因便是找出攻擊的背後原因,釐清駭客的犯案動機,才能對症下藥。再來,對惡意程式來源進行阻斷,往後才可以減少再次被入侵的風險。
附圖:王仁甫
和台灣知名藝人同名同姓的王總監,説話風趣幽默,整個採訪過程充滿笑聲。圖/台灣資安大會
邊緣運算架構
邊緣運算架構與傳統雲端架構不同的地方是,資料將改放在網際網路和本地網路之間的邊緣運算層作處理,等資料變少了,再將處理後的資料回傳雲端。
攻擊
台灣平均每分鐘就會遭遇逾 15 次的攻擊,源源不絕的攻擊讓台灣深具適合發展資安產業的龐大潛力。圖/pexels
資料來源:https://scitechvista.nat.gov.tw/Article/C000003/detail?ID=0853796d-0b42-4a72-a0cb-ed70ddad9f77&fbclid=IwAR2H03H3PtQ6JhtQIy6KpMaz78iFa7NBgfizoTzEbAGba_58W6guaSHYBkg
資訊安全三要素舉例 在 高虹安 Facebook 的精選貼文
七月的第一天,虹安在線上參加了第十屆工程、技術與STEM教育研討會,今年主辦單位是宜蘭大學資訊工程學系、協辦單位是成功大學工程科學系、IEEE台北分會 Young Professionals Group,研討會主題為「結合跨領域的工程教育」。虹安從資訊學碩士再到機械博士,現今又在立法院服務,橫跨了三個領域,當天的演講主題是「數據科學與國家治理」,由於疫情的關係,只能在線上跟各位老朋友、學界伙伴相見。
💡 科普時間:什麼是STEM教育?
✒ STEM,是四個英文字的第一個字母結合而成--科學(Science)、科技(Technology)、工程(Engineering)、數學(Mathematics)--是近年相關產業最喜歡用的關鍵字,歐美也有許多STEM教育的相關計畫,希望未來教育能從「知識傳遞」進化為「學以致用」,著重於科學、科技、工程、與數學的跨領域資訊整合,使知識成為可用資源的思維。
虹安首先以自身的學習、工作經歷作為開場,就讀資訊工程系所時的虹安,也跟你我的學生時期一樣,熬夜寫程式debug、拼命K書📚、做研究;到了機械博班的階段,要在博士班的過程一口氣弄懂機械系學生四年學到的內容,結合自身的資工背景,激發出insight 💡變成博士論文。過程中也曾經怨嘆過為什麼想不開,為什麼要跨領域讓自己這麼累;再到了科智的創業時期,獲得了 #全球創業賽第一名 的殊榮,跨領域的學習逐漸展現出成果;接著又到了鴻海集團擔任工業大數據辦公室主任貢獻所學,同時也擔任郭台銘創辦人的特助,命運的際遇讓我來到了立法院擔任第十屆立法委員。這次跨離了工程領域,虹安仍然戰戰兢兢,但過往累積的經驗與能量,使我能把立委的角色擔任好,虹安的大數據專長讓我問政時更能以事實和邏輯分析為根據,以數據避免政治口水,也為立院帶來了不同的科技思維。
#而且立院的同事跟科技業的很不一樣
接著,虹安以「數據思維的重要性」作為切入,說明了零售業龍頭Amazon建立了「線下」實體通路的用意是什麼、又如何決定什麼商品該在架上展示,現今的一切,不再用經驗法則決定,而是 #大數據驅動的結果,「妥善用數據分析就能看到別人看不到的價值」。在2011年,發源於辛辛那提的奇異(GE)公司,發表了GE Industrial Internet System,舉例說明了 Product (or Service) Data Life Cycle,強調了數據收集、數據比對與分析、決策改善等三個要素的Life cycle,這Life cycle適用於各領域的大數據分析和應用,重點是,以數據驅動需求的首要原則是:From gut feeling To data agility,將主觀意識下有限的數據來源,轉變到客觀心態下更大更完整的#開放式數據來源,如此一來,養成數據化的工作模式,就能得到洞察數據敏感力,看到別人看不到的價值。
而在 #國家治理方面,虹安舉了去年質詢陳時中部長的 #口罩地圖 為例,說明了大數據分析用於口罩分配的成果😷,並可解決城鄉口罩用量不同的物流輸送問題,使每個需要的人都可以買到口罩。各縣市的口罩分配不應該只是齊頭式平等;而我用的方式,就是上述的「數據收集、數據比對與分析、決策改善」三要素;虹安才能以明確的數據質詢蘇院長,7600萬片口罩到底去了哪裡。除此之外,虹安在立院密切關注的,還有 #數位發展部 的成立。數位發展部源自國家對於數位科技產業及發展的重視,成立數位發展部以進行國家數位發展政策之規劃、協調、推動與法規擬定及執行,並著重國家資通安全政策、法規、重大計畫與資源分配之擬定、指導及監督,這會是虹安在立院第四個會期的重要工作項目。
值得一提的是,會後教授們的提問十分精闢,虹安大致整理如下:
①女性工程師的教育環境、社會支持的情況
②科研成果的產出,凝聚成政策推動的的能量,再從政策回到高等教育的增進,形成正向循環的方式
③數位發展部的角色對於高等教育的影響,是否與科技部/國科會有所不同
很謝謝學界朋友的交流,這次的演講讓我暫離政治圈回到本業,虹安將會從這些面向進行研議與推動,希望我的分享也能給予學界跨領域的交流與互動。
#回歸自己的本業既熟悉又開心
#跨領域最難的是要花很多時間讀書
#想了解虹安的歷程可看面試郭台銘
資訊安全三要素舉例 在 台灣物聯網實驗室 IOT Labs Facebook 的最佳解答
紅帽點出 2021 年亞太區五大關鍵趨勢:智慧聯網、資訊安全、雲端原生、自動化及開放文化
作者 TechNews | 發布日期 2021 年 01 月 19 日 15:44 |
新冠疫情帶動遠端工作模式興起,消費者對服務品質與使用體驗的要求也與日俱增,全球企業皆面臨加速轉型的壓力。當科技在現今社經環境下扮演越趨重要的角色,科技發展只會持續前進。若要成功迎接轉型浪潮,世界領先開放原始碼軟體解決方案供應商紅帽公司亞太區技術副總裁 Frank Feldmann 指出未來一年亞太區五大關鍵趨勢,建議具前瞻思維的企業可以根據這些趨勢,重新規劃數位轉型策略。
5G、物聯網與邊緣運算:智慧聯網三要素
亞太地區將持續推動 5G 建設。目前已有 9 個市場推出 5G 商用服務,如韓國、日本和中國等,而另有 12 個市場已正式發布相關計畫。5G 普及將帶動物聯網(IoT)與邊緣運算的發展,提供超低延遲與高頻寬網路,更有效率地支援廣布於世界各地的終端裝置。舉例而言,5G、IoT 與邊緣運算可應用於智慧車隊管理,其中邊緣裝置可監控車輛中的關鍵系統,透過 5G 網路發送警報、追蹤貨物運送狀況、規劃路線,同時讓車輛與 IoT 裝置間的通訊更順暢,避免彼此相互影響。
紅帽預測2021年將有更多亞太區企業與政府透過 5G、IoT 與邊緣運算技術,更緊密地互相連結並提升效率。上述三種技術已有諸多新興應用情境,包括藉由分析感測器資料支援預測維護與品質控管、使用擴增實境系統進行遠端操作、以個人化聯網體驗提升客戶與供應商的參與感。
資訊安全對混合雲重要性逐日攀升
客戶及員工都希望商務應用程式與服務具備高度可用性、可隨選即用且無須擔憂資安問題。紅帽建議企業擁抱混合雲,以便更輕鬆迅速地在地端、公有雲或私有雲等多樣化環境中執行工作。紅帽《2021全球技術概覽》(2021 Global Tech Outlook)[1]研究報告指出,在受訪的亞太區企業中,77% 計畫在未來 12 個月採用一個以上的雲端平台(無論私有雲或公有雲),高於 2020 年的 53%。根據調查結果,企業在混合雲環境中執行應用程式的前三大原因為提升資料安全性、獲得 IT 敏捷性與降低資料隱私顧慮。
企業持續布局混合雲的同時,資安仍會是重要考量;上述調查中近半數受訪者表示資安是未來一年的首要投資項目。資安挑戰主要因其涵蓋層面多元且複雜,如終端裝置、網路與資料安全性,而克服資安挑戰的方法之一即是使用開放式安全自動化架構,透過自動化工作流程統整各項安全措施,企業便可以在安全環境中獲得更高的可視性,更快識別風險或補救網路攻擊。
雲端原生將帶動容器發展
雲端原生應用程式可在短時間內因應變化,更快速、穩定且頻繁地發展新功能,同時降低風險。當越來越多企業透過混合雲提升應用程式的擴充性與可用性,若同步擁抱雲端原生發展,將能更有效率地在任何雲端上建置與執行反應靈敏、可擴充且高容錯的應用程式。
容器是徹底發揮雲端原生應用優勢的重要技術,不僅能將應用程式與執行(runtime)環境獨立打包,輕鬆在不同環境中移動亦保有完整功能。透過容器,開發者可以將應用程式更鬆散地打包成微服務,更順利發布與更新應用程式,無須等到特定時間才一次發布大規模更新。由於企業已體認到容器對加速創新的好處,《2021全球技術概覽》報告顯示,45% 受訪的亞太區企業預計在12個月內將過半工作負載容器化。
自動化日趨重要
隨著客戶對速度的需求越加提升,IT 架構更是日新月異且技術堆疊越趨複雜;此外,企業在新冠疫情期間還須支援遠端工作模式。為了回應這些需求,亞太區企業逐漸轉向擁抱自動化技術,以降低複雜性和經營成本,同時提高生產力。然而企業需要擬定涵蓋整個企業的完整自動化策略,而不是建立自動化穀倉(silo),才能充分發揮自動化的效益。
越來越多企業將自動化結合人工智慧與機器學習技術,以自動取得更多深度分析資料並據此優化商務流程。有些亞太區銀行已使用機器人流程自動化(RPA)來審核信用卡申辦作業、將付款流程自動化與驗證索賠。由於 RPA 能增強與模仿人類的判斷模式與行為,複製可規則化的人類動作,因此有能力縮短上述工作的時間。
開放的企業文化與技術現代化相輔相成
由紅帽公司贊助並於 2019 年 11 月發布的研究報告指出[2],80% 的亞太區企業領導者將改變企業文化與技術現代化並列為數位轉型的重要因素。與數位轉型息息相關的企業文化包括適應力、包容力(inclusivity)、透明度與協作能力,這些皆與開源的原則不謀而合。致力改變公司文化並將基礎架構與應用架構現代化的企業,能在短期內開發與交付新應用程式、迅速回應客戶需求,並有效控管維護成本。
亞太區企業逐漸體認到心態轉變是數位轉型的原動力,因此我們預計未來一年有更多企業擁抱開放原則、流程與企業文化。這些努力有助企業培養協作能力,激勵員工分享想法,在工作上展現最佳的一面,進而加速創新,並靈活地回應客戶與業務要求。
2020 年的全球重大事件促使企業專注於維繫企業存續的短期目標。當商業環境不斷發展,亞太區企業必須採用靈活、敏捷及可擴充的技術解決方案,為未來做好準備。展望 2021 年,企業在擬定或改善數位轉型計畫時,若能納入 5G、邊緣運算、混合雲與自動化等趨勢的發展,將有助其獲得更高成效。
資料來源:https://technews.tw/2021/01/19/red-hat-2021-trend/
資訊安全三要素舉例 在 何謂資訊安全 的相關結果
資訊安全 (Information Security):保護資訊之機密性、完整性與可用性;得增加諸如鑑別性、可歸責性、不可否認性與可靠性。 ... 可歸責性(Accountability):確保實體之行為可 ... ... <看更多>
資訊安全三要素舉例 在 什麼是CIA Triad?從常見的五大資安威脅,檢視企業資訊安全 ... 的相關結果
資安 鐵三角:CIA Triad ... 機密性旨在對數據進行保密,也就是限制未經授權的資料之訪問與修改權,除了確保隱密性,也降低機密資料陷入威脅的機率。 為了 ... ... <看更多>
資訊安全三要素舉例 在 從零開始學資安— 什麼是資訊安全? - Medium 的相關結果
Confidentiality 機密性、Integrity 完整性、Availability 可用性資訊安全三要素關係是互相牽制的,例如:機密性超級高,會造成完整性與可用性的降低; ... ... <看更多>