為提升企業資安韌性,推動資安產業發展,數位發展部數位產業署日前舉辦為期兩天的「資安Day-資安嘉年華」,本屆活動聚焦提升產業資安韌性、深耕資安技術,透過產業資安藍圖分享、技術專題演講、物聯網資安標準推動成果發表會及供應鏈資安風險與防護產業論壇等活動,吸引眾多業者特地前來參與這場南台灣的專業資安盛會。
數位部除了是產業數位轉型的窗口,也是推動資安產業發展、提升產業資安韌性的窗口。
數位發展部李懷仁次長開幕致詞時表示,本次「資安Day-資安嘉年華」除了是南部的資安盛會,也希望能成為資安產業與產業資安的交流平台,形成正向循環發展,塑造台南沙崙成為南台灣的資安聚落,以及資安人才培育的後盾。
二天的活動邀集20家資安業者現場展示資安技術能量,並於「物聯網資安標準推動成果發表會」發表本年度「人臉辨識裝置」、「地震儀」、「水位計」三項資安標準,北次活動壓軸更邀請資安標準優良廠商,包括思科、Infoblox、Fortinet、Akamai、叡揚資訊、睿控網安等舉辦「供應鏈資安風險與防護產業論壇」,剖析常見駭客攻擊形式及應對之道,藉此提升企業的資安防禦力。
供應鏈成駭客新目標
全球政經情勢動盪,助長駭客攻擊的態勢,企業供應鏈成為最新鎖定目標。駭客運用DDoS攻擊(Distributed Denial of Service Attack,分散式阻斷服務攻擊)、勒索病毒、社交工程等手法,入侵企業內部網路取得資料,光是二〇二一年就至少有十四家上市櫃公司或子公司發生重大資安事件,也有企業為了信譽而不得不付出高額贖金。駭客圈更衍生出全新的「勒索軟體即服務」(Ransomware as a Service,RaaS)商業模式,大幅降低勒索軟體攻擊的技術門檻,並擴大攻擊範圍,也使得勒索病毒更加猖獗。
思科全球資安產品事業部大中華區資深經理沈炫谷指出,零信任架構已成網路安全的重要趨勢,思科提出3W框架,透過企業員工(Workforce)、工作負載(Workloads)、辦工場合(Workplace)等三大面向的防護要求,企業可自行檢視資安防護配置,而思科也提供「Duo無密碼身分驗證」等多項對應解決方案。
防火牆如同保壘,提升攻擊難度
「所有網路資訊安全問題都是從DNS開始,但企業卻很少關注。」Infoblox(聯達資訊)大中華區資深技術顧問張哲綱指出,企業資訊安全管理有e-mail、DNS、Web等三個最重要的閘道,Infoblox提供DNS型態攻擊防護解決方案,可協助企業有效並快速應對網路安全威脅,提升資安韌性,從網路第一道防線做起。
數位轉型加速企業內部的設備連網,曜祥網技(安數科技)技術經理黃士滄提出落實物聯網自動化安全防護三大要點,透過資產盤點,了解有多少的聯網設備,掌控軟體風險,達到風險透明化,最後落實設備的生命週期管理。新設備進廠時,必須先經過完全掃描或安裝防毒軟體,並持續檢查;在RD、FAB、IoT等不同區域都落實同樣的程序,就能達到全面的資安防護。
Fortinet北亞區技術協理劉乙認為,資安防護就跟整修房屋一樣,可是企業對資安的認知及防護程度不一,有些甚至「門」都沒有。Fortinet資安防護架構符合Gartner網路安全網格架構(CSMA),整合新世代防火牆,根據業務需求對網路進行分段,落實各階層防禦;其次是OT弱點大量探勘,運用入侵防護系統(IPS)即時阻擋弱點攻擊,虛擬補丁。進而在各大電信業者放置「蜂蜜罐」誘捕駭客或病毒,了解攻擊模式,直接在攻擊設備做阻斷,「決戰在最前端」。
微隔離,中斷軟體攻擊鏈
Akamai大中華區資深技術顧問王明輝將COVID-19防治,套用在勒索病毒防護上。他說,絕大部分客戶關注如何減少病毒攻擊及檢查行為、保護本機,卻較不重視範圍控制並防止擴散。有別於傳統防火牆是針對一整個網段或整個工作區,「微隔離」在每台工作站或伺服器都安裝一個防火牆,其中一台中毒並不會影響其他設備,且達到可視性(L7)。
叡揚資訊資安事業處經理陳宇馳表示,應用系統的安全問題層出不窮,主因在於OT設備設計時安全性考量不足,儘管技術通過安全認證,但從資安角度來看卻仍有不足。企業可透過落實安全檢測與修補、軟體供應鏈把關、員工安全技能培訓、建立終端裝置防護與事件回報機制等方法,強化OT應用程式的安全。
談到資安產業未來發展,睿控網安行銷部副總裁許育誠指出,產業面臨全球經濟下滑,駭客入侵、勒索病毒等網路犯罪增加等威脅,將朝兩極化發展。唯有趁勢調整體質,因應來自供應鏈資安等挑戰,才能在激烈的市場競爭中生存。駭客攻擊手法不斷翻新,企業必須改變過去的資安防禦思維,OT資安隨著物聯網、5G、邊緣運算發展將更為吃重。除了重新檢視自身的資安防護架構,企業更要強化內部人員安全意識養成及資安人才培育,做好周全的防護規畫,才能在資安事件發生時全身而退。
「資安好,台灣產業才能更好」。而這也正是2022資安嘉年華希望帶給大家的正向能量,透過本次活動的舉辦,讓在數位轉型路上,對資安議題有需求的企業乃至有興趣的同好,能互相交流,滿載而歸。