新世代資安3大挑戰:供應鏈安全、跨域聯防與思維轉型

面對後疫情時代之數位經濟浪潮,物聯網IoT、AI、5G技術快速發展,強韌安全的數位應用已成為當下重要的顯學。TWNIC財團法人台灣網路資訊中心及TWCERT/CC台灣電腦網路危機處理暨協調中心於11月3日線上、線下舉辦「2021台灣資安通報應變年會」。TWNIC李育杰董事長開場時提到,近來資安事件已從企業辦公室資訊設備延展到區域的基礎建設場域、通訊環境與工控設備等,其影響層面,已擴大到企業組織、國家層級的安全。

供應鏈資安與韌性

2021年接連發生SolarWinds及Kaseya等重大供應鏈攻擊事件,NCC孫雅麗委員表示,「供應鏈的可視性很重要,供應鏈涵蓋很多層,裡面藏有許多盲點。如一台主機裡,一定有元件是跟別人買的。你相信你的供應商,但是你相信你的供應商的供應商嗎?」。

 

因此,要如何確保供應商產品是安全的,NCC有3個創新作為

  1. 制定「關鍵電信基礎設施資通設備資通安全檢測技術規範」NCC指定防火牆、交換器、路由器須作實機測試與資料備查。在實機共同測試的項目中,強調系統弱點及漏洞檢測。
  2. 通傳事業資通設備資安漏洞通報系統電信商需要定期盤點有哪些資通設備,清單要上傳至 C-ISAC;由 C-ISAC自動通知電信業業者CVE待修補資訊。
  3. 成立國家通訊領域軟體安全實驗室(NCCSC)為我國5G網路業者、應用服務開發者和IoT製造商提供、協助或諮詢安全軟體設計及開發的服務與專業培訓。

減少供應鏈資安風險的核⼼作為,鴻海研究院執⾏⻑兼資安所所⻑李維斌提出5點:

  1. 了解⾃我的準備情況/成熟度
  2. 慎選供應商,採購流程不能只有價格標
  3. 提升企業組織的網路韌性
  4. 測試事件應變計畫
  5. 考慮投資建立數位鑑識能⼒

日月光集團(高雄廠)總經理室暨資訊中心副總經理李政傑特別提到,半導體協會目前針對設備類跟未來應用類,正在制定資安標準。重點還是在供應鏈上,可以幫助供應商對於設備的資安防護設計,能有標準可循。

抗勒索要「聯防」

2021年台灣高科技業紛紛中了「勒索軟體」的箭,再次凸顯資安是企業營運持續管理(BCM)及營運持續計畫(BCP)裡的三大安全之一。

 

華碩資安長金慶柏表示,「民間企業要透過不同工具、自動化設備,先了解自己的弱點,加強防護。此外,加入專業資安的聯盟組織,如TWCERT/CC、高科技產業資安聯盟,可以事先掌握情資,了解攻擊手法,聯合防禦。」威聯通技術長龔化中認為備份跟加密是防禦勒索攻擊之必要。日月光則從預防、防禦、復原等三個層次防禦勒索攻擊。

其實不只台灣,同樣是製造大國的日本、印度、泰國,也遭受許多的勒索攻擊。與談代表日本JPCERT、印度CERT-In、泰國ThaiCERT以該國經驗建議不要支付贖金,但應該第一時間通知警方以及客戶,做好第一時間應對。他們提醒即便付了贖金,大多數案例只有50-60%的資料被復原。同時不要直接與駭客談判,找第三方談判員進行協調、資安保險等是建議可以考慮的作法。

資安思維也要「轉型」

本次年會幾個被提出的數字:駭客攻擊的工具至少有552招、單一企業平均每月遭受9.2萬次攻擊、75%的中⼩企業缺乏專業⼈員解決IT安全問題…等都點出資安的現實面:網路威脅可以降低、可以管理、可以復原,但無法滅絕。企業⼼態必須從『如果被駭客攻擊』轉向『當被駭客攻擊時。』

 

資安思維以往著重「事前」,但是應該留一部分的資源在「事中與事後」。奧義智慧創辦人邱銘彰解釋,「事中、事後很需要人力,跟事前預防是不同的能量。」他建議企業量化潛在威脅與現況,尤其是內部端點跟AD安全。並用MITRE ATT&CK制訂三個被攻擊像定情境,才進行資安投資與配置。

行政院國家資通安全會報技術服務中心主任吳啟文總結道:「資安防禦越來越困難。大家應採用新的思維,零信任網路架構,如何從身分鑑別、設備鑑別、信任轉移加強資安防禦。政府也在談主動式防禦,在駭客攻擊前先做到情資掌握,化被動為主動。

 

轉載自資安人https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=9569

想了解更多產品訊息? 立即點選下方按鈕”聯絡亞利安”並訂閱最新快訊