隨著物聯網技術迅速發展,硬體裝置、科技應用與技術服務也更加多元,伴隨而來的是人人無法逃避,且必須積極面對的資訊安全課題。
依據德國市調公司IoT Analytics發布的《全球IoT企業支出Dashboard報告》(Global IoT Enterprise Spending Dashboard)指出,全球企業物聯網(IoT)市場營收在2021年成長了22.4%,達到1,579億美元,略低於2021年預估年增率24%。預測至2022年底全球連接網路的IoT裝置將達到145億臺。該公司更進一步預測全球企業IoT市場將在2022至2027年,以22%的年均複合成長率(CAGR)增長至5,250億美元。
萬物聯網 資安把關人人有責
隨著物聯網(Internet of Things,簡稱IoT)技術的迅速發展,與其相對應的硬體裝置、科技應用與技術服務也變得更加多元化與廣泛性,再加上人工智慧技術(Artificial Intelligence,簡稱AI)的快速演進,進一步結合而成的智慧物聯網(Artificial IoT,簡稱AIoT),促使物聯網不僅能夠接收數據聯網,更能夠透過人工智慧學習分析數據與輔助決策判斷,成為萬物聯網發展的關鍵核心技術。
整個物聯網架構所涵蓋的軟硬體,包括:晶片、記憶體、傳輸介面(UART、I2C、SPI)、通訊協議(Wi-Fi、BLE、MQTT、LORA、Zigbee、Bluetooth)、應用程式、雲端平臺及內外部網路等,單一設備與各網路間的串聯關係也日益更加複雜化,因此需要更深入的研究設備與通訊節點間的安全威脅與管理方案,這也是目前物聯網發展必須面臨的最大挑戰。小至個人用戶、企業、合作廠商、供應鏈體系、車聯網、智慧家庭、智慧醫療、智慧交通,大到智慧城市,甚至整國家的資訊網路,都正面臨著層層嚴苛的資訊安全風險控管考驗。
由此看來,不論是主動或被動,資訊安全幾乎已是現代社會人人無法逃避且必須積極面對的課題。那麼到底何謂資訊安全呢?以學理的方法來解說,資訊安全(簡稱資安)就是涵蓋網路、網際網路、雲端、端點、應用程式、應用程式介面(Application Programming Interface,簡稱API)及容器等各項與網路有關的安全機制。藉由建立一套相互配合運作的資訊安全系統、解決方案和策略,共同有效保護企業組織之數位資產。
以較為生活化的方式來解說,資訊安全就好比是一棟房子的保全系統,系統建構得牢不可破,就算有外來者想要入侵房子也沒那麼容易可以闖入,甚至還可以隨時偵測到房子周圍可能發生的緊急或異常狀態,以作為即早規劃風險管控的策略參考。
數位轉型風潮 資安議題加倍複雜化
資訊對於任何一個組織或個人而言都是極為重要的資產,和一般會計準則所認列的有形資產一樣重要,因此資安議題自然成為各大企業必須關注的焦點之一。根據趨勢科技發布的2021年資安風險報告心理學調查(Psychology of Risk Report, Trend Micro Global Research Campaign)指出,全球有近31%的企業決策者認為資訊安全是當今經營環境中最大的商業風險,而有63%認為企業必須承擔風險才能持續保持競爭優勢。
全球一片數位轉型浪潮下,為因應各種資料交換與分析的需求,資訊科技(IT)與營運科技(OT)環境的融合已是必然的發展趨勢,卻也因此打破了過往OT環境的網路實體隔離並減少一層保護,再加上許多OT環境硬體設備採用老舊的作業系統平臺,繼而出現許多資安漏洞,而為維持平臺的持續運作,即使已有相對應的修補程式、軟體及韌體的更新版本,也不易找到空檔來安裝套用,因此導致OT面臨極大的資安風險。
隨著加倍複雜化的資安管理議題伴隨著企業數位轉型的逐漸增多,企業決策者也必須持續思考資安在企業營運所扮演的角色。未來還將有更多企業可能會面臨資安風險可視性不足及數據穀倉效應等問題,導致資安人力負荷過重,無法即時判斷並回應威脅,使得企業暴露於營運風險中。因此企業必須從根本來改變舊有思維,讓資安從以往的「防禦威脅」,轉變為更積極的「風險管理」。
資安鐵三角
判別資安威脅基石與準則
在數位聯網的時代,企業開始啟動資安防禦計畫前,首先必須執行的步驟就是對於公司現有資訊資產(Cyber Assets)進行盤點,並對於內部環境進行通盤的了解,除了必須清楚擁有那些資訊資產外,也要明瞭這些資產被攻擊或竊取的可能性有多大?再透過制定防護策略、建置資安保護系統,以鞏固企業資安。
在資安的世界中,鐵三角CIA Triad不但是資訊安全架構的基石,也是目前最廣泛被採納用以判別資安潛在威脅與漏洞的準則,主要有3個項目:
機密性(Confidentiality):為了保護資訊資產的機密性,較常見的策略作法有將數據分類化或標籤化,對資料存取者進行身分驗證、對傳輸數據加密,一些企業會安排訓練課程提高員工資安意識。
完整性(Integrity):資料的完整性會因為篡改入侵檢測系統會修改系統日誌而受到損害,也有可能是人為疏忽或編碼錯誤而導致資安完整性受威脅,較常見的策略作法有由具公信力機構發行認證的安全性證書、電子文件導入簽章等。
可用性(Availability):必須確保資料使用的順暢性。許多情況如停電、自然災害、網路斷線、電腦病毒及軟硬體故障皆有可能衝擊可用性。較常見的策略作法有資料備份、定期系統升級與修補軟硬體等。
除了最基本的CIA 3要素以外,後來又再衍生出不可否認性(Non-repudiation)、鑑別性(Authentication)及存取權限控制(Access Control),成為更完整的資訊安全6個基本要素。
臺灣產業向以優異的高科技產品製造與代工能力聞名於全球,供應鏈廠商間長期密切合作形成綿密的產業網。因此一旦其中某個環節遭遇駭客攻擊,極有可能演變成為整個產業的資安破口,危及相關供應鏈廠商各種資料安全。面對層出不窮的新型態資安攻擊手法,傳統防火牆和偵測工具已無法有效抵擋駭客入侵,臺灣企業應透過多因素身分識別及零信任系統的建立,積極展開更高等級的資安規格部署。
鏈結產官學界
攜手打造本土資安生態
甫於2020年8月1日正式成立的台灣資訊安全協會(Taiwan Information Security Association),第一任理事長涂睿珅同時也任職於精誠資訊公司資安顧問一職。他堅定的表示臺灣資安防護必須全力朝向本土化發展才能夠真正達成完全守護國家與資訊安全產業成長的目標。因此該協會是由國內60多家資安自主研發業者、代理服務業者及資安專業系統整合業者所共同參與組成,並設立「產業」、「人才」、「政策」、「法規」、「市場」5個委員會,將鏈結產官學界共同推動臺灣本土資安產業生態與發展更多資安品牌。
此外,未來該協會還將持續籌劃辦理各種經常性與不定期的活動如學者專家及政府相關部會會客室、雜誌專訪、座談諫言、組團國內外參展、開立專業訓練課程、資安人才鑑定、協助廠商爭取政府研發補助與專案合作機會、風險投資媒合等方式,積極促成會員廠商間的資訊交流及跨界產業的資安媒合交流與合作。
台灣資訊安全協會秘書長洪伯岳以安全晶片作舉例說明,他說像是電子護照與數位身分證等都需要搭載安全晶片,所以此類產品就有其特性與重要性。該協會即有研發此類產品的隱形冠軍廠商,由伊諾瓦科技公司(ENOVA Technology Corp.)自行設計研發的安全晶片,是全球唯一通過美國FIPS 140-2 Level 3認證的加密晶片,2009年獲得美國軍火供應商採用搭載於高精密武器如飛彈及無人機,之後再陸續獲得北約、以色列及澳洲軍火商的合作採用。未來該公司還將持續朝向拓展2C市場的商機邁進。
駭客手法翻新 零信任防禦已成趨勢
涂睿珅表示在全球工業4.0浪潮推動下,企業數位轉型已是必然發展趨勢,由於IT與IoT/OT的整合,雲端與地端的融合趨勢,促使資安涵蓋的範圍更加廣泛,而駭客手法也同步持續推陳出新。2021年臺灣就有15家上市櫃公司的資訊系統被勒索軟體入侵,全球也造成高達約2,000億美元的損失,並且在電子支付工具的助長下,更將增加駭客追蹤的困難度。
談到目前較為常見的資安威脅形式,涂睿珅說駭客通常善於利用零日漏洞而產出零相對的零日攻擊日,因此像是透過社交工程或電子郵件夾帶病毒、惡意網站等夾帶惡意程式包括勒索軟體、木馬後門、殭屍病毒等都是較為常見的手法。根據調查多數案例通常都是因為員工資安意識不足,其他原因還有資安人才不足、對於新型態攻擊模式未能及時採用智能防禦架構系統如UEBA及XDR、未能及時修補漏洞及脆弱的帳密身分驗證機制等原因。
舊型資安防禦機制通常不外乎是安裝防毒軟體、設定防火牆(Firewall)及入侵防禦系統(Intrusion Prevention System,簡稱IPS),或是固定作弱點掃描以修補漏洞。面對新型態的駭客攻擊手法及病毒碼,涂睿珅認為資料備份與零信任的防禦機制做法是更為重要的,像是「3-2-1備份原則」就是常被資安界提及的法則。
目前國際組織MITRE Engenuity已將駭客攻擊鏈明確劃分為12個步驟,因此新型態防禦機制就會將系統的異常行為與這12個步驟作比對以找出目前駭客的攻擊軌跡,所以人工智慧(AI)與機器學習(Machine Learning)等創新技術就將是新型態防禦機制的關鍵核心。
那什麼是「零信任(Zero Trust)」與「零信任架構」呢?涂睿珅解釋著說零信任比較像是一種資安規畫的思維及過程而非是一個絕對性的架構或準則。而這個概念是由美國網路與基礎建設安全局(Cybersecurity & Infrastructure Security Agency;簡稱CISA)依據美國國家標準與技術局(U.S. National Institute of Standards and Technology,簡稱 NIST)的SP 800-207準則創建而出的。整個架構共包含有身分、設備、網路、應用程序工作負載和數據5個重要支柱,每個支柱還包括有關可見性和分析、自動化和編排及治理的一般詳細訊息。
涂睿珅說若以較簡顯易懂的說法來解釋「零信任」,就是以數據為中心、人為起點、再到使用設備、網路與平臺介面,最終到達資料存取,整個環節都必須有可視化及分析異常的機制,永遠保持不信任,亦即每個使用者及其所使用的設備在每個環節都必須被重複驗證。由於零信任的規劃作法並無絕對,因此每家企業都可以按照自己的產業特性與需求、資安防禦缺口,想要達到的防禦韌性、強度與期望來規劃最適合自己的零信任架構。
加大輔助力道
政府助資安業者走向國際
在現今萬物聯網的發展趨勢下,即使是舊有的OT設備也必須逐步數位轉型成為聯網裝置,並結合IT演算法再以自動化方式持續優化產能、製造良率與派工流程,因此大幅減少整個生產製造所需時程、營運決策及高度提升產業競爭力。涂睿珅表示目前多數IT+OT的自動化整合案例,在資安架構的規劃上多數還是參照普渡模型(Purdue Enterprise Reference Architecture,簡稱PERA)並以零信任的存取作為強化資安架構的強度與韌性。
不論是OT、IOT、AIOT、車聯網資安、或是由台積電釋出的SEMI E187等專屬資安法規,一般都還是遵從參照不勝枚舉的國際法規如NIST(Guide to Operational Technology (OT) Security: NIST Requests Comments on Draft SP 800-82r3 April 26, 2022)、IEC62443、ISO與IoT設備安全檢測等。因此必須依據不同產業特性、法遵及應用才能做全面性的資安風險評估與規劃。涂睿珅說像是工業技術研究院也有針對國內廠商提供資安評級與診斷輔導的服務。
涂睿珅說過去國內廠商在資安領域多是以硬體產品(Appliance)代工服務為主,國際知名品牌選擇臺灣廠商代工的比例相當高。但是臺灣品牌除趨勢科技外銷售至全球的占比卻相當少,其他品牌則是以東南亞市場為主。他認為其實由國內廠商自研自產的資安產品相當多,功能甚至比國外產品更強及價格合理,但由於較缺乏國際行銷能量與國際市場布局經驗,因此未來在商業化產品質量、產品包裝、國際化人才聘任、資金取得與應用等面向仍必須持續加強與進步才有機會在國際舞臺占得一席之地。
近年從臺灣政府加大輔助資安產業的各項積極作法如專案資金補助、公有場域釋出給廠商淬鍊技術、跨產業資安需求媒合、制定更嚴謹資安法規並鼓勵採用臺產資安軟硬體設備、舉辦國際交流與媒合會、成立臺南沙崙資安中心等,即不難看出扶持該產業發展的雄心壯志。
涂睿珅也認為在目前詭譎多變的國際情勢之下,資安仍將會是持續向上成長的產業,而未來應用AI預測技術及軟體定義的資安應用更是值得國內業者高度關注鎖定的領域。此外,新型的應用架構如5G及6G、雲端、區塊鏈、AI、後量子、元宇宙及安全晶片等議題也是值得關注的領域。
目前市面上的資安相關產品與服務種類相當繁多,可說是琳瑯滿目。涂睿珅建議有需求的廠商首先可以先盤點與明瞭自己的需求,除了價格考量外,像是服務廠商是否具備資安架構整體規劃能力?是否具備相關驗證執照?是否能具備永續經營能力?是否廠商專業人力與服務據點足夠能配合監控中心作緊急應變處理?都可以列入作為選擇適合資安服務廠商之評估標準。
資安小百科
穀倉效應是指企業內部過去因為專業分工,部門打造各自獨立運作的系統,卻也因為「過度分工」而讓不同單位、事業體就像一個個高聳豎立的「穀倉」,彼此缺乏互動,也不願與其他單位分享資訊。
資安小百科
「備份321」的基本作法為:「至少備份3份;使用2種不同的備份方法(如光碟備份、外接硬碟備份、磁帶備份) ;其中1份存放異地」。經由複數備份、異地存放方式以降低資料完全漏失的機率。
經濟部國際貿易署
中華民國對外貿易發展協會
