蔡一郎的部落格

Yilang's Blogger

FIRST 2014後記

Published by Yi-Lang Tsai under , , , , on 上午2:22
離FIRST會議舉辦的時間,已是三個月前的事了,最近接二連三的國內行程,包括在六月底辦理的HoneyCon 2014,把自己的行程排得滿滿滿,上班忙公司的事,下班忙著會議的籌備以及回覆國外資安組織的郵件,而一直無法空下來的時間把今年的FIRST會議重點做個整理,今年的會議在美國的波士頓舉行,已經舉辦了第26屆,今年選擇在Boston Park Plaza Hotel,是有特別涵意的,因為在25年前第一屆的FIRST會議就是在相同的飯店創立,也開啟了全球對於資訊安全事件處理的重視,二十幾年下來,現在的資訊環境與25年前大不相同,網路的普及以及新興的資訊服務與技術發展,讓資訊安全事件的處理更顯得需要更廣泛的技術以及更多國家對參與,因為網路是無國界的,單靠自己是無法因應現在的資訊安全威脅。

FIRST是Forum of Incident Response and Security Teams的縮寫,由全球各個國家的CERT/CC、CERT、CSIRT等單位所組成,其中大多數的協調中心(CC, Coordination Center)都是由政府單位或是官方的組織所組成,而台灣一樣有TWCERT/CC,早期由中山大學成立,運作了幾年之後,由TWNIC代管了幾年,在今年確定由中科院承接,而其它的單位像技服中心成立的TWNCERT以及目前服務的單位正在申請中的TWCSIRT,都有其成立的背景與任務,而每年的FIRST會議,就是這些不同國家、不同的單位以及資訊安全相關的專業人士共同參與的盛會。

今年的FIRST會議,個人所知總共來自三個單位共六個人參與,期待在這樣的場合,能夠與國際相關的單位接軌,也建立以國際上的合作關係,至少在資安領域是如此,碰過面總比只有電升郵件來往更有親切感,也是建立彼此互信關係的開始。


今年由NBCUniversal為當地的主辦單位,而贊助此會議的廠商也不少,其中台灣的Trend Micro也在其中,當然資訊安全的投入,必須是長時間的經營,才能夠看到些許的成果,這倒是與其它的產業較不同的地方,不像製造業只要準備好生財工具,馬上可以看到獲利。


個人滿喜歡今年的標題「Back to the 'root' of Incident Response」,也是個雙關語,除了地點是第一屆舉辦FIRST之外,有時候我們處理一些資訊安全的事件,往往會被其外表所呈現的跡象所迷惑,或是因為證據的不足,而無法找到發生資訊安全事件最根本的原因,尤其現在是全球化的時代,資安事件的發生,往往又跨越了真實世界的國度,只要網路能夠連上的地方與資訊設備,都有可能發生資訊安全事件,或是參與了某次的網路攻擊,造成資訊安全上的威脅,如何找到最根本的原因,就是從事資訊安全研究的人員最在乎的一件事,因此唯有找到發生的根源,才有機會杜絕日後再發生的機會。

今年有一些講者的場次環繞在DNS的議題上,除了今年利用DNS服務所造成的放大攻擊,針對一些攻擊者選定的對象,進行的DDoS攻擊,都能夠看到運用DNS服務管理上的缺陷所造成的影響,如果把DNS活動的紀錄,當成分析網路攻擊威脅行為的資料來源,可以獲得更多的助益。

大多數的場次,除了講者的分享之外,也可以看到許多的與會人員專注的聆聽台上所分享的資訊安全發生趨勢,或是特定議題的研究成果。

今年的會議安排了一個業界的參訪行程,一聽到是Akamai公司,馬上就提起了我的興趣,一定要到這家公司一窺究竟,因為它算是在資安領域的指標公司,透過全球部署的服務平台,可以協助客戶掌握網路上的一舉一動,尤其在DDoS以及攻擊流量的過濾上,在過去一些大規模的攻擊事件中,都可以讓使用它來提供網路服務的平台,降低遭到網路攻擊時所造成的損失。

果不其然,在公司入口的大廳,許多國際的資訊服務或是設備大廠都是它的使用者,可見其具備的防禦能力,普遍已獲得認可。

參觀了Akamai的維運中心,許多即時呈現的資訊,包括視覺化的技術,對於資料的分析而言,除了可以提供良好的使用者界面之外,最重要的可以讓網路管理人員以及資訊安全的分析人員,能夠掌握現在的網路使用情況。

每年參加不同的資訊安全並邊學習頂尖的研究人員或是研究機關所發生的技術,都能夠讓我們引發不同的新思維,也能夠為未來的發展方向以及著重的領域,有更清楚的輪廓。

相關網站: