蔡一郎的部落格

Yilang's Blogger

商業驅動下的資訊安全 (Business Driven Security)

Published by Yi-Lang Tsai under , , , on 4/09/2017 05:35:00 下午
資訊安全在最近這幾年可稱得上是發展迅速的領域,不過資安領域並不是一個新的領域,打從有資訊科技的發展,就存在著資訊安全的問題,個人擁有的第一台電腦是八位元電腦,還靠著磁帶、磁碟片做為儲存媒體的世代,當時對於資安的需求,真的只有希望資料不要遺失,因為這些儲存媒體可能會受到許多外來的因素,如果受損就無法救回了,相較於當下對於資料儲存的方式,真的是相當的原始,不過卻是當時最好的方案,所以重要的資料,往往需要放在整理盒甚至是防潮箱中。

今年最大的資安會議-RSA USA 2017一樣在美國舊金山的 Moscone Center 舉行,接連著幾年參加下來,發現隨著資安議題越來越熱門,會議的規模每年都是不斷的成長,從與會人數到參展的廠商,每年都創新高,也證明了越來越多資安的議題受到重視,而且也驅動著資安產業的發展;近幾年來雲端服務盛行以及物聯網的發展,讓傳統的資訊服務型態發生了轉變,越來越多的企業開始將許多的網站導入虛擬化的架構,新創的服務更是大量的往雲端服務平台邁進,一夕之間雲端成了資訊科技的顯學,在產業的解決方案中,從虛擬化的技術、服務備援的架構、公有/私有/混合雲的服務方式,都引領著企業開始將傳統的資訊系統轉換成雲端服務的平台。

每年 RSA USA 的會議主題都會隨著當年度的趨勢來擬定,從 2016年的「Connect to Protect」到今年的「Business Driven Security」就不難看出未來資安產業的發展趨勢,已經從去年的建立資安防禦的邊界,到今年需要進一步的由商業的角度來思考資安的防禦,早期的資安防禦大多以「自以為是」的建置方式,例如:覺得需要有網路的存取控制,就來買台防火牆(Firewall),需要偵測一下網路上的異常通訊,就建置個入侵偵測系統(IDS, Intrusion Detection System),如果需要立即阻擋的話,就昇級成入侵防禦系統(IPS, Intrusion Prevention System),再來覺得需要對網站服務進行應用層次的偵測防禦,就來建置個網站應用程式的防火牆(WAF, Web Application Firewall),耽心電子郵件夾帶釣魚郵件、惡意程式、惡意連結等的威脅,就來建置個電子郵件閘道,就連這幾年來熱門的APT攻擊,在資安產業中都有發展出相關的解決方案。

圖.攝於RSA 2017

在商業需求為導向中所發展出來的資安防禦,改變了傳統「先入為主」的觀念,這個也是個人常常與朋友分享的,資安的威脅與攻擊的技術,發展的速度大多數都比資安的防禦機制來得快,且能夠針對現有的資安防禦機制進行「繞道」的攻擊,利用資安管理上的弱點或是技術建置上的失誤,就成為攻擊者最有用的管道,每年的 RSA 年會,都有相當多的主軸,這些分軌的議程,主要以當時最需要解決或是熱門的議題為主,這也就是為何每年都有這麼多人與會的原因。

在許多的企業當中,也許因為近幾年資安事件頻傳,大大小小的資安事件在媒體的廣為報導之下,讓許多的人開始意識到資安的重要,因為資安越來越重要,尤其在第一銀行的事件之後,開始投入許多的資源,其中也包括資安人員上的需求等,都希望把「資安」做好,不過資安技術的特性與其它的資訊技術最大不同在於,資安技術的生命週期遠短於一般的資訊技術,而且大多是在所有服務都是正常的時候,就需要解決與面對可能會發生的資安問題。


圖.攝於RSA 2017

最近這幾年興起的打Wargame的資安學習模式,透過CTF的競賽活動,不斷的強化本身對於資安問題的分析能力,雖然企業還是覺得找不到資安的人才,不過應該可以從兩個面向來看這個問題,在不同的商業營運需求下,對於資安的需求原本就不相同,第一個面向是精通弱點的分析,第二個面向是企業營運需要的資安技術,前者主要是由資安分析的角度來看待系統或是應用服務的安全,大多數的競賽環境,都是由舉辦單位刻意設計出來的,供做為競賽的題目;後者主要的資安技術,在於需要能夠保護企業的資通訊系統或是網路應用服務平台,也因此從不同的角度來看,出現了不同的聲音,會有這樣的認知上的落差,也許可以從今年的會議主軸 Business Deriven Security 來解答,不過對於基礎資安人才進行廣泛的深耕培育,不論未來發展成那個資安領域的高階人才都是有幫助的。

今年的 RSA USA 會議中,由 SANS 辦理了 NETWARS 的競賽活動,許多與會人員也都來試試自己的解題能力,題型涵蓋的面向滿廣泛的,而且由舉辦單位 SANS 屬於高階資安的培訓組織來看,希望參與的人員能夠解開的題目,也分成了不同的難易度。

圖.攝於RSA 2017

關鍵設施所使用的資通訊系統平台安全,涵蓋了 SCADA (Supervisory Control And Data Acquisition) 以及 ICT (Information and Communication Technology),近來幾年也成為重要的資安重點防禦的目標,主要在於許多的 SCADA 系統都開始進行數位化,包括了資料收集與處理的方式,以及通訊的架構也開始採用乙太網路,而今年的議題的規劃還特別安排了 IoT and SCADA: Lessons Learned and Case Studies 的主題,現場的議程都以物聯網與 SCADA 安全議題有關,並且在 IoT Village 準備了一些設備供與會人員進行弱點測試。

圖.攝於RSA 2017

當自動化科技與智慧工廠結合時,不論自動化控制,或是虛實整合系統 (CPS, Cyber Physics System),當連上網路之後,對於資訊安全的要求,就涵蓋了整個系統的運作環境,當未來智慧家庭與智慧城市結合之外,一個融合雲端服務(Converged Cloud)的世代即將來臨。

圖.攝於RSA 2017

今年的參展廠商數再次突破了歷年的紀錄,邁向了500家的門檻,除了國際級的資安大廠,一些國內常見的資安品牌,也有一些國內少見的資安產品,甚至是新創的公司,面對不同的世代或是對象,就形成了各式各樣的資安解決方案,如果想要在展場中找到適合本身需求的產品,建議最好能夠事先做好功課,才能夠有效的找到適合的產品。

圖.攝於RSA 2017

分散式阻斷服務(DDoS, Distributed Denial-of-Service)的攻擊對於國內許多企業而言成為最大的資安威脅之一,對於受到攻擊的目標,往往能夠在短暫時間內造成影響,尤其以DDoS的攻擊而言,需要更進一步評估資安產品的有效性,包括了偵測的機制、應變的機制以及該產品的全球化支援能力,區域聯防的機制,對於DDoS的攻擊威脅而言,更是評估的重點項目。

圖.攝於RSA 2017

在國內大力推動資安產業的同時,在國際的資安盛會中,有能力與勇氣參展的廠商卻寥寥可數,而且都還是單打獨鬥的方式,其實應該可以參考一些國家的作法,由政府單位出面整合,德國政府的作法就相當值得政府單位參考,而不是單純的喊喊口號,不過有鑑於目前國際政府局勢,也許藉助於全球性的資安組織,例如:CSA, Cloud Security Alliance、也是一條可行的作法。

圖.攝於RSA 2017

「資料」、「資訊」、「情資」,可以簡單的視為取得有用情資的三部曲,近年來開始興起的資安情資交換,不同的廠商都推出了資安威脅、預警分析的平台,可見有用的資安情報,對於企業營運的重要性,在有限的資源之下,如果能夠取得重要的資安情報,可以快速的建立資安防禦的邊界,不過這樣的平台在國內卻比較少見,因此傳統的資安防護機制建置,都以硬體的思維來看待資安的情資,不過在雲端時代大量使用虛擬化的技術,新興的營運平台不斷的出現,就不再能夠以傳統的防禦觀念來看待新的雲端時代。

圖.攝於RSA 2017

能夠入選到前十名的 Innovation Sandbox 團隊,都是全球在資安領域創新應用相當凸出的團隊,有著與以往不同的創意,改善現有的資訊服務或是創造一個全新的服務型態,利用參賽的過程,除了可以獲得實質的鼓勵之外,最重要的是可能會被其它的新創投資人(VC, Venture Capital) 看上,而加速產品化或是整合到產業中的契機,因此每個團隊無不卯足全力,希望可以脫穎而出,其中亦不乏還在學的學生或是研究人員,這點在國內大量的推動「亞洲∙矽谷計畫」的同時,如果還是沉浸在以往科學園區成功經驗之中,只重視基礎的設施建置,卻忽略了人才的參與,並且給予新創事業需要的環境支持,如果連同在亞太區的新加坡都無法相比,亞洲矽谷就只是一句不切實際的口號了。

圖.攝於 RSA 2017

智能化的時代已逐漸來臨,未來商業的型態將會進入下一個世代,目前人工智慧應用於機器人或是智能機械的領域越來越廣泛,許多的金融或是百貨服務業,都開始導入自動化的服務型機器人,希望能夠提供給客戶更專業或是直接的服務,利用語言、表情、手勢等人類的溝通方式,來提供更多樣化與專業的服務,跟 Pepper 互動了一下,不知道是否因為放在美國的關係,只能用英語跟他(她)互動,最近剛好看到商業週刊介紹無人經濟大國-新加坡一文,未來的世界,在我們的生活週遭應該得跟機器人共同生活的時代,已經越來越近了。

圖.攝於美國舊金山

未來的與生活相關的商業服務型態,將會影響著資訊安全的發展,包括了未來的趨勢以及需要面對的問題,尤其在目前網路化程度越來越普及的時代,每個人的資料分散在網路上的許多地方,演算法決定了我們能夠掌握的資訊,大家所熟悉的社群網路,改變了傳統資訊傳播的模式,也改變了大家對於資訊安全的定義,創新商業營運模式下的資訊安全,將讓我們面對更多樣化的挑戰。

參考資料:
RSA Conference https://www.rsaconference.com/