蔡一郎的部落格

Yilang's Blogger

棄燕雀之小志,慕鴻鵠以高翔

Published by Yi-Lang Tsai under on 11/30/2019 01:17:00 上午
出自丘遲-與陳伯之書的「棄燕雀之小志,慕鴻鵠以高翔」,雖然是丘遲勸降陳伯之的招降書內容,不過從小就成為人生的座右銘,對於外在的人事物都希望能夠戮力而為,與近幾年來流行的「小確幸」有著相當大的不同,在求學階段的幾經波折,許多與我熟識的朋友都知道這段故事,以致於到後來對於人生的領悟,在職場上也從不以領多少薪資做多少事為處事的方式,也希望能夠以微薄之力帶著團隊往前走,如果沒有這樣的思維,我想自己就不會只是在目前的公司工作,早就往國際上的頂尖企業走人了,多年來許多高階職缺的邀約不斷,不過在職場上多想多做,其實獲得最大的是自己,絕不會是別人,深耕自己的專業能力,自己的國家自己救不會只是口號,尤其經常在國外看到其它國家的優點,也想著如何能夠引進國際上的資源與思維,能夠以己之力做更多的事,也許在當下許多人會認為不值,但酸甜苦辣自在人心,前些日子利用假日看了「夢想海洋」紀錄片,片中介紹蘇達貞教授的海洋之夢,雖然過程經歷了許多的困難與政策上的束縛,不過一路走來始終如一,為了理想而努力。

拍攝於 優勝美地國家公園

許多的公司都有不同的企業文化,而文化本身則是經年累月的運作,再加上管理階層的意識型態而形成,長期在政府的法人單位工作,也看了許多神奇的事,也不得不讚嘆還真的滿多是活在象牙塔中的人,也許位高而權重但是該有的責任卻未必是相對的,一路發展的許多資安平台,透過許多的活動來推廣,就是希望可以將相關的研發成果推廣出去,不同的族群看待我們提供的服務,往往得到的結果是不一樣的,因為這些評論總是夾雜著個人的主觀意識,當然有的人覺得好用,也有的人覺得不好用,畢竟資源是有限的,工程師們在有限的人力與物力之下,已經盡其所能的規劃與設計平台的功能,最重要的是上線後的維運工作,也是需要相當的人力投入,未來許多的資安平台也即將往商業營運的方向發展,除了提供原本的學研服務之外,對產業的服務才是我們最大的挑戰,也是未來的發展核心。

大家都希望美夢成真,也渴望成功的到來,工作上亦是如此,職場中的環境就是一個社會的縮小版,每個人在工作上都有自己的一套做法與想法,對同一件事情的看法,在同一個團隊中亦是有所差異,單從技術的層次而言,就有不同的解決方式,至於那一種比較好,判斷上有時候就會因人而異了,而對自己本身的職涯的規劃,如果套用在80/20的法則上,似乎也可以適用,如果一個企業或組織,有80%的人認為把自己上的工作做好即可,只有20%人會願意改變目前的做事方式,而這個組織的成本速度將可以預期不會發展太快,但是如果兩者的比例是相反過來的,有80%的人願意嘗試創新的作法,來改變原本的做事方式,甚至是看待事情的角度,而只有20%的人只敢在原地踏步,那一個往前進的動力,將可能快速的帶來改變,而讓整個組織的發展,有了明顯的動力。

拍攝於 蒙古國

之前在因緣際會下在2017年前往了蒙古國的CERT演講,這個未曾到訪的國度,以前只出現在教科書中,當天降落烏蘭巴托國際機場時,完成看不到國際機場的繁忙,更不用說這是一個國家首都所在地的國際機場,真的是一個很不一樣的體驗,整個地勤人員就為了服務你的到訪,因為整個機場就只有我們一架飛機,如何專注的完成一項工作,說來簡單,做來卻常常會因為外在的因素,而時時的修正原本的目標。

參考資料:
夢想海洋 https://www.facebook.com/DreamOceanMOVIE/


2019年演講與授課清單

Published by Yi-Lang Tsai under , on 11/30/2019 12:43:00 上午
2019年-演講與授課清單
日期講題地點主辦單位/活動
2019/11/29政府與企業面對未知型態資安威脅下的藍隊思維中部科學園區管理局中部科學園區管理局
2019/11/27企業在數位轉型下的資安演練台大醫院集思國際會議中心印太戰略資安論壇:台灣的機會及隱憂
2019/11/15Security by design for business driven security日月行館Confidential
2019/11/12資訊安全治理的趨勢與挑戰ConfidentialConfidential
2019/11/5TANet常見的資安威脅國立中興大學國立中興大學
2019/10/29雲端世代與應用安全遠傳電信企業安全管理處遠傳電信企業安全管理處
2019/10/16駭客眼中的物聯網高雄漢來飯店Palo Alto Networks Partner Advisory Council
2019/10/16-18網路情報與偵察應用ConfidentialConfidential
2019/9/26雲端攻防暨培訓平台建置計畫高雄國際會議中心科技部資訊工程學門成果發表
2019/9/25如何建立以情資導向的TANet資安防禦高雄國際會議中心TANet 2019
2019/9/20AI時代的資訊安全防禦策略台北遠東通訊園區遠傳電訊教育中心
2019/9/16-18教育體系資安技術檢測-核心課程科技大樓教育體系資安技術檢測服務中心
2019/9/12資安長高峰對談:新時代下的資安防禦之道台北W飯店IBM全球資安高峰會-台北
2019/9/4-6雲端服務安全管理崑山科技大學行政院資安職能培訓
2019/9/3決戰雲端,企業資安防護致勝關鍵三創數位生活園區經理人月刊
2019/8/20CSO導讀-為安全支出做足準備-如何在安全投資中獲得管理和客戶支持喜來登飯店CIO IT-資安學院
2019/8/12從OWASP看資安威脅發展瑞昱半導體股份有限公司瑞昱半導體股份有限公司
2019/8/2資安事件調查實務國立政治大學國立政治大學(台北第二區網中心)
2019/7/30活用,科學園區資訊分享平台(SP-ISAC),強化資安弱點路集思竹科會議中心資安人-製造業論壇 強化IT與OT供應鏈資安弱點
2019/6/11-12資安事件處理崑山科技大學108年公務人員資安職能訓練
2019/5/30駭客眼中的物聯網路財團法人工業技術研究院財團法人工業技術研究院
2019/5/17Cyber Security, Threat Hunting and Defence Challenge in Taiwan Academic NetworkHarbour Plaza North Point HotelRevuln Conference and Meeting Hong Kong 2019
2019/5/10資安防護與AI應用新竹豐邑喜來登大飯店台灣IBM未來製造全方位實踐論壇
2019/5/9企業面對未知型態資安威脅下的藍隊思維高雄林皇宮Fortinet數位x資安-轉型論壇
2019/4/24駭客沒跟你說的事國立成功大學企業管理系國立成功大學企業管理系
2019/4/10AI時代下的資訊安全國立成功大學電機資訊學院國立成功大學電機資訊學院
2019/3/25零信任網路時代的資安威脅集思北科會議中心2019資安攻防暨資訊分享與分析平台建置成果研討會
2019/3/20企業面對未知型態資安威脅下的藍隊思維台北國際會議中心台灣資安大會 Cybersec 2019
2019/3/13全球資安威脅與趨勢分析中華電視公司中華電視公司
2019/1/24資安新威脅與資訊科技發展國立臺中教育大學國立臺中教育大學
2019/1/18Mobile App安全開發實務敦陽科技股份有限公司台灣數位安全聯盟
2019/1/15論壇:營運力–企業數位轉型,資安新視野誠品生活松菸店AI致能 美好轉型新世界 趨勢論壇
2019/1/8-9Mobile App安全開發實務9543共創空間台灣數位安全聯盟

YouTuBe - 一次都不能輸的防護

Published by Yi-Lang Tsai under , on 11/05/2019 10:59:00 上午

那一年,我們造了一朵雲!

Published by Yi-Lang Tsai under , , , on 10/02/2019 08:00:00 上午
「造飛機、造飛機、來到青草地,蹲下去、蹲下去、我做推進器,蹲下去、蹲下去、你做飛機翼,彎著腰、彎著腰、飛機做的奇,飛上去、飛上去、飛到白雲裏...」,這首兒少時耳熟能詳的「造飛機」,描述了一群小朋友如何打造自己夢想,在合力打造好飛機之後,飛上青天直入雲霄,滿足了飛上天空的夢,這是一個充滿天真無邪的年代,看到身邊的小朋友正是現在最好的寫照;而那一年,我們打造了「一朵雲」!初期只是一個想法,在團隊內有著不同的聲音與看法,這也是中心的資安團隊可愛之處,在團隊內的成員永遠可以表達自己的看法,而不用擔心是否恰當,願意留下來的就是有著共同的目標,不願意留下來的,有再多的原因都可以被接受,只是期待在團隊內的所有溝通都能夠形成共識,而往共同的目標努力,在某一天的下午的某個會議之後,幾位經常對外授課的同仁閒聊著,是否有更方便的方式,一個小時下來,天南地北談了自己的想法以及可能可以滿足我們需求的方案,而這朵雲從一開始只是為了提供自己團隊對外進行資安培訓時的實作環境,一個想要改變傳統的教學方式的想法,不再需要先花上個一個多小時的時間安裝課程的環境,才能夠開始學習課堂上傳遞的知識,想要提高教學的品質,一個小小的起心動念,讓我們有了動手打造一朵雲的想法,從寫計劃書、尋找可行的方案、調配團隊成員的工作分配到尋找可用的資源,一切從零開始,不再受限於用以往的技術來思考可行性,因為我們正在打造一個由台灣自主研發的資安平台。

一群夥伴在一開始大膽思考如何完成這個任務,當時並無法有足夠資源採用商用軟體的限制下,一群對於資安有熱忱的工作夥伴,不斷的研究、測試有何種開放源碼的自由軟體,可以讓我們採用,先導入了中心其它團隊的成果,採用了Ezilla當成了初期建置的參考,在有限的人力資源下,我們讓這個目標成真了,除了感謝國網中心的資源與其它團隊同仁的支持之外,也在許多團隊成員的共同努力下,我們一同打造了「CDX」,CDX 的全名是Cyber Deference eXercise,中文為「雲端資安攻防平台」,希望它能夠成為國內自主研發出來的資安技術試煉場,在不到國外引入解決方案一半的經費下,讓它成為實實在在 MIT (Made In Taiwan)的代表,在國研院的記者會發佈後正式亮相,歷經兩年多的時間,這個平台的發展已超出了原本的規劃範圍,讓它成為國內在資安領域中「公有雲」服務的代表之一,再次感謝中心資安團隊的共同努力。

圖.關於CDX

既然是一個「公有雲」的服務,面對來自於不同單位的需求時,一夕之間也讓我們的平台有許多需要解決的問題,而每次的問題雖然都有不同的解法,但並非都能如人意,在現有的團隊資源下,數不清的技術討論,數不清的加班時數,都為了讓我們的用戶能夠順利的使用,如果遇到無法滿足需求的情況,因為必須滿足絕大多數用戶的需求,在現在的環境中,雖然不是技術上的問題,但是考量大多數用戶的權益,也只能說聲抱歉了,也曾經遇過平台的用戶希望我們可以提供系統管理的權限一樣,其實這就像我們去跟 Google 要求提供 Gmail 平台的管理權限一樣的特別,現在資安領域也熱衷於UBA (User Behavior Analytics),用戶行為分析是一個關於檢測內部威脅,針對性攻擊和財務欺詐的網絡安全流程有興趣研究行為科學的人,對於這些特秼需求的用戶,也許可以是另一種類型的 UBA。

對一朵雲而言,資源絕對是有限的,但卻一定是有價的,從今年起即將導入的帳務系統,將會讓每位群組的管理者,能夠知道所使用的資源估值,以目前每個月超過50萬虛擬主機小時的計算量而言,也算是二年多來的成果之一,除了我們自己團隊講授的課程外,也有越來越多的企業、學校、政府機關利用這朵雲來發展資安技術相關的培訓與攻防競賽,在寫這篇文章的時候,看了一下目前平台已啟用的使用者帳戶數,已超過了860個,線上正使用中的虛擬主機有180幾台,使用的大專院校系所超過了100個以上,這代表著如果這些帳號每年都進行資安人才的育成,利用 CDX 來開班,以平均15人計算,每年透過 CDX 可以針對萬人以上的學員進行授課,如果培訓課程設計的好,能夠發揮實務技能的人才養成,對於國內的資安生態圈是相當有幫助的,不再是明星式的培訓,也不是只會用資安工具而已,這個也是以往國內資安教育最欠缺的,學校無法教導學生實務的經驗,從基本理論的建立,應用情境的熟悉,到最後能夠被產業所用的人才,以目前的培訓軌跡是無法被滿足的。

圖.CDX平台的帳號數與資源使用情況

如何永續經營是中心不同於有些單位或是學校執行計畫的思維,有多少錢做多少事的觀念早就不符合時代的潮流,而是應該在資源有限的環境中創造自己的價值,資安團隊從十年前開始建置的大尺度誘捕網路、惡意程式知識庫、資安資訊與分析平台到雲端資安攻防平台,這些平台從來不曾因為計畫的結束就關閉這些平台的服務,目前 CDX 即將開始進入推廣與商轉的階段,面對的族群將會比以往更多元化,多數的需求在現階段的平台中提供,合理的計價讓願意使用平台的人留下來,將會是我們下一個里程碑,更歡迎有興趣的產業共商合作模式。

參考資訊:
雲端資安攻防平台 https://cdx.nchc.org.tw/

老爸的人生畢業典禮

Published by Yi-Lang Tsai under on 7/23/2019 03:30:00 上午
這是一篇只有文字的隨筆散談,這段期間思緒也有些混亂,就在今天依傳統禮俗完成許許多多的儀式後,就靜靜的等著黎明的來臨,身邊已不再有冰櫃的運轉聲,再過幾個小時,天一亮就是老爸的告別式了,這陣子許多工作上的同事,協助處理原本的工作項目,許多的親朋好友來老家上香、拜訪,也遠方捎來關心的訊息,在此謝謝大家這段時間的關心,許多沒有聯絡方式的親戚,在此時此刻卻是最重要需要被通知的人,到了這樣的年紀,接到不常聯絡的親友來電,大都是傷心事多於喜事;從離家求學、出社會工作到結婚生子以來,已經超過二十年的光陰,很少有這麼長的時間跟老媽聊聊天,一邊守靈一邊聽著老媽講著年輕時候的故事,當然人生的故事難免悲歡離合,也因人生的際遇因人的不同,而有許多的想法夾雜其中,不論孰是孰非當然每個人的見解不一定相同,許多的事情都是從「選擇」開始,而面對同樣的問題,最有意思的就是每個人的選擇不一定相同,當然後來的劇情發展就更五花八門了。

人生畢業典禮要處理的事情,說實在也滿多的,從跑戶政機關開始,就是一連串的單位或文件需要處理,例如:國稅局、健保局、勞保局、地政機關、金融機關等,也需要安排身後入住的地點,在處理的過程中,最真實的就是拿出除戶證明或是死亡證明書時,才真正感受到老爸已經離我們而去了,這並不是一場夢,也無法期待打通電話,另一頭就聽到老爸的聲音;在守喪期間的忙碌,多場的法會,成了讓自己分心的方法之一,三更半夜拿出以前所拍的相片,準備提供給禮儀公司製作追思相簿,才發現怎麼都是我跟妹妹的照片居多,原本老爸都在當攝影師而自己鮮少入鏡,看著年輕時候的老爸,還真的沒有察覺到老爸今年已經72歲了,以為自己還很年輕,老爸也因近幾年經常進出醫院而更顯得憔悴,而照顧他的老媽,也連帶著身體差了許多,這幾天聽著老媽講著年輕時候的經歷而歷歷在目,雖然身為小孩子的我不一定有這麼深刻的體驗,但可以感受到,老媽顯然一時之間還沒有完全接受老爸已經離開我們的事實,但也只是希望時間可以沖淡這些不捨的思念,接下來當然得把老媽照顧好,讓我們可以多點陪伴的時間。

在自己即將邁入「知天命」的年紀,對許多人生旅途中遭遇到的事情,開始覺得不再那麼的重要,人生的每個階段都有功課或任務得完成,做得好與壞,當然就會影響到後面劇情的發展,看著自己的兩個小朋友一天天成長,而回想起自己四十年前不也是如此嗎?每天需要關心的事情不多,每天只需要完成學校的功課,就是自己的時間了,放寒暑假時,就是希望爸媽可以帶著自己出去旅遊,而以前最喜歡的就是看看小百科或是國語日報,倒是對於許多人喜歡的小說或是漫畫書沒什麼興趣,這幾天陪著以後只能在夢裏相見的老爸,雖然這一輩子下來不見得真正能夠留下什麼給我們,但看著他安祥的面容離開,而圓滿人生,長年的病痛不再成為身體的枷鎖,我想這也是人生畢業典禮的重點。

夜深了!這是陪在老爸身邊最後的一晚,再想一次整個告別式的流程是否有遺漏的地方,該準備的東西是否已經齊全,昨天傍晚跟老婆前往殯儀館看一下佈置的情況,相當感謝眾多好友送來的鮮花,讓整個告別式的會場更顯得莊嚴,在人的旅途中什麼時候會有插曲,什麼時候會走到人生的終點,這些在冥冥之中早有定數,天命不可違與強求,再次謝謝眾多親朋好友在這段時間的關心與支持。

序幕 - 寫在「InfoSec Taiwan 2019 國際資訊安全組織台灣高峰會」之前

Published by Yi-Lang Tsai under , , , , on 7/05/2019 01:00:00 上午
今天趁著北上出差之際,與幾位資安界的好友餐敘,雖然各自服務在不同的單位,但在此時此刻能夠一起享受著居酒屋的美食,喝著來自宜蘭自釀的啤酒,話匣子一打開當然就停不下來了,天南地北的分享各自工作上的點點滴滴,當然也談著一些生活上的趣事,一下子二、三個小時就過去了,無奈回程的末班高鐵班次已近,不得不暫別,再次期待下次的聚會,回程途中,看著高鐵窗外的夜色,也想起最近幾個熱門的資安議題,還有某公務機關個資外洩的事件,找一下自己的朋友是否在名單中,想著想著不禁回想起自己當初踏入資安領域的初衷:「希望自己的電腦不再中毒」,但是這樣的起心動念,一路走來卻越學越多,越摸越深,從BASIC、C到Assembly,也學了許多的程式開發工具,從Clipper、Foxpro、VB到.Net,遇到系統的問題,也對Windows、Linux作業系統有了些研究,後來工作上的關係,更接觸了IBM AIX、HP-UX、Solaris等,從以為網路就是Cisco,後來也瞭解到原來還有Juniper、Extreme等其它的網路設備,而第一個接觸的防火牆是Cisco PIX,現在應該也是古董了,一時之間覺得幾十年的光陰,就隨著資訊科技的發展,變成了現在的自己。

今年的資安會議從最早的只有HoneyCon,到現在已有三個國際組織(The Honeynet Project、Cloud Security Alliance以及OWASP)共同運作,而很多人會問,為什麼要整合在一起辦理呢?認識我的人應該就會知道其中的緣由,這點就賣個關子,讓大家去打聽打聽,今年的資安會議投稿的講師也不斷的創新高,雖然增加了審稿上的難度,不過最重要的是希望找出對會眾最重要,而且也是最具前瞻趨勢的議題,今年度也分成了付費的「Full Pass」以及免費的「Business Pass」,讓會眾有更多的選擇,當然秉持著推廣資安的角色,雖然不少好友跟聯盟反應門票變貴了許多,但是精彩的議程仍然吸引著大家的報名,到截止線上報名之後,仍然有許多人來電希望可以團報,但是今年的會議紀念品加上提供的套裝內容,我相信一定是讓大家值回票價的,會議也是一個大家很好的交流平台,可以一起分享與認識朋友。

圖.InfoSec Taiwan 2019會議官網

企業每天遭受到來自於網際網路攻擊,以及企業內部衍生的資安風險,可說是無時無刻需要面對資安的問題,而資安的事件往往深究其原因,有絕大多數的比例來自於使用者的人為疏忽,而曝露在外的資訊服務平台,往往也是駭客最容易選擇的攻擊目標,協同資訊安全維運中心的角色,就形成了這次「Red Alert 72」的競賽情境,除了PWN解題型的競賽之外,也融入了堡壘機的防禦競賽,參賽者必須確保競賽期間所防禦的堡壘機,不會遭受到扮演駭客的「Red Team(紅隊)」的攻擊,而讓企業因事件的發生所衍生的損失,以及所造成的資安問題,當然在競賽規則的限制之外,參賽者需要利用有限的資源,好好的保護自己的堡壘主機,並且須要確保上面所運行的網站,仍然可以正常的提供服務,誰可以拿到獎金呢?詳情就請大家參閱網站上的說明了,其中當然相當感謝國網中心的CDX平台協辦,以及出題的團隊讓這次的競賽更加的精彩。

圖.Red Alert 72 紅色警戒企業防禦競賽

今年的議程分成了兩天,包括了所有人都可以參加的上午場(Keynote),以及下午場五軌的議程,雖然「Business Pass」的會眾只能夠參加「Business I&II」的議程,但是這些來自於產業界的講師,同樣也帶來精彩的資安議題,而「Full Pass」的會眾,就能夠參與三大國際組織的議程,直接深入每個組織所著重的資安領域,而付費的「Full Pass」還能夠再獲贈今年度精心製作的電腦後背包,在這也感謝工作團隊精心的挑選今年會議的紀念品。

雖然人在高鐵上,再看看今年的議程內容,整體而言已涵蓋許多的面向,也有別於國內其它以展銷為主軸的大型活動,就如同今晚與好友的聚會,談的是對台灣資安發展的願景,心有餘力可以再幫國內做些什麼,還有什麼樣的資安產業機會,雖然大家在各自的工作上都有不同的心路歷程,但是都擁有一顆對於資安持續保把熱忱的心,也希望能夠持續的往前發展,大家手上的資源不同,如果可以結合一起,我想所能夠發揮的影響力,絕不是說的一口好資安,而是實際能夠落實這些資安的能量。

夜深了!我想許多的資安人此刻也正忙著!期待今年的 InfoSec Taiwan 2019 與大家相見!每年一次的會議就是大家能夠交流的平台。

InfoSec Taiwan 2019 國際資訊安全組織台灣高峰會

一個虛實整合下的-足跡!

Published by Yi-Lang Tsai under on 5/09/2019 08:00:00 上午
保留在數位時代中的足跡,Google提供了一個「時間軸」的功能,雖然從資安的角度上來看,對於個人的隱私總有些疑慮,畢竟透過行動裝置記錄使用者的活動軌跡,並紀錄到雲端上,這往往就是「便利性」與「安全性」的觀點不同,不過這項服務本身,對使用者而言也是一種回憶的紀錄,有時候隨著年紀的增長,「忘性」總強過於「記性」,雖然現在的資訊平台多多少少都會收集使用者的資訊,不過這些就取決於使用者本身如何看待這樣的服務。


智慧型手機在目前已成為相當普及的通訊裝置,畢竟現在除非有特別的原因,例如:在嚴格管制資料安全的區域,大多數的人基本上都是人手一機,而且多數的情況都是隨時連接在網路上,因此透過網路連接這些終端設備,再利用這些設備本身所具備的資源進行資料的收集,再進行後續的資料分析作業,在目前的時代中,許多的裝置其實預設就會收集使用者的地理位置,當然有些應用裝置在使用的過程,也會詢問是否同意讓軟體收集與使用者有關的資料,這些當然多數的使用者為了要使用應用軟體所提供的完整功能,在大多數的情況都會默默的同意,就算心裏一直有個疑問?為什麼一定要同意讓軟體來收集我的資訊呢?不過還是會順手的按下了「同意」的選項。


在Google Map所提供的時間軸功能,會將使用者被紀錄下來的位置,依據指定的時間範圍,或是針對個日期來呈現,雖然不會詳細到一分一秒的紀錄,不過只要是大範圍的移動或是停留在某些特定的地點達一段時間,就一定會紀錄下該點的軌跡。


如果還是覺得不需要讓應用軟體取得與隱私相關的資訊,建議就直接在所使用的帳戶下,關閉這項紀錄的功能,近來許多的網站或是服務平台遭到攻擊而衍生的資料外洩事件層出不窮,在Google的服務中,為了要貼近與用戶間的距離,也為了可以透過收集用戶在網路上的行為,提供更精準的資訊,因此在「隱私權」中的「個人化Google服務」,只要您設定將自己的活動資料儲存在 Google 帳戶中,Google 的工具和服務就能運用這些資料提升執行速度和內容的實用性,包括在 Google 地圖中提供更精確的通勤路線選項,或是在 Google 搜尋中加快顯示搜尋結果。這些看似便利的服務方式,其實卻是隱藏著隱私外洩的風險,尤其在智慧型手機上,因為應用服務之間的互相「信任」,在安全軟體時,使用者往往同意這些應用軟體所列出需要的權限,造成隱私資訊的外洩更加的容易。

目前許多人習慣使用Google之類的搜尋引擎當成找到網路上資訊的主要管道,而這些搜尋引擎為了提供給更精確的服務,可能要會求使用者同意許多的功能,例如:網路和應用程式活動,這些軟體的活動紀錄,當使用者同意提供時,使用者在使用網路以及操作應用軟體的過程中,就會將其中的活動行為分享給這些服務平台的提供者。


定位紀錄在智慧型手機越來越普及的時代中,這些紀錄在使用者操作手機或是安裝其中的APP時,就直接洩露了所在的地理資訊,或是結合穿戴裝置,讓定位資訊的收集更加的容易。


目前流行的語音助理,雖然提供給使用者可以利用語音的方式,下達需要進行的指令或是取得應用服務,不過這些語音或是音訊活動,仍然存在著是否會竊聽或是收集使用者所在地點的環境聲音進行分析的可能性。

網際網路串起了許多新興的應用以及發揮資訊科技所帶來的便利性,實體的裝置與設備,扮演著在真實世界收集資訊的角色,而網路上的數位分身,有著與真實世界相仿的行為特性,這些代表的使用者行為隱私資訊,可能在不經意的情況下就遭到資訊的收集,或是做為其它網路犯罪的管道,如何讓本身在網路上的「足跡」是能夠被掌握的,在目前的數位時代中就更顯得其重要性。

數位時代下的多層次防禦

Published by Yi-Lang Tsai under , on 5/06/2019 10:06:00 下午
雲端時代的來臨,除了代表資訊技術的進步之外,也意味著傳統資訊安全防禦的概念,必須隨著時代的轉變而有所調整,想當初剛到目前服務的單位時,整個單位連外的線路是一條T3的線路,當時也正值乙太網路崛起的時代,沒過多久原本使用的 Lightstream1010 就退休了,取而代之的架構簡單化的乙太網路交換器,沒多久具備基本路由能力的交換器成為了主角,在這個時代其實資訊安全的議題還離我們有些遙遠,多數的情況只需要把網路存取的管理做好,就是把資安做好了。

想要瞭解目前該如何進入資訊安全的領域,就需要先對於資安這個領域的發展,有初步的瞭解與認識,尤其目前剛接觸資安領域的生力軍,對於過往的發展歷程,更是有瞭解的必要,因為資安的領域涵蓋的面向相當的廣泛,傳統上分成了系統安全、網路安全、程式安全、網站安全等,或是學理上談的密碼學等,在實務面又有現在引領風潮的CTF競賽,或是針對藍隊防禦進行的攻防賽,每個專業領域,都能夠建構一個完善資訊安全技術的環節。

從資訊安全的角度,個人簡單的將其分成以下幾個世代,不過先聲明一下,這些僅是個人就所見與經驗進行分類,並不代表學理或是教科書上的分類方式。

【使用者與主機端的防護】
在這個世代中,每台電腦或主機安裝防毒軟體是必要的工作,每當我們組裝好電腦接著安裝完作業系統,在連接上網路前的第一件事,就是在機器上安裝好防毒軟體,防毒軟體成為使用者的門神,隨時看著主機上的通訊,或是檔案系統在異動是否有比對到符合病毒特徵的檔案,當時特別有印象的是一套台灣廠商自行研發的「金帥防毒(Zlock)」,不過我想除非跟我一開始接觸電腦時,當時的作業系統是MS-DOS的網友,才會聽過它,在目前應該很少人知道有這段的歷史,不過大概跟筆者同世代的人而言,對於ZLOCK可是相當依賴的,當時所發展的一些概念,對應到目前而言仍然是相當有用的,物換星移下,目前大多由比較完整防禦的端點防護軟體,整合了單純以防毒為主的產品。
圖-GGreat在2003年的產品資訊


【網路安全幾乎等同資訊安全】
當時的網管人員所想像的資訊安全,就是直接觀看網路的流量,因為早期的網路頻寬遠小於目前的時代,所以只有網路上有一些風吹草動,還真的有機會直接從網路流量的變化,就能夠推論出網路上是否有攻擊行為的發生,因此網管人員還必須兼職的擔任起資安防禦的角色。

不過進入了100Gbps的時代之後,由網路流量的變化是很難看得出異常的,大概只有遭到DDoS(分散式阻斷服務)攻擊時,才能夠由網路流量的變化,斷定正在遭受大量的攻擊,不過往往以過往此類攻擊的資安事件來看,往往不到幾分鐘的時間,就能夠把目標主機打掛了,更不用說每五分鐘會自動輪詢一次的SNMP產生的MRTG圖能夠告訴我們是否發生的網路攻擊的事件。

圖. TANet流量圖

【網路安全威脅】
網路的應用服務呈爆炸性的發展之後,隨之而來的網路安全的問題,引起了大家的注意,許多的攻擊行為不再是單純的掃瞄或是利用系統的弱點進行攻擊,透過不同的攻擊工具或是針對系統或是軟體弱點所進行的攻擊行為,對於被攻擊的主機大多能夠造成重大的影響,而網頁程式開發或是運作的環境,往往受限於程式的開發環境以及網路服務不能夠中斷服務,此時許多的管理人員,其實是可以接觸網路存在資安上的風險,寧願冒著網站可能被入侵的風險,也無法因為開發環境被發現了可運用的漏洞,就把目前正在線上服務的網路關掉,就只為了等待把漏洞修完。

圖-CVE (https://cve.mitre.org/)

當越來越多的資訊服務,透過網路來提供時,來自網路上的攻擊威脅,也就成為最需要偵測的來源,透過資安設備或是誘捕系統之類的機制,其實就不難發現網路上其實並不如我們想像的平靜。

【區域聯防的概念】
隨著網路頻寬的增加,以及越來越多的使用者透過網路來取得資訊,一個階層式的管理架構逐漸成形,也由「技術思維」融入了「管理思維」,開始思考如何讓目前建置的系統與防禦機制能夠發揮更大的功能,並且協同相關的管理單位,進行事件的處理,以台灣學術網路而言,透過管理機制的建立,加上各區域網路中心間的合作,針對發生的資訊安全事件,能夠進行通報與應變,也可以讓資安事件對於網路世界造成的影響,能夠有效的受到掌握。

圖-TANet區域聯防架構(2001年)


【縱深防禦的架構】
「縱深防禦」是與「區域聯防」為相輔相成的架構,早期的區域聯防,主要是將資安的威脅,透過各個管理單位的力量進行掌控,避免事件影響範圍的擴大,目前的縱深防禦改以應用服務為導向,並且融合相同領域的使用者,共同建立該領域的防禦架構,近幾年來國內從政府單位開始推動的資訊分享與分析中心(ISAC, Information Sharing and Analysis Center)架構,就是希望透過聯防體系的建立,讓資訊安全威脅的情資,能夠在進行交換與分享,以建立初期的預警機制。

如何建立一個縱深防禦的架構,基本上需要涵蓋管理、政策以及技術等多個層面,以較容易理解的技術面問題,以後我們在進行資訊安全政策的制定時,當有了大的方向,接下來就是必須規劃實施的細節,甚至是建立防禦機制的步驟,這些都需要各個層面互相的配合,例如:一個網路管理政策藉由資安設施進行部署,而且實施預警或是阻擋的機制時,如何確保能夠持續有效運行,這個就成為關鍵的議題,尤其在目前雲端服務盛行的時代中,在建立整體的資安防禦時,往往需要考量從應用服務開始,一路到系統防護、網路安全的確保等多個層面,但是唯一可以確定的是重要的應用網路服務必須順利的提供給正確的對象,以及提供具安全保障的服務方式,但是當資訊服務的架構,因應網路問題或是系統資源需要進行調配時,資安的偵測規則仍然必須確定有效,而且能夠無縫轉移。

【多層次的全方位防禦】
資訊技術的發展也讓資安面臨新的挑戰,包括了近幾年的雲端服務、行動應用以及物聯網等新型態的資訊科技,結合網路的連結讓許多應用變得更容易實現,也更具有彈性,資安問題從來就不是單純的技術問題,如果單純使用資安技術就能夠解決的資安問題,其實並不是真正的資安問題,欠缺全方位的思維,以及全方位的防禦,往往為未來可能發生的資安事件留下了伏筆。

參考網站:



零信任網路下的資安防禦

Published by Yi-Lang Tsai under , , , , , on 4/21/2019 10:09:00 上午
網際網路發展至今,目前已進入零信任網路(Zero Trust Network)的時代,新興資訊科技打破典型的資安防禦架構,行動化與數位化的時代,讓資安的防禦更加困難,由台灣學研網路所部署的誘捕網路,到近年來政府積極建立的情資分享與分析架構(ISAC, Information Sharing and Analysis Center),期待從資通訊技術(ICT, Information Communication Technology)走向維運技術(OT, Operation Technology)時,都能夠掌握資安的威脅,而網路上隨著不同應用類型的資料與資訊的交換,雲端服務平台的發展,到目前已進入萬物聯網的時代,除了典型的資安架構之外,因應資訊科技的發展,又增加了許多型態的服務,加上與行動裝置的整合,讓資訊安全的防禦機制,更難有一套通則,反而面對不同的企業或是服務平台,都必須採用服務導向的方式,進行資安風險的評估,以確定所建立的數位邊界,能夠有效的掌握進出這個數位邊界的通訊行程以及交換的資料。

圖:資料來源 Akamai

目前已進入一個由軟體定義安全邊界(SDP, Software Define Perimeter)的時代,不論雲端服務、物聯網應用到 AI 的應用,都需要考量到資安議題對於應用科技所帶來的影響,而其中最重要的都是應用軟體的開發安全,多數的程式開發人員在撰寫程式時,早期主要注重在程式功能面或是使用者界面的開發,在資訊安全的考量上較少,造成了應用程式在運作時一些資安的問題,OWASP(The Open Web Application Security Project)所發佈的The Ten Most Critical Web Application Security Risks,就不難看出許多網站應用程式所存在的重大風險,其中許多的風險,都能夠透過程式設計的改善,就能夠避免該風險的發生。

如何掌握網路上的異常通訊,或是發掘異常的通訊行為,然後再加以阻止或是減緩所造成的影響,以符合對於資訊安全防護的期待,這是一個值得思考的問題,典型的作法是透過網路封包的截取,然後再進行網路通訊的解析,以掌握網路上的通訊行為,不過當加密的流量成為常態時,原本的網頁的服務在2018年已有超過30%採用加密的通訊協定,如果以雲端服務而言,更高達70%的網路流量採用加密的通訊協定,依照此趨勢繼續發展,在2019年雲端服務採用加密通訊的比例,有機會一舉超過80%的門檻,這麼高比例的加密流量,除了原本確定應用程式的使用者可以擁有安全的通訊之外,另一個隱憂是同樣也有越來越多的惡意程式,採用加密的通訊流量進行資料的傳輸,以往可以用於網路上進行特徵比對或是過濾通訊內容的防護機制,當它面對這些被加密的通訊時,已經無法發揮預期的功能,甚至已無法對於這些隱藏在其中的惡意行為進行任何的阻絕,這將會企業營運上的隱憂;另一個需要正視的問題是雲端服務大量的出現,除了帶來便利性之外,也帶來新的資安風險,以大多數人經常使用的雲端儲存服務而言,企業對於營業秘密的保護尤其重視,這些都是攸關企業競爭力的重要因素。

進入AI的時代,多樣化的創新應用不斷的出現,當然在資訊安全的領域,也有人不禁會問,當人工智慧發揮到極致,人類是否將無法掌控這個世界,出現類似電影情節中來自於未來的魔鬼終結者,唯一的目標就是執行天網(Skynet)所賦予的任務,殺掉未來世界中挺生而出對抗天網的反抗軍,試圖改變歷史,這些情境從現在的觀點來看仍有些困難點,但我們不禁也擔心在資安防禦的領域,導入人工智慧是否能夠真正的防禦外來的攻擊,或是將人類視為最大的敵人呢?2019年初Yelp的神經網路除錯程式,將程式開發人員所安的程式全刪了,也刪除了資料庫中的資料,造成了網站營運的中斷;AI運算時代讓以往許多耗費時日才能夠解決的題目,因為資訊科技的發展,縮短了原本需要花費的時間,改善了原本分析的結果,加上數據分析的加值應用,也讓許多的領域在新興的議題上,能夠更往前邁進,這些都是需要整體環境的成熟,目前國網中心的台灣杉II更扮演著國內AI運算平台的重要角色,提供學研與產業界可以取得GPU運算以及AI研發所需要的環境。

物聯網路成為下一個世代的主角,目前已有越來越多的裝置透過網路的接取,成為網路世界中的一員,配合這些裝置上所開發的應用程式,建構起資料交換的機制,透過網路的連結,進行裝置與遠端(雲端)的資料交換管道,其中也衍生了許多的資安議題,包括了裝置本身的安全設計是否到位?應用程式的開發是否妥善的保護了使用者的機敏資訊,或是通訊的方式是否已經考慮了資料傳輸時的安全?遠端使用者的身份認證方式也挑戰進入系統時的第一道門檻是否強固?這些不同的議題再配合著各種不同型態的雲端服務,讓整個資安防禦的邊界更難以定義。

參考由雲端安全聯盟(CSA, Cloud Security Alliance)所發佈的SDP安全框架,目標以避免來自網路上的攻擊行為,包括了分散式阻斷服務攻擊(DDoS, Distribution Deny of Services)、中間人攻擊(Man-in-the-Middle)以及參考OWASP所發佈針對 伺服器服務查詢(Server Query)等相關的攻擊行為,安全架構涵蓋了三個主要的角色,分別為用戶端SDP Client、控制端SDP Controller以及閘道端SDP Gateway,其中將身份識別(Identity)以及公開金鑰基礎建設架構(PKI, Public Key Infrastructure)納入安全框架構之中,這些都是目前雲端平台在提供網路應用服務時可以參考的架構,不過面對目前複雜的服務架構而言,如何建構安全的服務機制仍會是一大挑戰,加上近幾年行動化與數位化的普及,智慧型行動裝置的普及,延伸了企業的服務終端,不再局限於特定的場合或是平台才能夠使用資訊平台所提供服務,反而因為網際網路的連結以及頻寬不斷的提昇,讓原本許多需要網路頻寬支持的應用服務,得以在目前的行動通訊世代中實現,對於原本的服務平台而言,更是不得不重視的使用者行為與使用型態的上的轉變,所帶來的影響與衝擊,不得不讓我們必須重新審視現有的資通訊架構,除了效能上的問題之外,在資安的議題上該如何看待。

企業對於營運而言,其重視的程度往往大於對於資安議題的重視程度,從過往層出不窮的資安事件就不難得知,從「服務營運」的角度看待「事件應變」,從典型企業的思維,當發生資安事件時,大家多數認識這些「資訊部門」的事,或是買套防毒軟體或是買台防火牆就可以搞定,其實以目前資安事件的種類而言,並不是如此的單純,在目前的時代中,「沒有人是局外人」正印證了企業面對資安事件發生時,應變的範圍多數與整個企業有關,每個員工都必須擔負著資安防護的責任,也必須有相關的認知,從資訊科技以及通訊科技,到產業獨有的維運科技,其中以維運科技的角度來看,經常被認定與企業的資通訊並不相關,不過在工業4.0以及智慧製造的潮流之後,典型的產業面臨的轉型的壓力,也需要利用大數據的分析,或是人工智彗的運算,找到最佳化的解決方案或是生產製造的參數,這些都必須仰賴前端的感知網路對於數據資料的收集,越完整,越真實的資料,將會更有機會在更短的時間內,找到預期的目標。

在「網路攻擊」與「企業防禦」兩個面向,後者的複雜程度遠高於前者,因為網路攻擊手法變化快速,而且透過網路的連結,就算遠在地球的另一端,只要攻擊者連上網際網路,就能夠輕易的對企業發動攻擊,對於攻擊目標進行資料的竊取或是阻擋服務,都讓企業在目前的時代中更難加以防範,尤其對於分散式的阻斷服務攻擊而言,更是攻擊來得快,去得也快,在遭受攻擊期間,這些對於服務的網路服務,輕易影響其營運的效能,重則可能直接遭到阻斷服務,而對於攻擊來源的追蹤更是不易,因此資安技術已不再局限於傳統的資安領域,駭客的攻擊手法更是如此,經常每半年或是更短的時間,都有新型的網路攻擊手法出現,對於負責企業資安防禦的人員而言,就必須能夠發覺阻絕或是偵測的方式,才能夠阻擋這些以前未發生過的攻擊手法,同時必須確保營運的範圍內不會因為受到網路攻擊,而影響到對於資料的保護或是服務平台本身的營運,這些目標對於企業而言多數是處於弱勢,採取初動的角色進行資安的防禦工作。

一個「零信任」網路的來臨,對於來自於遠端使用者,不論是雲端平台或是終端的使用者,融合了行動化、數位化以及虛擬化的世代,在目前的環境中更需要考慮各種不同的層次的資安問題,對於防禦而言更需要設計出多層次的資安防禦機制,保護企業重要的數位資產,同時也需要考量這些數位資產的生命週期,確保所投入的資源能夠最精準的應用在需要重點保護的標的物上,目前駭客有興趣的目標已經涵蓋許多以往資安防禦所忽略的,隨著新興資安科技的應用,除了帶來便利之餘,也將帶來新的資安問題,而目前許多的使用者對於資安的意識已大幅提升,在使用便利的行動通訊之餘,也需要留意可能對於使用者本身造成的資安風險。

參考資料。
Akamai Zero Trust Network Model 

【本文同步刊載於 中興大學法政學院-網路政治暨科技議題 歐亞論壇】

RSA Conference 2019 國際資安會議-後記

Published by Yi-Lang Tsai under , , , , on 4/08/2019 12:19:00 上午
每年在舊金山舉辦的 RSA Conference,可以稱得上是全球最大的資安產業聚會,不論從與會的人數、展覽場的攤位數,幾乎每一年都是打破前一年的紀錄創造歷史新高,而會議的多元化也是全球最完整的,與資安有關的議題,都能夠在同一個會議中找到,而今年剛好參與的國際資安組織 Cloud Security Allinace 成立十週年了,更見證了十年前談雲端服務到目前看雲端服務幾乎已成了生活的日常,這次也有機會與在CSA一同成長的夥伴聚聚,彼此交流與再次感受到資訊世代交替以及這十年來資訊科技的進步。
圖.拍攝於CSA 10週年

圖.拍攝於RSA Conference 2019

不論是經營會議或是組織,都需要有議題以及能夠切合目前與未來的需求,因此每年的 RSA Conference 都能夠吸引更多的人來參與,我想這個是一個重要的關鍵,當然大環境對於資訊安全的需求與日俱增,更成為一股推動的力量,在國外看展與參加國內的展覽,其實最大的不同在於在國外的展會,絕大多數是由設備或是服務平台的「原廠」來參加,不論大大小小的攤位,一定都可以找到熟悉展出產品的技術人員進行詢問,而其熱絡的程度如果未參加過的人是很難體會的,在目前這個發展快速的時代中,如果手邊有資源,或是有機會參與國際間的大型資安會議,行萬里路一定可以勝過讀十年書,而且如果對某一產品有興趣,大可直接詢問不瞭解的地方,這個應該是學習新技術最好的方式之一,閉門造車或是請國內的經銷商來介紹,其實都無法如原廠講得清楚,這個當然與國內的生態有關,多數的原廠在台灣配置的人力資源其實滿有限的,多數得依賴代理商以及經銷商在市場上行銷。
圖.拍攝於RSA Conference 2019

主題演講的場次,是每年一定會安排前來聆聽的,一來聽到最新的資安發展趨勢,也能夠瞭解不同的資安威脅,是否有適合的解決方案,或是應該如何看待這些新興的威脅,避免企業遭到攻擊時而損失慘重,上萬人同時在一個超大的會場中,這個也是國內所無法達成的,主要在於國內現有的市場規模其實除了靠政府支持的一些資安計畫之外,其實每年可用的資安預算實在是相當的短少,而產業對於資安的需求,除了有前瞻思維的管理階層能夠意識到資訊安全防護的重要之外,大多數的企業很多是買台防火牆就以為能夠做好資安的防護了,資安認知的不足,是推動資安產業與需求上的一大挑戰,大環境不好更是會將僅有的資源投入生產製造或是研發產業,資訊安全的議題當發生了再說吧。
圖.拍攝於RSA Conference 2019

從七年前將Cloud Security Alliance 引進台灣,在當時大家都害怕使用雲端平台,最常聽到的就是「不安全」,但是仔細一問為何認為「不安全」,多數聽到的答案是「因為放在雲端上,我看不到資料在那,當然是我無法信任它的安全」,相隔數年後,現在基本上所有新興的應用平台,都是在雲端平台上發展服務,透過網路與使用者端介接,進行身份的認證以及資料的傳輸,從以前推廣雲端安全聯盟所發佈的「雲端安全指引 (CSA Security Guidance)」,配合開放式稽核框架(OCF, Open Certification Framework)發展出來的CSA STAR認證,目前國內已有超過七家的雲端服務供應商取得,由此可知順應時代的發展趨勢,將會是企業或是雲端服務成功的因素之一。
圖.拍攝於RSA Conference 2019

有時候當資安事件發生時,往往大家就會關心「事件影響的範圍?」、「事件怎麼發生的?」、「系統管理人員是否有疏失?」、「系統是否遭到駭客的入侵?」等,這些問題其實有超過一半的機率是找不出真正原因的,因為許多的證據有可能在遭受攻擊的過程,就已經遺失了,或是在處理事件的過程,因為人為或是系統上的問題,而無法留存足夠的資料,以證明發生的事情緣由,對於事件的處理其實絕大多數的企業都是處於「被動」的狀態,簡單來說,就是出事了再開始找原因。

而預警的觀念則必須與情資系統相整合,如果可以掌握到發起大量攻擊前的情報,或是因為一份中繼站的威脅名單,而能夠快速的找出企業內有問題的主機,加以處理與預防,避免後續資安事件的發生,可以達到災前預防的成效,再配合所截取下來的資料進行威脅獵殺(Threat Hunting),強化預防的成果,建立一穩定可靠的資情來源,對於企業本身的資安維運而言,可以一改過往單純依賴資安設備所制定的規則,而僅能由這些規則所觸發的日誌紀錄進行分析。
圖.拍攝於RSA Conference 2019

端點的防護對於目前高涵蓋的網路接取而言,成為最重要的一塊,很早從事資安工作時,其實就常聽到許多資安前輩說「防毒軟體無用論」,姑且不論是真是假,或是單純從不同的觀點解讀所謂的防毒軟體,這些對於目前的時代,都是已經過時的思維,目前在進行威脅獵殺時,最重要的是當發現可疑的行為時,是否具備「主動防禦」的機制,這個機制的啟動絕對不能依據傳統的特徵比對的方式,而是應該採用更具智能的使用者行為分析,透過端點所掌握的使用者行為現況進行分析,再加以判斷是否要有所行動。
圖.拍攝於RSA Conference 2019

每年的 RSA Conference 個人最喜歡來看的就是「 Innovation Sandbox Contest」以及不同主題的 Village,另外同一個會場旁邊還有剛起步的小公司或是開發團隊,努力的介紹產品,希望能夠獲得投資人的青睞,許多不錯的點子,其實可以應用到目前工作的環境中,除了可以改善資安平台的功能之外,也可以擴展這些平台的應用。
圖.拍攝於RSA Conference 2019

在主題演講的會場出來,可以看到一幅全牆面的講師名單,這些講者都是在全球知名的人士,雖然透過國際資安組織的連結,也認識其中幾位,不過有時候考量邀請來台灣分享的成本實在是非個人所能負擔的而有所婉惜,看著全球資安領域的發展,可以做為國內發展國際市場的借鏡,如果單純的只希望在國內經營,其實就直接與國際脫軌了,更不能在發展許多資安解決方案或是標準時,沒有參與國際資安組織的工作小組,更不用說往後希望在國際上可以認可國內所發展的標準。
圖.拍攝於RSA Conference 2019

如何把資安做得更好,從技術面具有前瞻性,建立完善的資安管理架構,清楚律定企業應合規或是遵循的資安政策,這些都是相輔相成的,如何做到 There is nothing but striving for perfection. You want to get better and better. 我想這是所有資安人應該學習的目標,與大家共勉。
圖 .拍攝於RSA Conference 2019會場

會議網站: RSA Conference 2019


2019資安武林群英會-後記

Published by Yi-Lang Tsai under , , , , , , , on 2/18/2019 12:25:00 上午
「台灣數位安全聯盟」目前已聚集了國際間最知名的三個非營利資安組織,The Honeynet Project、Cloud Security Alliance以及OWASP,同時透過台灣分會的運作,在國內推動許多的資安活動以及培訓課程,而每個資安組織都有其特色,以及擁有各個不同的資安領域所發展出來的成果,這些都需要透過台灣資安社群共同的參與,讓這些國際間的成果能夠接軌到國內的環境,在目前的高度數位化的時代中尤其重要,「數位安全」已成為各個資安科技應用最關心的議題,沒有了可被信任的資安架構,或是單純由技術人員所規劃出來的資安防禦,這些都是不夠完整的,如果一來再好的系統或是平台也都將成為下一個重大資安事件的候選人,在目前這個時代中,沒有人可以是局外人,每一個使用這些平台的使用者或是營運單位,都將成為最大的受害者。
台灣數位安全聯盟

台灣在全球擁有IPv4的數量排名第14名,僅佔整個網路世界的0.8%,不過台灣的資通訊環境的涵蓋率高加上可連網的裝置數多,數位安全的問題已成為政府、企業最關心的問題,不論是電子商務、雲端服務、AI運算主機等與業務營運與推廣有關的資訊系統,都可能發生資訊安全的問題,近年來尤其以資料的外洩事件最為頻繁,近來相當熱門的Collection #1即涵蓋了2,692,818,238筆的電子郵件與密碼的資料,其中有1,160,253,228筆唯一性的電子郵件與密碼組合,有772,904,991筆唯一性的電子郵件以及21,222,975筆唯一性的密碼,這些資料來自於多起資安攻擊下的資料外洩事件。

回想起一個看似再平常不過的傍晚,在一個與 Jack 閒聊中產生的想法,接著將近一個半月的規劃下,我們在許多夥伴的協力下將它實現了,辦理了今年的第一次的全台資安社群聚會,同步在台北、台中、台南邀集資安武林群英共同聚會,除了分享目前幾個國際組織在台灣的發展現況之外,也邀請了幾位講師從不同的角度分享了從事資安工作,或是學習資安技術的心路歷程,再次感謝協助此次活動的講師們,Henry、Wllo、Jack、Stan、彥成、勝翔,有你們的分享以及超過150位資安同好的參與,才能夠此次的活動圓滿結束,不過這只是個開始,往後還是希望資安盟友可以共同參與各個資安組織的活動。

台北場

誘捕技術的運用成為了目前偵測網路異常活動的方法之一,透過誘捕系統的建置,我們可以針對各個不同的應用服務進行異常通訊行為的偵測,並透過通訊之間的互動,進一步的掌握攻擊行為中的所展現的資訊,也能夠瞭解目前的異常攻擊行為的發展趨勢,做為實際進行資訊安全維運上的參考資料,此次由勝翔所分享的建置經驗,透過偵測過程中所掌握的各項資料,都可以做為資安研究所需要的資訊來源,而The Honeynet Project針對各種應用服務所發展的Honeypot,能夠涵蓋目前大多數的資訊服務,甚至目前已有對應到熱門的物聯網安全以及工控系統安全等議題,而大多數的情況下,要完整的建置出Honeypot讓它能夠發揮功能,並且不能夠被類似 Shodan 之類的偵測平台發覺,就是一門需要注意的技巧了,今年後續安排的課程除了建置之外,應該會有更多的需求是建置一個反偵測的Honeypot,才能夠真正的發揮作用。
台南場

從兩年前重新啟動了OWASP台灣分會之後,近來OWASP接連發佈了幾個受到重要關注的OWASP Top 10,如同我們分會的研發長Henry所言,其實OWASP並不是只有一個Top 10,想多瞭解的話,歡迎隨時與台灣分會密切聯繫,目前OWASP已積極的推動了幾個全球重要的計劃,以因應資訊服務的發展需求,透過全球廣大的社群力量,凝聚共識提出許多具有重要參考價值的白皮書,這些都能夠做為在評估應用服務與系統安全上的依據,該如何進行呢?就先賣個關子,請大家多多參與聯盟的活動,一定能夠找到你需要的答案。
台中場

遇到資安事件是許多人最不喜歡的,除了要處理系統之外,往往還需要處理人的問題,尤其在目前網路攻擊的威脅管道已多樣化發展的時代下更是如此,此次Wllo分享過往在TWCERT/CC的心路歷程,這些經驗談是寶貴的經驗,也是不可避免需要面對與處理的問題,下次如果有資安事件的發生,不妨可以求助於TWCERT/CC。
台中場

經驗的傳承在目前的時代中已越形薄弱,可能起因於網路資訊的發達,很多人只注重在網路上找答案,而忘了最佳的導師其實就在身邊,Jack 從社群的發展以及師徒技藝的傳承談到,目前許多的資安學習都輕忽了基本功的重要,因為處理資安的問題,並不如單獨的處理系統或是網路的問題般的簡單,一個攻擊事件可能其中所運用的技術涵蓋了網路、系統、程式甚至是整個資安防禦架構的規劃與設計,這些都是需要經驗的累積才能夠掌握其中的奧妙,透過社群的連結是最好的方式,在一群對資安有興趣的同好之外,彼此學習長處與經驗,除了加速本身的學習之外,也可以在彼此的交流中更加的成長。
台北場

資料庫已是目前許多資訊平台不可或缺的重要角色,透過資料庫的運用,我們可以讓資訊平台有更多的應用以及建置更具結構化的平台,透過前端的應用程式針對資料庫進行存取,其中衍生出許許多多的資安議題需要留意,此次 Stan 針對常見的資料庫以及需要考量的問題,簡短的介紹一些重要的思考方向,可以做為盟友們後續在規劃、評估上的參考,當然如果進行相關的掃瞄與測試,也可以依據這樣的思考模式進行,相信能夠更有收獲。
台南場

手機上的APP安全問題,在目前已成為許多資訊平台的痛,在不得不開放API的潮流下,如何同時考量到資安的因素,這就有賴開發人員的智慧,以及在規劃階段是否已納入資安的考量,此次的活動由彥成所展示的APP安全問題,著實讓現場的盟友感到驚訝,一個簡單的中間人攻擊手法,就可以隨意的操作取得需要的資料,這些都讓我們不斷的思考,在企業追求便利服務的同時,是否真正的考量到資安問題可能帶來的影響,如果考慮不週,其所帶來的影響將是深遠的。

台中場

關切國際間資安的發展,將深切影響國內的資安環境,這些在目前高度數位化的時代中是不可或缺的,其實在過往幾年下來,卻不難發現許多國內創舉所推動的資安制度或是相關的規範,最終都將面臨無法國際化的問題,屆時再想要接軌國際,其實可能已失去了最佳的時機,現在已經不是一個自己高興就好的時代,閉門造車的做法將讓整個資安的環境與世界的潮流與趨勢漸行漸遠,而一再失去建立資安防線的先機。

最後感謝 Sunny 與 Ann (雖然活動期間「碰巧」跑去冰島看極光,這是人生的願望清單之一) 能夠在這麼短的時間完成此次的活動籌辦與行政支援,在一週前還因為成功大學通知活動當天全校停電歲修而必須儘快更換地點,再者每個地點需要處理場地與餐點的問題,在電子郵件或是 Line@ 上需要處理與回應盟友的問題,讓此次的活動順利完成。

台中場-大合照

參考資料:

  • 活動議程

2/15台北場
論武時刻傳授秘笈武林高手
18:30-18:50認識您的敵人:資安時代蔡一郎 (Yi-Lang Tsai)
18:50-19:10OWASP 專案小組的血淚史胡辰澔 (Henry Hu)
19:10-19:30那些年,我在 TWCERT/CC 的日子羅文翎 (WLLO)
19:30-19:50中場休息!春酒交流時刻! 
19:50-20:10社群師徒制秘辛余俊賢 (Jack Yu)
20:10-20:45比武過招!承先啟後!英雄好漢
20:45-20:50期待下次再聚!蔡一郎 (Yi-Lang Tsai)
20:50~賦歸 
2/16台中場
論武時刻傳授秘笈武林高手
13:30-13:50認識您的敵人:資安時代蔡一郎 (Yi-Lang Tsai)
13:50-14:10DB  Party  Are u Ready ?許清雄 (Stan Hsu)
14:10-14:30那些年,我在 TWCERT/CC 的日子羅文翎 (WLLO)
14:30-15:00中場休息!春酒交流時刻! 
15:00-15:20親眼所見 亦非真實:HTTPS 安全迷思張彥成
15:20-15:40OWASP Top 10 秘辛胡辰澔 (Henry Hu)
15:40-16:15比武過招!承先啟後!英雄好漢
16:15-16:20期待下次再聚!蔡一郎 (Yi-Lang Tsai)
16:20~賦歸 
2/17台南場
論武時刻傳授秘笈武林高手
13:30-13:50認識您的敵人:資安時代蔡一郎 (Yi-Lang Tsai)
13:50-14:10DB  Party  Are u Ready ?許清雄 (Stan Hsu)
14:10-14:30那些年,我在 TWCERT/CC 的日子羅文翎 (WLLO)
14:30-15:00中場休息!春酒交流時刻! 
15:00-15:20Honeypot V.S. Hacker許勝翔 (Jack Hsu)
15:20-15:40OWASP Top 10 秘辛胡辰澔 (Henry Hu)
15:40-16:15比武過招!承先啟後!英雄好漢
16:15-16:20期待下次再聚!蔡一郎 (Yi-Lang Tsai)
16:20~賦歸