蔡一郎的部落格

Yilang's Blogger

OWASP Taiwan Week 2017 後記

Published by Yi-Lang Tsai under , , on 12/12/2017 02:03:00 上午
OWASP Taiwan Chapter於今年重新啟動台灣分會的運作,在7/11日舉辦了 OWASP Taiwan Day,吸引許多對 OWASP 有興趣的資安人一同參與,也讓大家再次有機會與國際資安組織 OWASP 再次接軌,延續七月份的熱情,這次在工業局、資策會資安所的支持下,OWASP台灣分會從11月20日到23日,接連四天舉辦2017 OWASP Taiwan Week 的活動,分別在北部及南部各舉辦兩天的OWASP Conference 及 OWASP Mini-Talk,這四天的活動除了邀請國外 OWASP 其他分會的夥伴來台灣之外,也與國內頂尖資安專家一同分享最新的資安技術。

這次剛好2017年版的OWASP Top 10在會議的前幾天發佈,也讓這次的活動成為被討論最多的議題,許多跟網站安全有關的分析,大多會參考 OWASP 所發佈的 Top 10,不過並不是解決了這10個弱點後,網站就是安全的,而是這10個是最需要被關注的,如果想要提昇網站服務的安全性,還是需要做個完整的弱點掃瞄與分析,並且需要隨時的關注系統與應用程式弱點的資訊。

台北場活動 

在國際化的潮流下,資訊安全的領域更是如此,長年經營國際資安組織,包括了The Honeynet Project、Cloud Security Alliance以及今年剛接手的 OWASP 下來,每次參加這些國際資安組織的年度會議,就能夠感受到資安真的不是一般的領域,要投入這個領域最重要的是熱忱,還要有一顆充滿學習的心,因為許多的技術發展,實在變化得太快了。

台北場活動

一大早在綿綿細雨的天氣下,會場中卻是相當的熱鬧,滿滿的人潮開啟了 OWASP Taiwan Week 2017的序幕,這次邀請了國外分會的講師,前來分享 OWASP的研究成果,也可以做為未來在國內推動相關研究計畫的參考,也可以藉此瞭解其它國家在資安發展的現況,每次辦理國際會議,每一次都是很好的交流機會。

台北場活動

今年接下 OWASP 台灣分會的會長一職,其實是思考了一陣子後的決定,也正式回覆總會的來信,經過一個小多時的電話會議,也確定後未來即將賦予的使命,每次的會議都希望從不同的面向,讓更多的人瞭解到底什麼才是「資安」,現在的資安已經不再是傳統的資安,因為許多新興資訊技術的成熟、科技的發展與應用的多元化,資安已經可以是一學問了,要瞭解的技術層次相當的廣泛,但是又得專精在其核心的技術上,才能夠掌握這個領域的精神。

台北場活動

學習資訊安全,往往起心動念可能是為了成為一名「駭客」,想擁有一技之長,能夠在數位的時代中有所成就,當然不是為了攻擊其它的網站,而是為了能夠保護自己,不論在服務的公司或是學校的網站,其實學習資安的技術,往往是為了「保護自己」才來學習「攻擊技術」。

台北社群場

台南社群場

高雄場活動

會議工作團隊與國外講師群

一場活動的舉辦,最辛苦就是背後支持的團隊,這次主要由台灣雲端安全聯盟來承辦這次的活動,在有限的時間與人力之下,將大大小小的事情一一完成,也讓這次的活動如預期規劃的進行,再次感謝Ann、Sunny、Henry、Jack、Erick以及Stan的鼎力協助!也有許多來自資安社群的支持,讓這次的活動能夠圓滿。

會議籌備團隊

這次的活動規劃,從台北、台南、高雄分別辦理,也希望能夠透過從北到南的舉辦活動,讓更多的人能夠知道 OWASP 目前的發展,以及台灣分會在未來在國內資安社群的營運方式,也希望與產官學研界能夠有更多的連結,四天下來的參與人數超過了400位,也超乎了原本的預期,也謝謝大家的支持與參與,再來緊接著就是2018年了,在規劃明年度的活動當下,也正省思著如何建立資安的 Eco-System,對於企業才是真正的有幫助。


2017年演講與授課清單

Published by Yi-Lang Tsai under , on 12/12/2017 12:45:00 上午
2017年-演講與授課清單
日期講題地點主辦單位/活動
2017/12/15從駭客技術看資安科技發展趨勢總統府106年府會資安週
2017/12/13如何以駭客思維面對資安威脅國立嘉義大學網路安全暨攻防技術實務研討會
2017/12/7一場矛與盾的資安軍備競賽國立武陵高級中學桃園區網中心會議
2017/12/6雲端資安攻防平台101大同大學資訊工程學系大同大學資訊工程學系
2017/11/30高互動式誘捕系統建置實務科技服務大樓台灣雲端安全聯盟
2017/11/24網路探勘:一次就上手中央研究院資創中心Cyberspace 2017
2017/11/20-23從OWASP看全球資安趨勢集思台大會議中心(台北)、國立成功大學C-Hub創意基地(台南)、高雄集思會議中心(高雄)OWASP Taiwan Week 2017
2017/11/3全面啟動:資安聯防新世代國家高速網路與計算中心台南分部國家高速網路與計算中心
2017/11/1-2高互動式誘捕系統建置實務科技服務大樓台灣雲端安全聯盟
2017/10/26深入不可不知道的駭客世界中部科學工業園區管理局中部科學工業園區管理局
2017/10/24從年初金融業遭遇DDoS攻擊,檢視企業安防應對機制85 Sky Tower HotelD Forum 2017 雲端資安論壇、技術、流程與策略研討會
2017/10/20科技應用對於犯罪手法之影響警政署106年度智慧警政安全管理研討會
2017/10/20誘捕系統實作東海大學TWNIC 2017 年度網安實務教育訓練
2017/10/13Cybersecurity: Threats, Challenges and Opportunities集思台大會議中心CSA Interaction
2017/9/28Cyber Security Threat and Challenge in TANetThe Corporate Hotel and Convention Centre Ulaanbaatar MongoliaMNSEC 2017
2017/9/15雲端安全與防護東海大學TWNIC 2017 年度網安實務教育訓練
2017/9/13從五力分析看惡意程式發展趨勢集思北科大會議中心2017台灣資安通報應變年會
2017/9/6全球網路安全發展趨勢台北市電腦公會台北市電腦公會
2017/9/6惡意程式分析檢測東海大學TWNIC 2017 年度網安實務教育訓練
2017/8/29十面埋伏的數位時代-安全趨勢即時報告中華電信學院2017中小企業資通訊安全論壇
2017/8/18當企業面對APT與勒索軟體威脅的因應對策悠遊卡股份有限公司悠遊卡股份有限公司
2017/8/14區域聯防打造滴水不漏的安防機制集思高軟會議中心GOVSEC 2017
2017/8/10網路DNS系統介紹暨攻擊防禦技術國家通訊傳播委員會國家通訊傳播委員會
2017/8/4社群網路與行動通訊安全悠遊卡股份有限公司悠遊卡股份有限公司
2017/7/20-21DNS及DNSSEC介紹與實作東海大學TWNIC 2017 年度網安實務教育訓練
2017/7/19科技與資訊安全財團法人工業技術研究院財團法人工業技術研究院
2017/7/18資安防駭技術實戰嘉義市教育網路中心嘉義市教育網路中心
2017/6/19如何面對行動化的數位時代經濟部加工出口區管理處經濟部加工出口區管理處
2017/6/1從駭客思維看物聯網應用系統安全國立臺灣海洋大學資訊工程學系國立臺灣海洋大學資訊工程學系
2017/5/24全球化的行動APP檢測標準嘉南藥理大學Small Cell 2017 產學合作論壇
2017/5/22進行跨領域的資安研究國立中正大學資訊工程學系國立中正大學資訊工程學系
2017/5/16智慧校園與行動應用安全國立中山大學圖書資訊中心國立中山大學圖書資訊中心
2017/5/12創新科技下的雲端服務安全國立臺北大學國立臺北大學
2017/5/11資安攻防平台實戰課程陸軍軍官學校陸軍軍官學校
2017/5/9融合雲時代的資訊安全台北科技大學億光大樓感恩廳(ISC)2 SecureTaipei 2017
2017/5/4駭客思維與手法分析慈濟大學電算中心慈濟大學電算中心
2017/5/3資安教育訓練慈濟大學電算中心慈濟大學電算中心
2017/4/11行動應用與資料保護中華電視公司中華電視公司
2017/3/24深入不可不知道的駭客世界台北威斯汀六福皇宮台灣資訊安全高峰論壇
2017/3/23面對雲端世代下的資訊安全威脅雲林地方法院雲林地方法院
2017/3/22雲端資安攻防平台實務國立高雄第一科技大學國立高雄第一科技大學
2017/3/20數位鑑識與網路封包分析國立雲林科技大學資訊工程學系國立雲林科技大學資訊工程學系
2017/3/10駭客任務:DDoS全面啟動中華電信學院中華電信學院

媒體報導-106年府會資安週

Published by Yi-Lang Tsai under , on 12/12/2017 12:45:00 上午

從 Formula 1 賽事看資訊安全關鍵技術

Published by Yi-Lang Tsai under , , on 10/06/2017 11:40:00 下午
談到「資訊安全」為何?總讓人摸不著邊際,這幾年來也慢慢的變成了顯學,從國內的高手出國比賽得獎,到國內如雨後春筍般的啟動的資安計畫,也許只代表著一件事,現在如果不瞭解資安,有可能就像沒跟上連續劇一樣,會跟朋友沒有共同的話題,不過同一場劇不同的人在看,彼此的解讀是相當不同的,有的人覺得競賽是很重要的,但有的人會覺得對企業一點幫助都沒有,有的人會覺得一堆的資安人才培育,到底是否能夠產出所謂的人才,這些其實都是未知數,從南到北,從學校到企業,許多的資安社群不斷的辦活動,吸引有志一同者共同參與,也許資安議題能夠持久不衰,不過也有可能被 AI 等新的議題所取代,未來如何發展呢?都是充滿著變數。

不過有資源投入,才會有機會開花結果,這也許會是比較共同的觀點;如果要以更容易理解的方式來談資訊安全,我想 Formula 1 賽車應該會是一個不錯的比喻,前些日子特別撥空前往新加坡,主要有兩個目的,一個是拜訪許久未見的朋友,聊聊近況,也聊聊未來,另一個就是利用一天的時間,參加今年在新加坡已經舉辦10年的F1賽事,也挑選了最後一天的決賽,特別到場體驗一下傳說中的 Formula 1,為何能夠讓人還沒進入會場,就感受到血脈噴張,就像現在的社會只要聽到跟資安有關係的,就會讓人豎起耳朵聽聽到底是什麼資安的事件或是問題,媒體在報導上只要夠大的資安事件,一樣都會被熱烈的討論個三、五天。

不過真實的網路世界,因為有太多的想像與可能,還沒發展到最後,總是可以充滿著變化,就像 F1 賽事一樣,當還沒完成賽程衝過終點線之前,什麼事都可能發生,就像今年發生在新加坡賽事的事件一樣,真的讓人跌破眼鏡,所有的專家預測,一時之間全成為空談。


每年在各地舉辦的賽事,都吸引了許多的粉絲與愛好者參加,除了享受賽車高速奔馳而過的引擎聲浪之外,也有著豐富的視覺享受,看到一輛輛賽車高速的從眼前而過,充滿無比的刺激,就像投入資安的領域中,不斷的發掘新的威脅以及找到防禦的方式一樣,就像在賽道中,每個轉彎、每次的加速都必須考量之後所需要進行的應變,基本上就跟處理資安事件一樣的,是在跟時間賽跑,一刻都不得閒。


決賽的當天,就像典型的新加坡氣候,只有雨天與晴天之別,面對隨時可能改變的氣候,必須要有萬全的準備,競賽可不會因為外在的因素而有所延遲,資安領域也是如此,當我們將服務的主機或是網站上線後,面對的就是不可知的網路世界,雖然都會建置各種各樣的防禦機制,也會依據可能發生的問題即早因應,但天總有不測風雲,這一秒鐘是大晴天,轉眼間一朵烏雲飄來,就可能下起傾盆大雨,駭客的攻擊在網路的世界是沒有邊界的,隨時可能面臨未來的攻擊。


當天候等外在的因素發生變化時,就如同資安的防禦可能因為新的資訊架構或是新的應用服務所帶來的衝擊而所改變,每個人都必須做為準備,以迎接可能隨之而來的挑戰,賽場上不同的角色各司所職,執行所負責的工作以及確保成果能夠符合預期,在賽事開始之前,場地中的引導人員,一貫進入賽道,為即將到來的賽事進行準備,資安的規劃也是如何,必須精確的針對組織或是所保護的範圍,進行妥善的規劃,並依據提供的服務與需求,設計符合的資安政策以及建置適當的防禦機制,以確保所實施的手法能夠發揮預期的成效,而事前的預測與規劃,卻往往是許多人所忽略的。



因為天氣一下子由晴天變成了雨天,賽車上的輪胎當然得馬上進行更換,以符合當下的環境,為了確保最佳的表現,甚至輪胎還得保溫,以求上場時的最佳狀況,減少暖胎的時間,資安的問題就如同氣候的轉變,可能因為作業系統或是應用軟體出現的漏洞,甚至是零時差的弱點,這些對於在線上服務的網路服務而言,都是需要立即進行應變的挑戰,除了掌握新的風險所帶來的影響之外,從資安管理的層面來看,也必須因為新型態的攻擊威脅,立即進行資安政策的調整,透過符合現況的防禦規則,建立一道能夠發揮作用的資安長城。


每輛賽車上場前,都需要許多工程師各司所職的進行檢查與調整,以確保上戰場時能夠發揮效用,資安設備五花八門,從典型的防火牆、入侵偵測系統、郵件閘道到近來因為新興威脅所發展的情資分析以及APT偵測的解決方式,希望透過每個裝置能夠發揮所長,進行全方位的防禦。



在 F1 決賽登場前,先來一場保時捷的房車賽,因為大多是同款式的車型,考驗的就是對於房車本身的性能調整以及車手的技術,一台好車還得配上一個能夠掌握狀況的駕駛,資安設備的維護也是如此,許多人在採購了資安的設備之後,就以為使用「預設值」就能夠確保資訊的安全,但是別忘了「預設值」只是通則,原廠所提供的參數,必須進行調校才能夠符合建置的環境需求,就像賽車必須配合不同的天候、路況以及車手個人的駕駛習慣,甚至融合了車手個人擅長的技巧等,都能夠讓結果大不相同。



大型的活動在步調的設計上,總是有焦點也會有陪襯的角色,在房車賽之後接著登場的是古董車的活動,每輛車上都有安排一些名人或是演員,可惜我沒認識幾個,只能在旁看熱鬧,看著旁邊的人熱烈的揮手。


正式上場前的氣氛,總是令人充滿著一種既期待又怕受傷害的心情,從整個車隊的人忙裏忙外就不難發現,事前的準備工作再如何的完整,總是得不斷的想想是否有未檢查到的,因為外在天候的改變,所有的應變方式是否到位了,一而再,再而三的進行確認再確認,資安防禦的準備,正是如此,當企業買了一大堆的資安設備以及導入了許許多多的資安解決方案,不外乎希望這些準備,可以降低所遭受到的資安危害,每個人都在準備,但是絕沒有人說個準,到底這些事前的準備工作,是否真正的能夠發揮作用。



「賽道開放參觀」可以讓我們更容易近距離的觀察這些賽車,以及不同的車隊間進行的維護作業,一切都只期待著即將準行的賽事,能夠精彩可期,有時候為了更瞭解企業的資安狀況,往往可以利用「弱點掃瞄」以及「滲透測試」的手法進行檢測,以瞭解真實的資安風險;此時在場邊車隊維護區的準備工作,卻仍然未停歇,企業內的資安團隊就像是確保車隊能夠順利上場的技術人員,當面對外在資安威脅的改變,必須能夠儘快的進行應變,以及決定如何設計資安的偵測規則,才能阻擋外來的威脅。



主角依序上場,工作人員陸續將賽車推至定位,而目前的序位則是由前幾場的計時賽而來,成績最好的就排在最前面,每輛 F1 賽車車上的感測器相當得多,每個關鍵的元件都負責收集即時的資訊,然後送回管理平台進行分析,真的是大數據分析的最佳實踐,管理平台就像是資安的SIEM平台一樣,負責收集來自不同的資安設備或是系統的日誌,並且從其中找可能影響企業營運的證據,反觀一輛賽車上所部署的元件何其多,但是仔細一想,這個是否正是目前熱門的「物聯網」應用之一呢?也正是大數據分析最佳的應用案例。



最後的準備階段,正是考核作業流程的最佳案子,透過不同的工作人員手上的查檢表,必須在起跑前的有限時間,快速的進行最後一次的確認,如果一有不符合的項目,必須立即的進行矯正,並且必須是有效的措施,將發現的問題排除,否則勢必影響後續的賽事;資訊安全管理系統ISMS的精神正是如此,在國內許多的企業都已經導入了ISO 27001資訊安全管理系統,透過稽核員針對企業進行查檢,利用所發現的資訊進行資安風險的評估,以確定所實施的管理制度是有效的,以確保企業持續營運,一旦在稽核的過程發現不符合的事項,就必須進行矯正與預防的措施,避免因為存在的風險而影響資訊安全的管理。



持續的改善,就如果PCDA的流程一樣,必須一再的確認所進行的處理流程的順暢,以及處理的流程能夠達到預期的效果,並且不斷利用檢查的程序,發現可能之前沒有發現的問題,並加以改善。



員工是企業最重要的資產,因為只有員工才能夠讓企業持續的營運,因此對於企業的營運管理而言,如何讓人才發揮最大的效益,創造一個雙贏的成果,是許多企業不斷追求的目標,只是這樣的企業畢竟少之又少,目前的看到的現場都是存在勞方與資方的對立,行政部門與研發部門的格格不入,企業無法留住人心,就開始設計一大堆的管理辦法,希望能夠讓管理更能掌握,殊不知這是反其道而行的作法;賽場上正是真實企業的縮寫,賽車就像企業一樣,許多人為它付出心力,共同推動著前進,以取得領先的地位。



複雜的環境,考驗的是團隊的默契,團隊的領導人必須清楚的知道是否已經準備好,能夠隨時的派上用場,將平時所累積的能量,在最關鍵的時候爆發出來,取得領先的地位;資安的發展正是一個複雜的環境,可能需要同時熟悉作業系統、應用軟體、網路架構、數位鑑識等等不同領域知識,這絕非一個人可以做到的,而是需要靠一整個團隊才能夠完成,在資安界最不缺的就是「英雄主義」,沒有人能夠掌握所有的知識與技能,一個團隊才是共同前進的能量。


天有不測風雲,外在環境可能隨時所有改變,一下子大雨來了,必須選擇是否啟動應變的機制,此時不同的車隊的選擇就有所不同,有的開始動用工作人員開始架設遮雨棚,以利賽前的檢測工作能夠繼續進行,有的就選擇不理會它,繼續後續的工作,而應變的時間就有差異了,這都取決於是否能夠果斷的做下決定,就像資安風險一樣,當發生的資安事件時,在嚴重的等級上是有差異的,是否要啟動業務持續營運的應變計畫,就有賴管理階層進行決策,有的快,有的慢,有的觀望,有的果斷。


實施的方案各有巧妙不同,重點是否能夠有效,或是多久的時間可以達成目標與滿足需求,當我們選擇進行資安的防禦時,不同的選擇不代表好與不好,關鍵在於有限資源的前提下,並且能夠滿足需求的最佳選項為何,這點卻是重要的事。


持續不斷的營運,對於 F1 賽前的準備,或是企業的營運而言,都是最關鍵的事,時間不會因為某人或某事而停止,只是我們需要在不同的時間點做下最好的決定。


現場人山人海,都在觀察著每個車隊,每輛賽車的準備工作,不同的車隊所使用的方法不盡相同,在於不同的方式,都有其一套運作的理論。


觀看 F1 賽車,最令人關注的場景,除了賽道上的刺激外,另外在維修區的超快速換輪胎,更是令人期待的畫面,不過能夠達到高手級的水準,看來需要經常的練習與精細的分工。


終於準備上場了,起跑前的一刻吸引了所有人的焦點,看著賽道上準備起跑的 F1 賽車,一場精彩的賽事即可展開,一時之間所有過往辛苦的成果,都將在這一刻展現,不斷的進行事前的準備,為的就是不希望發生個萬一。


今年的 F1 決賽,第一圈的暖身之後,正式開始不到幾秒鐘的時間,就發生了嚴重的擦撞與追撞,一下子就撞掉了前三名最有希望奪冠的選手,真的是大爆冷門,現場不時的驚嘆聲此起彼落,大家都在討論的,正是剛剛到底發生了什麼事,一下子風雨變色;資安的威脅與挑戰正是如此,絕對不存在百分百安全的系統與環境,駭客的攻擊來自於技術的演進以及天時地利,剛好發現了什麼,就可能造成了嚴重的影響,從國內幾個大型的資安事件來看,不管是政府單位、金融界或是高科技產業也好,萬全的準備只能確保當事件發生時,能夠快速的應變,絕不是投入了一大堆的資安資源,就能夠保證不會發生資安事件。


當出事的車隊暗淡的回到維修區時,粉絲們仍然不捨的持續在旁,繼續的給予支持與鼓勵;每個企業都可能成為資安事件的受駭者,當我們有能力提供協助時,適時的伸出援手是相當重要的,就像平時處理學術網路上的資安事件一樣,儘量的提供更多的證據,以協助處理事件的第一線老師或是技術人員,能夠更容易的找到關鍵的問題所在。


每場賽事總有幾家歡樂幾家愁,不過別忘了給贏家喝彩,也給輸家鼓勵,在目前人際關係逐漸被社群網路所取代的時代中,這點尤其重要,只要有心人,經過經驗的累積,菜鳥也是有變成高手的一天。


此行剛好是新加坡 F1 夜間賽車的第10週年,除了完善的場地規劃之外,尤其對於賽道週遭的交通管制,雖然對於在附近生活或是上班族造成了不少的影響,例如:汽車在賽事期間,沒有事先申請就不能夠進入管制區,但是仍然無法降低這場賽事的熱烈程度。


F1 賽車是一場分工細緻的組合,從車隊的管理、大數據的分析到決策的下達,都必須考量到人、事、時、地、物的相關環境,一場突然而來的大雨,更是考驗賽車手以及支援團隊的能力,長年從事資安相關的工作,一路隨著資訊科技的發展,就必須面對不同程度的資安問題,經營一個團隊,能夠成功發展出資安的平台,或是提供有用的資安技術給有需要的人,這點比個人的成就更有價值,透過平台的服務提供或是資安教育訓練,都能夠在不同的地方種下資安的種子,總有一天,能夠有人在資安的森林中成長,有人問我為什麼走「資安」這條路,其實說穿了,就是「興趣」兩字而已。

相關報導與網站:
Formula 1



築一個資安的夢

Published by Yi-Lang Tsai under , , , , , , on 4/29/2017 04:08:00 下午
最近從收到 Email 之後幾經考慮,同時也給了自己一個星期時間,好好想想是否要再承接下這個未來需要承擔的角色,也問問自己到底有沒有時間,把這件事做好,雖然是說給自己一個星期,不過這段時間也是在忙碌中度過,每天有許多的會議需要參加,計畫的工作進度討論,跟團隊成員的資安技術研討等等,畢竟目前的工作環境有許多的計畫,也正如火如荼的正在推動,希望能夠發展一些實務上用得著的平台,在最後一天花了些時間,在從北部回台南的高鐵上做了決定,看著飛馳中的嘉南平原,問了自己這個問題:「從投入資安領域的第一天起,到目前我還剩下多少的熱情?能夠不計付出的付出與投入呢?」,正因為對資訊安全領或的熱情,接下了 OWASP Taiwan Chapter ,這是我負責第四個的國際資安組織,卻也是另一個責任的開始。

回想起來,在這將近十年的期間,除了在工作上的需求,也藉由透過國際資安組織的聯繫與合作,加速建立了許多的成果,其中當然大部份的功勞,要歸功於現在帶領的資安團隊能夠一起努力的投入,能夠有共同的目標,可以一同發展與建置這些系統,不論是大尺度誘捕網路的建置、惡意程式知識庫、雲端安全認證的導入以及雲端資安攻防平台等,透過這些資安技術的發展,希望可以在國內扮演著研發平台的角色,能夠應用在許多資安領域的工作上。

成立這些組織,除了TWCSIRT之外,其餘的就都屬於資安社群性質的組織,與現在服務的單位是沒有關聯的,因此能夠取得資源其實是有限的,每年辦理的會議都需要靠各界的支持,還有資安界朋友、產業界、學研界以及政府單位的協助,讓每年的活動可以辦理越來越好。

在這個時間點,自己也回顧一路走來的心路歷程,供有興趣的朋友參考,也許可以找到能夠交流與合作的契機。

2008年台灣分會成立,The Honeynet Project是第一個接觸的國際資安研究組織,從1999年成立至今已算是歷史相當悠久的全球性的資安非營利組織,每年一次的聚會,也是參與的研究人員最期待的,可以面對面的討論資安技術,分享看到的網路安全威脅,或是發展的趨勢,2008年的時候,因為工作上的需求,開始投入時間研究誘捕系統(Honeypot),也接觸到了Honeynet Project這個組織,當時有許多的工具發佈,也實際應用來部署在學術網路上,偵測網路上的攻擊,幾乎試遍所有當時已經發佈的工具,最後也衍生了利用誘捕系統的技術,部署了大尺度的誘捕網路,成為目前資安營運團隊重要的資訊來源,每天收集到的日誌,利用分析平台能夠讓維運中心發掘出許多異常的活動,並配合事件的通報,讓這些異常活動能夠受到重視,並進一步的針對這些有問題的系統進行處置。


2012年台灣分會成立,Cloud Security Alliance 因應雲端服務時代的來臨,在2009年的RSA USA會議中,正式成立一個以雲端服務供應商等相關產業的聯盟,亦為全球性的非營利組織,初期就有Google、Amazon、Microsoft等國際大廠的支持,因為在當時並沒有太多與雲端服務相關的標準可以依循,許多人並不瞭解雲所帶來的真正意涵,因此 CSA 發展了超過20個以上的研究工作小組,從不同的雲端議題,邀集產業界、研究單位以及政府機關共同參考,共同思考如何建立全球性一致標準,以影響的整體雲端產業的發展,在雲端服務開始蓬勃發展之後帶來的最大問題,當然就屬資訊安全最受到關注。在此前提下與國內幾位產業界的朋友,共同籌組了「台灣雲端安全聯盟」,並且在內政部立案,成為正式的協會組織,除了推動雲端安全聯盟的相關業務之外,也與國內其它幾個主要的協會,共同提昇資通訊技術在資安上的發展。



2015年成為FIRST正式會員,TWCSIRT (Taiwan Computer Security Incident Response Team)是在目前服務的單位,正式加入全球最大資安社群 FIRST (Forum of Incident Response and Security Teams),這個組織由全球各國的 CERT (Computer Emergency Response Team)以及企業的 CSIRT (Computer Security Incident Response Team)共同組織,主要是針對資訊安全事件進行通報與應變,另外也對於網路上發掘的資安威脅進行預警通報,希望透過聯防的力量,共同降低資安事件與攻擊威脅對於國家或是企業所帶來的影響,因為目前服務的單位,主要以學研網路為主,而學研網大多數的網路安全政策是偏寬鬆的,因此也經常有許多的資訊安全事件來自於校園網路,因為資訊安全維運中心(SOC, Security Operation Center)的維運,能夠掌握到相當多的資安事件與威脅情資,透過資訊的掌握加上通報與應變,或是進行情資的分析,都能夠確保所保護的資通訊系統,或是網路上的服務,能夠降低資安的風險。



2017年台灣分會重新啟動,OWASP (Open Web Application Security Project) 成立於2001年,以研究與發佈關於網站應用程式安全為主體,同樣屬於全球性的非營利組織,經常被人所提及的,就是每隔一段期間會發佈的 Top 10(前十大)資安威脅,這些也成為許多程式開發者會用來檢測的項目,至少確保所開發出來的應用程式,不能夠出現所列的十大威脅,也降低發生大規模資安風險的機率,也是一個歷史相當悠久的國際資安社群,由近年來啟動的幾個研究計畫,也可以發現不再只局限於網站應用程式安全的議題,也開始涉入行動應用程式安全等相關的領域,而這些擴展開來的研究領域,能夠更全面的涵蓋目前因為新興資訊科技的出現,可能帶來新的資安問題。


從小到大歷經許多的不順利與挫折,也曾經有過人生的低潮,熟識的朋友就知道我一路走來的成長歷程,是相當不一樣的,在忙碌之餘,也經常提醒自己,認真的看待自己的人生,而且認真的過每一天,上天是很公平的,至少在給每一個人的時間上,一天都是24小時,可以消極的工作,過一天算一天,職場上也經常可以發現,許多人因為習慣工作的型態,再加上願意再付出的時間,隨著年紀的增長,已不再保持剛投入職場時的熱忱,對於一些新的事物,基本上就是排斥的心態,工作一段時間,還能夠維持當時剛進入目前工作崗位時的心態,比例上是逐漸下降的。

資安的領域與其它的技術領域,個人覺得最大的不同,在於資安領域技術的發展速度,比起其它的資訊科技的領域而言,是快上許多的,同樣的系統可能每隔一段時間,就會因為系統的設計、程式的開發或是人員管理上的問題,而造成了資安上的威脅,包括系統可能遭到入侵、服務可能遭受到攻擊或是平台上的資料可能遭到竊取,這些不同的資安問題,可能都存在一個相同的系統或是平台上,而駭客攻擊的手法翻新速度,往往比資訊科技成熟的速度來得快,資安的研究人員必須追著資訊科技的發展,才有辦法跟上腳步,而資安技能的養成,又往往來自己對真實事件的經驗,在沒有發生嚴重的問題之外,許多人往往並不會覺得這樣的事件會發生。

在這個世界上,很多事都是從「選擇」開始,我們選擇就讀的學校與科系、選擇從事的工作、選擇希望進入的公司、選擇另一半、選擇住的地方,不過對於「未來」這件事情上,倒是沒有太多的「選擇權」,因為明天的成就,來自於今天當下的努力與投入,願意花時間的地方,也就是容易有成就的地方,也因為這樣的一個起心動念,我選擇了承接下這些國際組織在台灣發展的角色,希望可以做為資安領域的推手,也算是一個對自己的期許,運用這些組織與社群也結識了許多的朋友,這樣的收獲卻是更大的。

商業驅動下的資訊安全 (Business Driven Security)

Published by Yi-Lang Tsai under , , , on 4/09/2017 05:35:00 下午
資訊安全在最近這幾年可稱得上是發展迅速的領域,不過資安領域並不是一個新的領域,打從有資訊科技的發展,就存在著資訊安全的問題,個人擁有的第一台電腦是八位元電腦,還靠著磁帶、磁碟片做為儲存媒體的世代,當時對於資安的需求,真的只有希望資料不要遺失,因為這些儲存媒體可能會受到許多外來的因素,如果受損就無法救回了,相較於當下對於資料儲存的方式,真的是相當的原始,不過卻是當時最好的方案,所以重要的資料,往往需要放在整理盒甚至是防潮箱中。

今年最大的資安會議-RSA USA 2017一樣在美國舊金山的 Moscone Center 舉行,接連著幾年參加下來,發現隨著資安議題越來越熱門,會議的規模每年都是不斷的成長,從與會人數到參展的廠商,每年都創新高,也證明了越來越多資安的議題受到重視,而且也驅動著資安產業的發展;近幾年來雲端服務盛行以及物聯網的發展,讓傳統的資訊服務型態發生了轉變,越來越多的企業開始將許多的網站導入虛擬化的架構,新創的服務更是大量的往雲端服務平台邁進,一夕之間雲端成了資訊科技的顯學,在產業的解決方案中,從虛擬化的技術、服務備援的架構、公有/私有/混合雲的服務方式,都引領著企業開始將傳統的資訊系統轉換成雲端服務的平台。

每年 RSA USA 的會議主題都會隨著當年度的趨勢來擬定,從 2016年的「Connect to Protect」到今年的「Business Driven Security」就不難看出未來資安產業的發展趨勢,已經從去年的建立資安防禦的邊界,到今年需要進一步的由商業的角度來思考資安的防禦,早期的資安防禦大多以「自以為是」的建置方式,例如:覺得需要有網路的存取控制,就來買台防火牆(Firewall),需要偵測一下網路上的異常通訊,就建置個入侵偵測系統(IDS, Intrusion Detection System),如果需要立即阻擋的話,就昇級成入侵防禦系統(IPS, Intrusion Prevention System),再來覺得需要對網站服務進行應用層次的偵測防禦,就來建置個網站應用程式的防火牆(WAF, Web Application Firewall),耽心電子郵件夾帶釣魚郵件、惡意程式、惡意連結等的威脅,就來建置個電子郵件閘道,就連這幾年來熱門的APT攻擊,在資安產業中都有發展出相關的解決方案。

圖.攝於RSA 2017

在商業需求為導向中所發展出來的資安防禦,改變了傳統「先入為主」的觀念,這個也是個人常常與朋友分享的,資安的威脅與攻擊的技術,發展的速度大多數都比資安的防禦機制來得快,且能夠針對現有的資安防禦機制進行「繞道」的攻擊,利用資安管理上的弱點或是技術建置上的失誤,就成為攻擊者最有用的管道,每年的 RSA 年會,都有相當多的主軸,這些分軌的議程,主要以當時最需要解決或是熱門的議題為主,這也就是為何每年都有這麼多人與會的原因。

在許多的企業當中,也許因為近幾年資安事件頻傳,大大小小的資安事件在媒體的廣為報導之下,讓許多的人開始意識到資安的重要,因為資安越來越重要,尤其在第一銀行的事件之後,開始投入許多的資源,其中也包括資安人員上的需求等,都希望把「資安」做好,不過資安技術的特性與其它的資訊技術最大不同在於,資安技術的生命週期遠短於一般的資訊技術,而且大多是在所有服務都是正常的時候,就需要解決與面對可能會發生的資安問題。


圖.攝於RSA 2017

最近這幾年興起的打Wargame的資安學習模式,透過CTF的競賽活動,不斷的強化本身對於資安問題的分析能力,雖然企業還是覺得找不到資安的人才,不過應該可以從兩個面向來看這個問題,在不同的商業營運需求下,對於資安的需求原本就不相同,第一個面向是精通弱點的分析,第二個面向是企業營運需要的資安技術,前者主要是由資安分析的角度來看待系統或是應用服務的安全,大多數的競賽環境,都是由舉辦單位刻意設計出來的,供做為競賽的題目;後者主要的資安技術,在於需要能夠保護企業的資通訊系統或是網路應用服務平台,也因此從不同的角度來看,出現了不同的聲音,會有這樣的認知上的落差,也許可以從今年的會議主軸 Business Deriven Security 來解答,不過對於基礎資安人才進行廣泛的深耕培育,不論未來發展成那個資安領域的高階人才都是有幫助的。

今年的 RSA USA 會議中,由 SANS 辦理了 NETWARS 的競賽活動,許多與會人員也都來試試自己的解題能力,題型涵蓋的面向滿廣泛的,而且由舉辦單位 SANS 屬於高階資安的培訓組織來看,希望參與的人員能夠解開的題目,也分成了不同的難易度。

圖.攝於RSA 2017

關鍵設施所使用的資通訊系統平台安全,涵蓋了 SCADA (Supervisory Control And Data Acquisition) 以及 ICT (Information and Communication Technology),近來幾年也成為重要的資安重點防禦的目標,主要在於許多的 SCADA 系統都開始進行數位化,包括了資料收集與處理的方式,以及通訊的架構也開始採用乙太網路,而今年的議題的規劃還特別安排了 IoT and SCADA: Lessons Learned and Case Studies 的主題,現場的議程都以物聯網與 SCADA 安全議題有關,並且在 IoT Village 準備了一些設備供與會人員進行弱點測試。

圖.攝於RSA 2017

當自動化科技與智慧工廠結合時,不論自動化控制,或是虛實整合系統 (CPS, Cyber Physics System),當連上網路之後,對於資訊安全的要求,就涵蓋了整個系統的運作環境,當未來智慧家庭與智慧城市結合之外,一個融合雲端服務(Converged Cloud)的世代即將來臨。

圖.攝於RSA 2017

今年的參展廠商數再次突破了歷年的紀錄,邁向了500家的門檻,除了國際級的資安大廠,一些國內常見的資安品牌,也有一些國內少見的資安產品,甚至是新創的公司,面對不同的世代或是對象,就形成了各式各樣的資安解決方案,如果想要在展場中找到適合本身需求的產品,建議最好能夠事先做好功課,才能夠有效的找到適合的產品。

圖.攝於RSA 2017

分散式阻斷服務(DDoS, Distributed Denial-of-Service)的攻擊對於國內許多企業而言成為最大的資安威脅之一,對於受到攻擊的目標,往往能夠在短暫時間內造成影響,尤其以DDoS的攻擊而言,需要更進一步評估資安產品的有效性,包括了偵測的機制、應變的機制以及該產品的全球化支援能力,區域聯防的機制,對於DDoS的攻擊威脅而言,更是評估的重點項目。

圖.攝於RSA 2017

在國內大力推動資安產業的同時,在國際的資安盛會中,有能力與勇氣參展的廠商卻寥寥可數,而且都還是單打獨鬥的方式,其實應該可以參考一些國家的作法,由政府單位出面整合,德國政府的作法就相當值得政府單位參考,而不是單純的喊喊口號,不過有鑑於目前國際政府局勢,也許藉助於全球性的資安組織,例如:CSA, Cloud Security Alliance、也是一條可行的作法。

圖.攝於RSA 2017

「資料」、「資訊」、「情資」,可以簡單的視為取得有用情資的三部曲,近年來開始興起的資安情資交換,不同的廠商都推出了資安威脅、預警分析的平台,可見有用的資安情報,對於企業營運的重要性,在有限的資源之下,如果能夠取得重要的資安情報,可以快速的建立資安防禦的邊界,不過這樣的平台在國內卻比較少見,因此傳統的資安防護機制建置,都以硬體的思維來看待資安的情資,不過在雲端時代大量使用虛擬化的技術,新興的營運平台不斷的出現,就不再能夠以傳統的防禦觀念來看待新的雲端時代。

圖.攝於RSA 2017

能夠入選到前十名的 Innovation Sandbox 團隊,都是全球在資安領域創新應用相當凸出的團隊,有著與以往不同的創意,改善現有的資訊服務或是創造一個全新的服務型態,利用參賽的過程,除了可以獲得實質的鼓勵之外,最重要的是可能會被其它的新創投資人(VC, Venture Capital) 看上,而加速產品化或是整合到產業中的契機,因此每個團隊無不卯足全力,希望可以脫穎而出,其中亦不乏還在學的學生或是研究人員,這點在國內大量的推動「亞洲∙矽谷計畫」的同時,如果還是沉浸在以往科學園區成功經驗之中,只重視基礎的設施建置,卻忽略了人才的參與,並且給予新創事業需要的環境支持,如果連同在亞太區的新加坡都無法相比,亞洲矽谷就只是一句不切實際的口號了。

圖.攝於 RSA 2017

智能化的時代已逐漸來臨,未來商業的型態將會進入下一個世代,目前人工智慧應用於機器人或是智能機械的領域越來越廣泛,許多的金融或是百貨服務業,都開始導入自動化的服務型機器人,希望能夠提供給客戶更專業或是直接的服務,利用語言、表情、手勢等人類的溝通方式,來提供更多樣化與專業的服務,跟 Pepper 互動了一下,不知道是否因為放在美國的關係,只能用英語跟他(她)互動,最近剛好看到商業週刊介紹無人經濟大國-新加坡一文,未來的世界,在我們的生活週遭應該得跟機器人共同生活的時代,已經越來越近了。

圖.攝於美國舊金山

未來的與生活相關的商業服務型態,將會影響著資訊安全的發展,包括了未來的趨勢以及需要面對的問題,尤其在目前網路化程度越來越普及的時代,每個人的資料分散在網路上的許多地方,演算法決定了我們能夠掌握的資訊,大家所熟悉的社群網路,改變了傳統資訊傳播的模式,也改變了大家對於資訊安全的定義,創新商業營運模式下的資訊安全,將讓我們面對更多樣化的挑戰。

參考資料:
RSA Conference https://www.rsaconference.com/