網際網路發展至今，目前已進入零信任網路(Zero Trust Network)的時代，新興資訊科技打破典型的資安防禦架構，行動化與數位化的時代，讓資安的防禦更加困難，由台灣學研網路所部署的誘捕網路，到近年來政府積極建立的情資分享與分析架構(ISAC, Information Sharing and Analysis Center)，期待從資通訊技術(ICT, Information Communication Technology)走向維運技術(OT, Operation Technology)時，都能夠掌握資安的威脅，而網路上隨著不同應用類型的資料與資訊的交換，雲端服務平台的發展，到目前已進入萬物聯網的時代，除了典型的資安架構之外，因應資訊科技的發展，又增加了許多型態的服務，加上與行動裝置的整合，讓資訊安全的防禦機制，更難有一套通則，反而面對不同的企業或是服務平台，都必須採用服務導向的方式，進行資安風險的評估，以確定所建立的數位邊界，能夠有效的掌握進出這個數位邊界的通訊行程以及交換的資料。

圖：資料來源 Akamai

目前已進入一個由軟體定義安全邊界(SDP, Software Define Perimeter)的時代，不論雲端服務、物聯網應用到 AI 的應用，都需要考量到資安議題對於應用科技所帶來的影響，而其中最重要的都是應用軟體的開發安全，多數的程式開發人員在撰寫程式時，早期主要注重在程式功能面或是使用者界面的開發，在資訊安全的考量上較少，造成了應用程式在運作時一些資安的問題，OWASP(The Open Web Application Security Project)所發佈的The Ten Most Critical Web Application Security Risks，就不難看出許多網站應用程式所存在的重大風險，其中許多的風險，都能夠透過程式設計的改善，就能夠避免該風險的發生。

如何掌握網路上的異常通訊，或是發掘異常的通訊行為，然後再加以阻止或是減緩所造成的影響，以符合對於資訊安全防護的期待，這是一個值得思考的問題，典型的作法是透過網路封包的截取，然後再進行網路通訊的解析，以掌握網路上的通訊行為，不過當加密的流量成為常態時，原本的網頁的服務在2018年已有超過30%採用加密的通訊協定，如果以雲端服務而言，更高達70%的網路流量採用加密的通訊協定，依照此趨勢繼續發展，在2019年雲端服務採用加密通訊的比例，有機會一舉超過80%的門檻，這麼高比例的加密流量，除了原本確定應用程式的使用者可以擁有安全的通訊之外，另一個隱憂是同樣也有越來越多的惡意程式，採用加密的通訊流量進行資料的傳輸，以往可以用於網路上進行特徵比對或是過濾通訊內容的防護機制，當它面對這些被加密的通訊時，已經無法發揮預期的功能，甚至已無法對於這些隱藏在其中的惡意行為進行任何的阻絕，這將會企業營運上的隱憂；另一個需要正視的問題是雲端服務大量的出現，除了帶來便利性之外，也帶來新的資安風險，以大多數人經常使用的雲端儲存服務而言，企業對於營業秘密的保護尤其重視，這些都是攸關企業競爭力的重要因素。

進入AI的時代，多樣化的創新應用不斷的出現，當然在資訊安全的領域，也有人不禁會問，當人工智慧發揮到極致，人類是否將無法掌控這個世界，出現類似電影情節中來自於未來的魔鬼終結者，唯一的目標就是執行天網(Skynet)所賦予的任務，殺掉未來世界中挺生而出對抗天網的反抗軍，試圖改變歷史，這些情境從現在的觀點來看仍有些困難點，但我們不禁也擔心在資安防禦的領域，導入人工智慧是否能夠真正的防禦外來的攻擊，或是將人類視為最大的敵人呢？2019年初Yelp的神經網路除錯程式，將程式開發人員所安的程式全刪了，也刪除了資料庫中的資料，造成了網站營運的中斷；AI運算時代讓以往許多耗費時日才能夠解決的題目，因為資訊科技的發展，縮短了原本需要花費的時間，改善了原本分析的結果，加上數據分析的加值應用，也讓許多的領域在新興的議題上，能夠更往前邁進，這些都是需要整體環境的成熟，目前國網中心的台灣杉II更扮演著國內AI運算平台的重要角色，提供學研與產業界可以取得GPU運算以及AI研發所需要的環境。

物聯網路成為下一個世代的主角，目前已有越來越多的裝置透過網路的接取，成為網路世界中的一員，配合這些裝置上所開發的應用程式，建構起資料交換的機制，透過網路的連結，進行裝置與遠端(雲端)的資料交換管道，其中也衍生了許多的資安議題，包括了裝置本身的安全設計是否到位？應用程式的開發是否妥善的保護了使用者的機敏資訊，或是通訊的方式是否已經考慮了資料傳輸時的安全？遠端使用者的身份認證方式也挑戰進入系統時的第一道門檻是否強固？這些不同的議題再配合著各種不同型態的雲端服務，讓整個資安防禦的邊界更難以定義。

參考由雲端安全聯盟(CSA, Cloud Security Alliance)所發佈的SDP安全框架，目標以避免來自網路上的攻擊行為，包括了分散式阻斷服務攻擊(DDoS, Distribution Deny of Services)、中間人攻擊(Man-in-the-Middle)以及參考OWASP所發佈針對 伺服器服務查詢(Server Query)等相關的攻擊行為，安全架構涵蓋了三個主要的角色，分別為用戶端SDP Client、控制端SDP Controller以及閘道端SDP Gateway，其中將身份識別(Identity)以及公開金鑰基礎建設架構(PKI, Public Key Infrastructure)納入安全框架構之中，這些都是目前雲端平台在提供網路應用服務時可以參考的架構，不過面對目前複雜的服務架構而言，如何建構安全的服務機制仍會是一大挑戰，加上近幾年行動化與數位化的普及，智慧型行動裝置的普及，延伸了企業的服務終端，不再局限於特定的場合或是平台才能夠使用資訊平台所提供服務，反而因為網際網路的連結以及頻寬不斷的提昇，讓原本許多需要網路頻寬支持的應用服務，得以在目前的行動通訊世代中實現，對於原本的服務平台而言，更是不得不重視的使用者行為與使用型態的上的轉變，所帶來的影響與衝擊，不得不讓我們必須重新審視現有的資通訊架構，除了效能上的問題之外，在資安的議題上該如何看待。

企業對於營運而言，其重視的程度往往大於對於資安議題的重視程度，從過往層出不窮的資安事件就不難得知，從「服務營運」的角度看待「事件應變」，從典型企業的思維，當發生資安事件時，大家多數認識這些「資訊部門」的事，或是買套防毒軟體或是買台防火牆就可以搞定，其實以目前資安事件的種類而言，並不是如此的單純，在目前的時代中，「沒有人是局外人」正印證了企業面對資安事件發生時，應變的範圍多數與整個企業有關，每個員工都必須擔負著資安防護的責任，也必須有相關的認知，從資訊科技以及通訊科技，到產業獨有的維運科技，其中以維運科技的角度來看，經常被認定與企業的資通訊並不相關，不過在工業4.0以及智慧製造的潮流之後，典型的產業面臨的轉型的壓力，也需要利用大數據的分析，或是人工智彗的運算，找到最佳化的解決方案或是生產製造的參數，這些都必須仰賴前端的感知網路對於數據資料的收集，越完整，越真實的資料，將會更有機會在更短的時間內，找到預期的目標。

在「網路攻擊」與「企業防禦」兩個面向，後者的複雜程度遠高於前者，因為網路攻擊手法變化快速，而且透過網路的連結，就算遠在地球的另一端，只要攻擊者連上網際網路，就能夠輕易的對企業發動攻擊，對於攻擊目標進行資料的竊取或是阻擋服務，都讓企業在目前的時代中更難加以防範，尤其對於分散式的阻斷服務攻擊而言，更是攻擊來得快，去得也快，在遭受攻擊期間，這些對於服務的網路服務，輕易影響其營運的效能，重則可能直接遭到阻斷服務，而對於攻擊來源的追蹤更是不易，因此資安技術已不再局限於傳統的資安領域，駭客的攻擊手法更是如此，經常每半年或是更短的時間，都有新型的網路攻擊手法出現，對於負責企業資安防禦的人員而言，就必須能夠發覺阻絕或是偵測的方式，才能夠阻擋這些以前未發生過的攻擊手法，同時必須確保營運的範圍內不會因為受到網路攻擊，而影響到對於資料的保護或是服務平台本身的營運，這些目標對於企業而言多數是處於弱勢，採取初動的角色進行資安的防禦工作。

一個「零信任」網路的來臨，對於來自於遠端使用者，不論是雲端平台或是終端的使用者，融合了行動化、數位化以及虛擬化的世代，在目前的環境中更需要考慮各種不同的層次的資安問題，對於防禦而言更需要設計出多層次的資安防禦機制，保護企業重要的數位資產，同時也需要考量這些數位資產的生命週期，確保所投入的資源能夠最精準的應用在需要重點保護的標的物上，目前駭客有興趣的目標已經涵蓋許多以往資安防禦所忽略的，隨著新興資安科技的應用，除了帶來便利之餘，也將帶來新的資安問題，而目前許多的使用者對於資安的意識已大幅提升，在使用便利的行動通訊之餘，也需要留意可能對於使用者本身造成的資安風險。

參考資料。
Akamai Zero Trust Network Model 

【本文同步刊載於 中興大學法政學院-網路政治暨科技議題 歐亞論壇】

最近從收到 Email 之後幾經考慮，同時也給了自己一個星期時間，好好想想是否要再承接下這個未來需要承擔的角色，也問問自己到底有沒有時間，把這件事做好，雖然是說給自己一個星期，不過這段時間也是在忙碌中度過，每天有許多的會議需要參加，計畫的工作進度討論，跟團隊成員的資安技術研討等等，畢竟目前的工作環境有許多的計畫，也正如火如荼的正在推動，希望能夠發展一些實務上用得著的平台，在最後一天花了些時間，在從北部回台南的高鐵上做了決定，看著飛馳中的嘉南平原，問了自己這個問題：「從投入資安領域的第一天起，到目前我還剩下多少的熱情？能夠不計付出的付出與投入呢？」，正因為對資訊安全領或的熱情，接下了 OWASP Taiwan Chapter ，這是我負責第四個的國際資安組織，卻也是另一個責任的開始。

回想起來，在這將近十年的期間，除了在工作上的需求，也藉由透過國際資安組織的聯繫與合作，加速建立了許多的成果，其中當然大部份的功勞，要歸功於現在帶領的資安團隊能夠一起努力的投入，能夠有共同的目標，可以一同發展與建置這些系統，不論是大尺度誘捕網路的建置、惡意程式知識庫、雲端安全認證的導入以及雲端資安攻防平台等，透過這些資安技術的發展，希望可以在國內扮演著研發平台的角色，能夠應用在許多資安領域的工作上。

成立這些組織，除了TWCSIRT之外，其餘的就都屬於資安社群性質的組織，與現在服務的單位是沒有關聯的，因此能夠取得資源其實是有限的，每年辦理的會議都需要靠各界的支持，還有資安界朋友、產業界、學研界以及政府單位的協助，讓每年的活動可以辦理越來越好。

在這個時間點，自己也回顧一路走來的心路歷程，供有興趣的朋友參考，也許可以找到能夠交流與合作的契機。

2008年台灣分會成立，The Honeynet Project是第一個接觸的國際資安研究組織，從1999年成立至今已算是歷史相當悠久的全球性的資安非營利組織，每年一次的聚會，也是參與的研究人員最期待的，可以面對面的討論資安技術，分享看到的網路安全威脅，或是發展的趨勢，2008年的時候，因為工作上的需求，開始投入時間研究誘捕系統(Honeypot)，也接觸到了Honeynet Project這個組織，當時有許多的工具發佈，也實際應用來部署在學術網路上，偵測網路上的攻擊，幾乎試遍所有當時已經發佈的工具，最後也衍生了利用誘捕系統的技術，部署了大尺度的誘捕網路，成為目前資安營運團隊重要的資訊來源，每天收集到的日誌，利用分析平台能夠讓維運中心發掘出許多異常的活動，並配合事件的通報，讓這些異常活動能夠受到重視，並進一步的針對這些有問題的系統進行處置。

2012年台灣分會成立，Cloud Security Alliance 因應雲端服務時代的來臨，在2009年的RSA USA會議中，正式成立一個以雲端服務供應商等相關產業的聯盟，亦為全球性的非營利組織，初期就有Google、Amazon、Microsoft等國際大廠的支持，因為在當時並沒有太多與雲端服務相關的標準可以依循，許多人並不瞭解雲所帶來的真正意涵，因此 CSA 發展了超過20個以上的研究工作小組，從不同的雲端議題，邀集產業界、研究單位以及政府機關共同參考，共同思考如何建立全球性一致標準，以影響的整體雲端產業的發展，在雲端服務開始蓬勃發展之後帶來的最大問題，當然就屬資訊安全最受到關注。在此前提下與國內幾位產業界的朋友，共同籌組了「台灣雲端安全聯盟」，並且在內政部立案，成為正式的協會組織，除了推動雲端安全聯盟的相關業務之外，也與國內其它幾個主要的協會，共同提昇資通訊技術在資安上的發展。

2015年成為FIRST正式會員，TWCSIRT (Taiwan Computer Security Incident Response Team)是在目前服務的單位，正式加入全球最大資安社群 FIRST (Forum of Incident Response and Security Teams)，這個組織由全球各國的 CERT (Computer Emergency Response Team)以及企業的 CSIRT (Computer Security Incident Response Team)共同組織，主要是針對資訊安全事件進行通報與應變，另外也對於網路上發掘的資安威脅進行預警通報，希望透過聯防的力量，共同降低資安事件與攻擊威脅對於國家或是企業所帶來的影響，因為目前服務的單位，主要以學研網路為主，而學研網大多數的網路安全政策是偏寬鬆的，因此也經常有許多的資訊安全事件來自於校園網路，因為資訊安全維運中心(SOC, Security Operation Center)的維運，能夠掌握到相當多的資安事件與威脅情資，透過資訊的掌握加上通報與應變，或是進行情資的分析，都能夠確保所保護的資通訊系統，或是網路上的服務，能夠降低資安的風險。

2017年台灣分會重新啟動，OWASP (Open Web Application Security Project) 成立於2001年，以研究與發佈關於網站應用程式安全為主體，同樣屬於全球性的非營利組織，經常被人所提及的，就是每隔一段期間會發佈的 Top 10(前十大)資安威脅，這些也成為許多程式開發者會用來檢測的項目，至少確保所開發出來的應用程式，不能夠出現所列的十大威脅，也降低發生大規模資安風險的機率，也是一個歷史相當悠久的國際資安社群，由近年來啟動的幾個研究計畫，也可以發現不再只局限於網站應用程式安全的議題，也開始涉入行動應用程式安全等相關的領域，而這些擴展開來的研究領域，能夠更全面的涵蓋目前因為新興資訊科技的出現，可能帶來新的資安問題。

從小到大歷經許多的不順利與挫折，也曾經有過人生的低潮，熟識的朋友就知道我一路走來的成長歷程，是相當不一樣的，在忙碌之餘，也經常提醒自己，認真的看待自己的人生，而且認真的過每一天，上天是很公平的，至少在給每一個人的時間上，一天都是24小時，可以消極的工作，過一天算一天，職場上也經常可以發現，許多人因為習慣工作的型態，再加上願意再付出的時間，隨著年紀的增長，已不再保持剛投入職場時的熱忱，對於一些新的事物，基本上就是排斥的心態，工作一段時間，還能夠維持當時剛進入目前工作崗位時的心態，比例上是逐漸下降的。

資安的領域與其它的技術領域，個人覺得最大的不同，在於資安領域技術的發展速度，比起其它的資訊科技的領域而言，是快上許多的，同樣的系統可能每隔一段時間，就會因為系統的設計、程式的開發或是人員管理上的問題，而造成了資安上的威脅，包括系統可能遭到入侵、服務可能遭受到攻擊或是平台上的資料可能遭到竊取，這些不同的資安問題，可能都存在一個相同的系統或是平台上，而駭客攻擊的手法翻新速度，往往比資訊科技成熟的速度來得快，資安的研究人員必須追著資訊科技的發展，才有辦法跟上腳步，而資安技能的養成，又往往來自己對真實事件的經驗，在沒有發生嚴重的問題之外，許多人往往並不會覺得這樣的事件會發生。

在這個世界上，很多事都是從「選擇」開始，我們選擇就讀的學校與科系、選擇從事的工作、選擇希望進入的公司、選擇另一半、選擇住的地方，不過對於「未來」這件事情上，倒是沒有太多的「選擇權」，因為明天的成就，來自於今天當下的努力與投入，願意花時間的地方，也就是容易有成就的地方，也因為這樣的一個起心動念，我選擇了承接下這些國際組織在台灣發展的角色，希望可以做為資安領域的推手，也算是一個對自己的期許，運用這些組織與社群也結識了許多的朋友，這樣的收獲卻是更大的。