全新一週

假新聞、網軍攻擊隨時都在發生!美國更是將「網路戰」定義為陸海空、太空之外第五種新的作戰形式。但,網路戰爭到底是什麼?要怎麼樣才算打贏?

由世界級白帽駭客組成團隊的台灣資安新創戴夫寇爾(DEVCORE),採取「攻擊型」策略為客戶找出資安漏洞,更兩度在美國黑帽大會(Black Hat USA)中,奪下有資安界奧斯卡獎之稱的「Pwnie Awards」。

本集「全新一週」,便邀請到戴夫寇爾執行長翁浩正,為我們深度解答網路戰爭背後不為人知的祕密。

網路戰何時開打?我們早已身在其中!

烏俄戰爭開打至今,「網路戰」成了大家相當關注的議題之一。面對此種新型態戰爭,翁浩正卻直言,網路戰其實「每天都在打」,各種駭客組織與國家力量都在嘗試攻擊,期望竊取機密、得到情資。而網路戰跟傳統戰爭不同之處在於,可以長久潛伏、不須實體兵力、成本較低、效率較高,能讓組織更輕鬆地蒐集情報或進行操弄。

那麼,在網路戰爭之中,究竟怎樣算贏、怎樣算輸?又要碰上怎樣的事件,才會被稱為災難等級呢?想要解答這個問題,就要先從「網軍」了解起。翁浩正解釋道,這裡所說的網軍,跟我們印象中的政黨打手可不一樣,要被稱為網軍,就需要具有真正的網路作戰能力,必須要懂攻擊、會防禦

其實,各國都有在地下化培訓網軍,比如美國於 2019 年成立網路司令部、中國於 2013 年成立解放軍 61398 部隊、台灣也在 2017 年成立資通電軍指揮部。之所以需要國家力量,是因為網路威脅越來越多,如果沒有資源編制,便會很難抵禦入侵行為。台灣地理戰略位置特殊,周邊國家時刻都在蒐集情報,尤其在選舉期間,更是動作頻頻,在此時發動的假訊息戰爭,便是很難防禦的部分。

隨著加密貨幣盛行,黑色產業賺錢的方式變得更加多元且便利,也使得犯罪更加猖獗;而相較小規模駭客團隊勒索公司,國家間的資安戰爭,更常是由大規模組織長時間潛伏,收集情報資料乃至戰略規劃。

TO 推薦閱讀:直擊台灣工程師一手包辦的自駕車!100% MIT 的自駕車,真的最懂台灣路況嗎?──專訪工研院機械所數位長王傑智  

從設計開始納入資安,是投資而非成本

在今年烏俄戰爭正式開打前,便曾發生烏克蘭電場設施遭俄方攻擊的事件。試想,俄方若可以做到中斷電力,那是否也可以進行加壓,讓當地發生更嚴重的意外?翁浩正分析,電廠這類的傳統建設,在資安監控或防禦機制方面通常沒有 IT 環境來得健全,一旦被入侵,後果將非常嚴重。

而隨著全世界工廠智慧化、供應鏈透明化、資料雲端化,資安扮演的角色也越來越重要。翁浩正以智慧車為例,手機解鎖車輛聽起來很方便,但若遭遇攻擊,也會更加危險,若駭客讓車輛加速或鎖上,便會對生命造成威脅。

面對各式各樣的資安挑戰,翁浩正強調應將資安納入考量,而不是出事後再來修補,因為若邏輯本身就錯了,那怎麼補都沒完沒了。所以,建立資安防護意識要從設計開始,這便是「基於安全的設計」(Security by Design)。

翁浩正進一步強調,人們對於資安的看法需漸漸轉換,不應再把資安當成多餘的成本,而是將之視為投資,因為做好資安,其實是能為產品加值,並做出差異化的關鍵。而想要真正安全,還是得找資安專家,因為一般程式撰寫者不知道駭客怎麼做攻擊,或是廠商為了搶時效推出各式物聯網產品,卻未考量資安問題,一旦設計下去,就難以回頭了。

TO 推薦閱讀:元宇宙「動態資料」將顛覆智慧醫療產業,陳良基:是重要發展機會!  

資安即國安!台灣到底缺不缺資安人才?

說到搶時效,不得不聊聊台灣針對新冠疫情的疾管措施,如果仔細深究,會發現很多個資都是公開的,似乎缺少了資安概念。對此,翁浩正表示,方便性和安全性其實是互斥的,這也顯示出政府所面臨的資安挑戰比私人更加嚴峻,在處理重大議題時,更需要納入多方經驗進行綜合考量。

以美國為例,國土安全部便在去年成立了「聯合網路防禦協作組」(JCDC),結合政府和民營部門,制定共同的防禦計畫,來防範惡意網路活動。那麼,台灣也能借鏡這樣的方式嗎?

翁浩正認為,民間企業的確較有彈性,也較有餘裕研發新的技術並從事相關研究,若能透過相關會議提供政府建議,相信將能提升效率。

不過,現在小到企業大到政府,通通都需要資安人才,台灣的人才到底夠不夠?翁浩正笑說絕對不夠。雖然現在已有許多課程,政府與學校也在培育人才,但資安若只是看書學,其實非常困難,實務演練才是累積經驗的最佳方法。

另一方面,比起資安,開發領域的拉力更強,也很容易搶走資安人才;未來,若要培育資安人才,還需要企業與政府率先重視資安,才能環環相扣,引領資安產業蓬勃發展。

訂閱《全新一週》Podcast ,幫你做好全新一週工作準備
>> 訂閱 Apple Podcast
>> 訂閱 Spotify 
支持我們策劃更多好內容,別忘了留下5 星評分!

(本文開放合作夥伴轉載,首圖來源:科技報橘)