編按:近年,供應鏈資安風險不斷增加,且社交工程攻擊越演越烈。加上 2022 年底,像 ChatGPT 這樣的 AI 工具走入了大眾眼簾,但也成為一把雙刃劍,已有駭客利用 ChatGPT 來自動撰寫網路釣魚郵件。2023 年,企業應當如何制定相關策略?
戴夫寇爾(DEVCORE)執行長翁浩正 Allen Own 在接受《TechOrange》 Podcast 節目〈全新一週〉專訪時指出,除了將資安意識融入到企業體制內,還必須隨著外界的變化,不斷學習資安新知,讓自己變得更強大。
翁浩正在節目中談論:
1. 2023 年資安重點趨勢
2. 企業如何因應「供應鏈資安風險」與「社交工程攻擊」
3. 台灣資安優勢
以下為節目專訪逐字稿。
《全新一週》主持人戴季全(以下簡稱「戴」)
戴:哈囉!各位聽眾朋友大家好,我是戴季全,歡迎回到全新一週。
我們今天邀請到的特別來賓是大家熟悉的好朋友,也是我們資安圈的一把手,我們今天邀請到的是 DEVCORE 的 Allen,就是戴夫寇爾執行長翁浩正,Allen 你好!
戴夫寇爾(DEVCORE)執行長翁浩正 Allen Own(以下簡稱「翁」)
翁:大家好,季全好,各位聽眾朋友大家好,我是 DEVCORE 的執行長 Allen。
戴:首先我要先恭喜 Allen 跟 DEVCORE,就是 DEVCORE 現在其實滿十周歲了對不對?
翁:是,沒錯。
戴:好,這是第一個要恭喜 DEVCORE 跟 Allen,第二個是 DEVCORE 不久之前就拿下了全球白帽駭客的第二座冠軍,這個比賽叫做 Pwn2Own。
翁:是,Pwn2Own 競賽。
戴:那 Allen 是不是可以跟大家介紹一下 Pwn2Own 競賽,我知道是一個很有趣的比賽,是不是可以跟聽眾朋友介紹一下,這個比賽的形式,以及為什麼這比賽這麼受全球白帽駭客推崇?
翁:其實 Pwn2Own 競賽算是資安研究人員的一個最高殿堂,原因是因為,它是由 ZDI 這間公司所舉辦,那它現在已經變趨勢(科技)的一部分了。
那這比賽的有趣點是,它每年會公開一系列的目標,例如說是手機、物聯網的設備裝置,甚至說可能有些更大型的,像是電動車等等,都會是目標之內。
它裡面會定義說,如果──因為它是個比賽──如果說有團隊拿下成績還不錯,像是我如果有挖到漏洞然後控制它的話,那我可以把這個設備拿走。
那它也會有一個總積分,它會定義說誰是 Master of Pwn,就是說誰才是駭客大師的這種名譽,所以說資安研究人員都在想說,我是不是可以去在這個時間之內,挖掘到越多漏洞,去展現我們團隊的能量。
戴:所以 Pwn2Own 那個「Own」的源起是不是說,我只要駭進去那台,那台就是我的?
翁:對,我只要能夠拿下它了、我真的能夠控制它,那我就可以把它帶走(帶回家)。
戴:所以它如果是一台,可能比賽中都出現過,這比賽中有出現過特斯拉汽車。
翁:有,有出現過車子。
戴:所以只要能夠攻下那台車,那台車就可以帶回家;(攻下)手機,手機就可以帶回家;(攻下)筆電,筆電就可以帶回家。
翁:沒錯。
戴夫寇爾(DEVCORE)執行長翁浩正 Allen Own 與《全新一週》主持人戴季全
資安已走入「VUCA 時代」,必須隨著外在環境,變得更強大!
戴:好,再次恭喜 DEVCORE 拿下台灣史上第二座冠軍。
現在 2023 年其實才剛開始沒多久,但其實我們看新聞還有大家日常生活,都非常強烈地不管是詐騙,還是工廠被勒索,或不管是晶片商還是代工製造廠被惡意勒索、惡意攻擊,這個新聞不管是檯面上、檯面下都聽到這樣的事件。
我想要先幫全新一週的聽眾朋友請教 Allen,如果你要為 2023 年選一個資安重點的關鍵字,你覺得台灣的企業主以及資安長們,應該要知道,或者是根據這個關鍵字來規劃和執行什麼樣的一個重點?這個關鍵字會是什麼?
翁:我覺得我要給出一個很不一樣的答案了,我覺得我們不需要更多關鍵字,因為其實每年大家都知道資安很重要,資安的議題一直出現,那每年一直在談新的東西,所以我覺得所有的企業、所有的民眾,對於資安已經沒有人覺得它不重要,但是大家反而是疲於奔命:今天有一個新的東西出來,我是不是要學習它?學習它會怎麼做、學習它要怎麼樣去做防禦。甚至說當我做完 A 之後,B 又跑出來了、C 在後面等著我,所以我永遠不知道究竟要做到什麼境界才夠。所以我覺得我們不需要更多關鍵字,我們要的是了解現在的情況是什麼。
我覺得有一個軍事的用詞還不錯,分享給各位,我覺得現在這個時代,我只能用混亂來形容,因為攻擊超級多,而且這攻擊的層級不光是民眾會被駭,整個到國家、網軍,都有攻擊行為,所以說軍事用詞有一個字叫「VUCA」,我覺得很能夠體現資安情況。
通常它是在講管理學,例如說現在這時代它是有易變性、不確定性、複雜性、模糊性,今天攻擊的手法不斷變化,包含說攻擊者的技術不斷演進,再加上我們使用的技術,用來建構系統的技術或框架也不斷地在改變,所以一直在變。
再來是不確定性,我不知道到底敵人在哪邊,他什麼時候會攻擊、用什麼樣的手法、攻擊哪一些目標,這是完全不知道的。再加上攻擊的手法相當複雜,它可能是要串連 A、B、C 三種漏洞才可以達到攻擊的行為,那所以對防禦來說是更加複雜、困難的,這整個是敵暗我明,再加上資訊的不對稱,所以說整個對於防禦者來說是很模糊的。
那怎麼樣去因應 VUCA 這個世代呢?我覺得重點在於說,我們要開放心態,譬如說我今天知道外界不斷變化,那這個變化大家可能會覺得很心慌、很不安,但我們應該要開放它,我們只要知道說我們持續地學習,其實就可以去因應這樣的攻擊行為,就好像我們在疫情的時代,我們今天知道可能在兩、三年前,害怕說我們在外面就會染疫、生病等等,但我們現在知道說,其實它就是一個過程。
今天外面有各種疾病,我知道我只要把我身體的健康、體質改好,那其實我就可以因應外界的變化,進而達到我的強化,所以我覺得心態面是比任何關鍵字來得更重要,那當然現在很多人在談資安心態要做內化,例如說我們今天要把資安融入到企業文化裡面,甚至有人說叫資安的 DNA,但我也呼籲說其實我們在講內化的同時呢,外化也很重要。
我們今天在學習的時候,我們今天在把一些資安的概念融入到我們的體制裡面,但同時外界也不斷在變化,所以我們要把資安作為在不斷學習當中,我們也要融入外面的變化,來讓我們變得更強大,所以這是我覺得現代大家在做資安應該要注意的事情。
戴:好,我稍微做個小結,也就是說其實這幾年下來,你提出來的建議,從 2023 年開始,其實已經不是什麼資安要去重點防禦的範疇了。
其實反而 V、U、C、A 這四個字縮寫的軍事用語,反而是說我們面對資訊安全的威脅,我們要有正確的態度,這個態度包含開放的態度,要知道說這個威脅有各種不確定性、各種不對稱,然後手法層出不窮,所以心態上面我們就不是頭痛醫頭、腳痛醫腳,而是要先有個開放的態度,知道說資訊安全的威脅可能從四面八方而來,可能會一直不停地推陳出新,所以我們要持續學習,除了內化之外,還要向外了解現況是什麼,有什麼新的可能性或新的事件正在發生,這才是個正確的態度跟心態。
翁:沒錯,完全就是這樣子。
「人」是資安最大的缺口!將每個員工的權限最小化,成為核心觀念
戴:好,我把討論的軸線拉到兩個,聚焦到兩個比較實務面:就是根據 KPMG 2022 年的「台灣企業資安曝險調查報告」,它指出其實社群網路攻擊是最容易被忽略的,包含企業的員工,他們在社群媒體上的大量使用,曝露出來的社交工具攻擊風險,已經變成最重要的問題。
員工、工作者可能不經意地就在社群上,留下電子商務郵件,或者是變成駭客攻擊的啟動點,那當然這後面,前後左右非常多,包含電商、旅遊等等,眾多產業中其實以金融業情況最嚴重,因為詐騙說穿了其實就是要騙錢。
就變成說金融相關產業,它最常透過社群媒體去發布這些新的訊息,那用戶因為對社群媒體的依賴,很容易輕忽社群媒體這個環節。你怎麼看現在社群媒體網路攻擊,以及社交工程攻擊的樣態?
翁:我喜歡在談一個現象的時候,從它源頭開始談起。為什麼說社群媒體/網路攻擊跟社交工程的攻擊會這麼多?原因是因為人是最大的資安缺口,其實在做任何駭客攻擊的時候,當然有些團隊會選擇去進攻網站,但是在國外更多的是,它是不是可以利用人的缺陷來去詐騙、欺騙他?
舉例來說,與其我去花數個月去研發一個世界頂級的漏洞去攻擊某一個系統,不如我花幾個小時,寫一個文情並茂、可信度很高的詐騙信,去把員工的帳號詐騙走?
所以說人是最大的缺口,也因為這樣子,任何社群平台,或只要跟人有多互動的媒介都會被利用來攻擊。
我們也發現到說,假設我們來談攻擊的形式,像是 Cellopoint 全球反垃圾郵件中心它有一個統計說,全球前三大的社交工程形式當中,最常見的是帳號密碼的更新郵件,舉例來說,它會發一個詐騙信給用戶說,你的帳號、密碼要更新,那用戶可能就會沒注意到,他可能就點了,點了之後就會導向一個惡意網站,輸入原本的帳號、密碼而被騙走;這也是我們很常都會收到的。
再來像我們在 Facebook 上面會看到有假的貼文,或者說有人會假冒成朋友去傳訊息,這其實也很多。
比較新一點的像是,最近身邊很多朋友都會收到 Telegram,裡面會有朋友發訊息來說,叫我們截圖,說你的帳號變兩個了,你可以截圖給我看嗎?截圖時他就想辦法登我的帳號,那就會有個六位數驗證碼,只要把圖片給他,他就會拿到我的驗證碼去登入,用這樣的方式去騙取我的帳號;像這樣的形式最近非常多。非常多朋友因為這樣而被騙、而受害,這就反映到我們剛剛提到的社群網站、通訊軟體,這種跟人有關的其實是很常被攻擊的。
那怎麼樣去因應像這樣的威脅?其實我們都常聽到說資安的意識、資安的概念很重要,我們要認知到說這種社群網站、通訊軟體是有危險的,把防備心拉高、用這樣的認知去抵禦:我們會不會被詐騙?
當然企業方面它管得要更多,所以我們通常都會宣導說企業內部要有一些流程,當我們收到哪樣類型的郵件時,會注意它的寄件者,或利用郵件平台內建功能去判斷它是否為詐騙信件、垃圾信件,因而我們就有一些對應的檢查措施,這是我覺得企業都應該要做的。
核心概念是縮小攻擊面,所謂攻擊面是攻擊者,像駭客組織或網軍,他們可以介入去做攻擊的面積,面積越小,它攻擊的成功率就越低、花的成本就越高,所以只要把每個員工的權限最小化,使每個員工只能存取必要文件的話,就算他真的被騙了,他損失的文件也不會那麼多。我覺得這是一個很重要的概念。
戴:之前我們在全新一週有訪問到另外一位來賓,他其實也說資安範疇慢慢地限縮在兩個領域:一個是技術領域、一個是騙術領域,所以剛剛你講的很高度共鳴,你講的資安最大缺口其實不一定是手機、不一定是筆電,其實就是人。你知道光 Telegram 要我截圖給他看的,我在這兩個月大概就收到 4 個。
翁:真的很多。
戴:這個是屬於人的部分,那 KPMG 另外一項報告也指出,其實在這樣一個大的趨勢浪潮上,除了像你講的社交工程以人為核心,就是說技術一直推陳出新,但傳統上我們所謂的金光黨,就是說透過人性或人的弱點去進行騙術,好像本質上都沒有太大的變化。
所以的確你剛剛也提出一個很務實的做法或原則,就是縮小被攻擊的面,也包含了企業給員工的權限應該要越小越好,不是說要小到他不能工作,而是給予他工作上面合宜、必要的權限就好。
降低「供應鏈資安風險」這樣做:層層防禦、盤查再盤查
戴:那另外一個更大的範疇是,現在全球的製造業或供應鏈,都在快速的數位轉型,或甚至智慧轉型;根據 KPMG 的另外一項報告指出,企業在 2023 年應該更加關注供應鏈攻擊,也就是關注供應鏈的安全、上下游的安全。那我想請問 Allen,從你的經驗角度來看,供應鏈目前主要的安全挑戰可能包含哪一些?
翁:供應鏈目前我們常看到的是惡意程式、惡意軟體,透過供應鏈去感染,我們假設以攻擊方的觀點來看好了:今天要進攻一個企業,當那個企業價值很高,它資安能力一定是比較強的,那我們勢必用人的角度去做攻擊,那如果還不行的話,就去尋找它的上下游,供應鏈廠商只要有一個存在重大資安風險的話,其實就可以感染回我們主要想攻擊的企業。也有一些數據顯示,近兩年最嚴重的勒索軟體當中,有七成是透過供應鏈的弱點去達到攻擊、勒索的效果,所以這也代表說供應鏈的安全挑戰非常高。
我們也發現說攻擊時會通過技術手段,舉例來說我們有很多企業為求開發快速,可能會導入所謂的 DevOps,透過一些大量部署的功能來去加速開發,這類型的機制如果被濫用的話,也變成說我們可以讓惡意程式被大量部署,就讓攻擊變得更便利、更快速。
除了植入惡意程式之外,攻擊重點還有竊取系統裡面的帳號、密碼,或者說竊取原始碼,原始碼在日後可以做分析,分析原始碼當中有哪些地方有弱點,藉以研發出更嚴密的攻擊程式去達成攻擊效果。
那剛剛講了這麼多技術面,我覺得在管理面更困難的是,企業方它無法去確認整個供應鏈上下游廠商是否安全,所以我們看到很多企業會做廠商管理措施,舉例來說,我的上下游廠商可能要通過某些資安標準,或者配合我們去做稽核,或者通過一些資安的驗證跟檢測,才可以成為我們的供應鏈廠商,我覺得這都是企業之後越來越大的供應鏈議題。
戴:如果今天我們的聽眾朋友是在供應鏈其中的一環,比較積極的作法其實是搭配剛剛講的開放心態,一直去學習跟了解現在有哪些新的攻擊與潛在威脅,而更積極的作法其實是說,讓自己能夠及早地去因應跟準備可能會有的資安攻擊,那這個做法就包含資安流程上的驗證,或者是一些攻防的訓練,就是在自己的供應鏈上下游,能夠在自己的客戶要求之前就先做好相應的準備。
翁:我可以給一些簡單的方針:我們的核心概念是,攻擊可能會出現在任何地方,所以企業應該要去想說,如果攻擊會發生的話,我們有哪些事情可以先做。
像最近有一個很熱門的關鍵字叫 Zero Trust,今天如果一切都以威脅最大化為出發的話,那我們應該要用最嚴謹的方式來看待信任,所以說資安防禦時要做多層次架構。
舉例來說,假設今天要從公司外面進攻到公司最裡面的核心主機時,它要經過一層又一層的保護,就是我們傳統所談的縱深防禦。縱深當中現在有很多新措施,例如我們剛剛談到人相關的議題的話,要防止帳號被竊取,我們要使用的像是多因子認證,今天輸入完帳號密碼之後,還需要一個手機驗證碼,才可以成功登入我們的帳號。或者說像現在更新的是無密碼機制,透過一些生物的辨識來去直接登入我的帳號,這樣就不會有密碼遭竊取的問題。
流程面之外還有一些更實務面,我們剛剛提到供應鏈上面很多企業被大量攻擊,那也有很多軟硬體存在漏洞,而企業方不知道。所以軟體的盤點是很必要的,像是說我們企業裡面有用哪些硬體、什麼樣的廠牌;有用哪些軟體,是什麼軟體、什麼版本、什麼時候更新的,官方有沒有出新的更新?我們安排什麼時候去進行?這個都需要盤點,這個很難靠單一軟硬體去達成,都要靠人的機制來去做。
那以企業的方向來看,如何去管理供應商?我們剛才大概有提到一點,我覺得要先了解我們的供應商是誰,像我們在做投資的時候也會看說這個公司是否值得被投資,它的背景、老闆是誰、股東的組成等等。一樣,我們在看供應商時,它過去所開發的軟硬體是否是安全的?過去怎麼樣應對資安事件?還有就是以供應來說,我們也可以讓它權限最小化,使供應商只能存取必要的網路、主機,也給它最小的權限,而且企業方有權對供應商做稽核,就可以讓供應商跟企業本身採取一樣等級的資安,這樣才能有效保護整個企業。
戴:所以借用你剛剛的概念,像投資會去做 due diligence 查核,今天如果我們要讓自己的資安供應鏈更安全,除了讓自己有這樣的意識之外,我們對我們的供應商也可以有個資安 DD 的概念,去看他們在資安上面理解到什麼程度,回過頭來內部就是硬體、軟體、人員,大概分這三個層面來做盤點跟檢查。
翁:沒錯。
「紅隊演練」就像健康檢查,找出企業弱點,再強化資安免疫系統
戴:好,當然最近因為 ChatGPT 讓 AI 再度成為大家的目光焦點。
翁:超級熱門。
戴:現在甚至已經有駭客利用 ChatGPT 來自動撰寫釣魚郵件,我覺得駭客真的很厲害,當然有很多報告說現在詐騙已經開始 as a service 了,也就是現在連寫詐騙釣魚郵件都懶得寫、叫 AI 去寫,反正對他來說都是 trial and error 嘛,因為對他來說他還是有成本,他要降低這個成本。
但是我很好奇,隨著 AI 新技術的應用爆發,那當然厲害的駭客攻擊一定是跟著這些新技術,越多越新的東西、用戶就越不熟悉;用戶越不熟悉的東西,可以操作的空間就越大。
那其實你們 DEVCORE 也經常呼籲企業要用攻擊者的視角來制定、安排風險,或者受衝擊的優先次序,不過如我們要讓員工具備這種駭客思維,坦白說不是一件容易的事情。
從你們和企業、政府合作的經驗裡面,你會建議企業如何去深化這種,能夠從攻擊方或駭客思維的資安策略?
延伸閱讀:【企業如何打贏AI 資安大戰】ChatGPT 成駭客最愛!NVIDIA 安全長給解方
翁:背後的原因是攻擊方跟防禦方思維差異非常大,不僅是存在資訊的不對稱,也有思維的差異。所以我們這些年不斷談的都是駭客思維。什麼是駭客思維?我們可以換位思考一下,如果說今天各位聽眾你們是駭客、駭客組織、網軍,你們要攻擊成功會做哪些事情?反過來看,那就是我們企業防禦該做的事情,所以這個核心概念是用攻擊方、用駭客方來去思考我們整個防禦該怎麼做。
實際上來看,企業可以盤點一下,今天我們有哪些主機、核心系統或交易的主機、存在個資的主機,它應該是駭客最喜歡、最想要攻擊的,那哪些主機、哪些機制、哪些帳號可以連線到這些系統?反過來看就會是,這些系統要怎麼樣去被保護。
更進一步的是,有沒有機會我們扮演駭客/攻擊者/網軍,實際地攻擊一次,那這就是我們不斷在說的叫「紅隊演練」,不斷地去演練、直接去做攻擊,我們就會知道說我們整個防禦的環節、機制、流程、人員是否都有照我們的規劃去做好防禦。這樣的一個演練會是最真實,也可以讓企業最明白知道,我們整個優先順序該怎麼樣去做排列,也會有效化解資訊不對稱。
還有一個議題蠻重要的是,企業其實資安措施很多,我們可能要買防毒軟體、軟硬體、防火牆等等都有可能,但我們無法知道這些機制它是否是有效的;所以防禦措施的有效性也可以透過攻擊的行為、攻擊的演練來去驗證,進而調整資安預算,有些效果比較差的,可以挪到效果比較好的資安措施上面,對於企業資安長來說是非常有效的。
火熱的生成式 AI 為我們帶來新資安威脅!你的個人裝置將變成駭客的遊樂場
你真的不怕自己手機上的瀏覽行為被公開嗎? 《TO》特別企劃「別讓你的生活成為駭客的遊樂場」內容,陪你捍衛自己的隱私 >> 搶先閱讀
台灣資安社群量能驚人!台灣資安知識如何形成正循環?
戴:你剛剛在講的時候,我想到一部周星馳很有名的電影,他在裡面講說貪官奸、清官要更奸,意思就是駭客思維或攻擊者的視角,也就是說你不要做壞事,但你要知道攻擊你的人他是怎麼想的、他想要從哪邊去攻入;我覺得大家也可以做個參考。那另外我要從一個比較大的範圍來跟你請教、討論。
台灣不管是因為政治地緣關係,還是因為台灣本身就是個科技島,是一個很大的……不管是晶片、很多製造商、高科技廠商等等,台灣要去強健我們整個國家的資安體質。當然我們政府也有說資安即國安,也要推出資安的國家隊,就是資安應該要在地產業化。其實資安最核心的就是人跟社群,就是說不管是人才的培育,或人才社群可以透過長期的互動跟累積的經驗分享,來去讓資安的整體能力往上提升。那你看其他國家的做法,你覺得有哪些國家,比如新加坡或韓國,他們有沒有哪些做法是值得台灣人學習的?
翁:剛剛提到社群,我覺得台灣有一個很棒的特色其實就是社群。過去台灣有舉辦蠻多資安研討會,像台灣駭客年會 HITCON,這些研討會我們在過去疫情還沒有起來的時候,每年都會有很多國外參展者來參加,他們很訝異這些活動主辦方幾乎都是上百人的志工來去主辦的,而且資安的社群或社團都非常活絡,也因為這樣,台灣資安人才就會從社群裡面開始萌芽,我覺得這是台灣一個蠻好的優勢:我們有更高的社群感。
當然我們也有很多需要學習的,像我們知道新加坡在資安上投入非常多,2021 年底時以 OT 為重點修訂、調整國家級資安戰略,因為他們知道關鍵基礎設施一定是網軍等級的駭客,主要攻擊的目標。
戴:他們真的是軍隊。
翁:對,既然說這些會是駭客目標的話,那是不是應該以國家的等級,全國由上而下直接去把整個 OT 相關做好,這就有點像是台灣,我們會喊資安就是國安,如果整個國家很重視資安的話,那其實資安才有機會做得好。
那像美國也是資安大國,白宮有強調說資安不是由單一個機構或部門來負責的;它應該是需要民間跟企業一起合作,才有機會做好,像我們剛剛提到供應鏈的安全,其實整個國家有很多東西並不是政府全權來去做的,一定也會去委託給廠商,因此廠商它整個供應鏈也會影響到國安,所以在 2022 年時他們發表國家網路安全聲明,有說關鍵基礎設施都是由民間企業經營的,所以說企業要加快腳步來去提升資安防禦。
像近期我們在講很多資安案例的時候,我們也看到說美國有油管事件,這就可以證明說,其實網軍在做攻擊的時候,有機會影響到整個國家安全,所以說更應該要以整個國家的高度來去呼籲說,政府、民間企業、人民應該要怎麼樣去做安全。
我覺得美國白宮有提一點非常好:他直接提議、建議廠商在做產品設計的時候就要考慮到資安,那這是我們不斷提的叫作 security by design;如果說在初期就有規劃資安的話,在後面就不會說我們要去用補強的方式,用補強的方式一定比較辛苦、效果比較差。所以這些都是我們需要不斷學習的,我覺得台灣有在路上。
像剛剛我們提到的像台灣的社群、資安人才產生非常多,但需求更多,那在需求不斷增加的情況之下,我覺得整個資安市場有大幅成長,台灣企業資安意識有提升,同時我們也因為整個供應鏈安全,像之前就有個半導體的資安標準,這就因應到說,我們希望能制定一些整個產業可以應用的資安標準,來去保護整個產業的安全。也是因為這些需求的出發,我們需要從攻擊者的角度來去看說,攻擊者會做怎樣的攻擊、我們要怎麼建立應對措施,才可以保護整個產業,這就是我們看到台灣未來的走向。
我們公司不斷地在做紅隊演練、攻擊演練,那我們認為紅隊跟藍隊的合作也是未來重點,我們不會說只是做攻擊,然後打完就跑,而是說我們的攻擊是幫助企業去訓練藍隊、訓練他們的防禦團隊,讓他們了解攻擊方的思維跟手法,才可以讓藍隊變得更強,未來 10 年我們看到台灣這種紅藍合作一定會是更多的。
戴:Ok,也就是說從你剛剛舉的新加坡、美國政府例子,他們在整個國家層級的案例,我覺得第一個 takeaway 是:資安不是單一部會的事情。你剛剛在講的時候,我想一想覺得,也對,因為當我們越來越多電動車、智慧車的時候,其實資安就跟交通安全越來越畫上等號。
如果說從 OT、從基礎建設、從營運的科技去入侵和攻擊,智慧醫療或只要能冠上智慧的產業或垂直事業,都會有資安威脅。當用戶覺得越方便,或者數位價值越高的時候,它潛在資安風險就會越高。
另外一個 takeaway 是說,它不管是服務或產品設計,甚至公共事業、基礎建設的布建,都要在設計的時候就先考慮到資安防護意識跟做法。像我前陣子就有聽說一個案例,攝影機被駭客入侵後,就找資安團隊來看可以怎麼改,後來發現不能改,因為它的帳密是寫死在晶片裡面的,所以在設計的時候並沒有像你剛剛講的,其實從人的角度來講,常常去更換帳密,就是維護個人資安很好的,雖看似簡單卻成本很低的作法。
所以大家不要懶惰,你要有這個思維,你要去想駭客他會從人的角度來去詐取你的帳密,是最簡單的漏洞,從人去拿到漏洞是最容易的去找出這個漏洞,其實就是看出或找出你的帳密。跟你今天這整集談下來,我覺得邏輯上的連貫性非常強,也非常清楚。
翁:我覺得有一點更核心的概念,大家可以聽聽看。我們一直深信,這其實不單單是資安,我們只要相信一件事情會發生,那這就是最好的防禦。我們今天相信風險會發生、駭客攻擊會越來越多,自然這個意識會在我所有做的事情上面,我們在設定密碼的時候,我就想到說密碼太簡單,可能會被攻擊;或者說我用了以前用過的密碼,可能已經外洩過,我是不是應該要用新的密碼?
有人會說這有點像是被害妄想症,但我覺得並不會只是這樣子,因為我只要知道它會發生,我就自然會有個應對方法,意識提高後,自然整個措施、整個企業,甚至整個國家都會變得更安全。
戴:Allen 你剛剛講這個概念,它其實是跟安全有關的所有事情都應該可以套用,不管是要用 ZTA 零信任架構來去描述,或者說用比較白話文的方式去講,我們假設會出事,那我們應該要做什麼?這個也跟我們的國防思維在概念上非常一致,就是說我們不是要追求戰爭,但我們要假設如果發生戰爭的時候,我們準備好了沒?看似有點矛盾,但邏輯是非常通透的,因為你有準備反而就越來越不會發生戰爭、你有準備反而能夠有效降低資安風險,而不是等到資安事件發生後,你再來頭痛醫頭、腳痛醫腳,那個代價會非常高。
翁:沒錯,就是這個樣子。
戴:那最後我想再跟你請教,你投入台灣資安領域其實非常早,而且台灣整個資安社群你也都貢獻非常多。我知道你們公司是不是在今年會舉辦 DEVCORE Conference,大概在三月時會舉辦?
翁:對,沒錯。
戴:可不可以跟我們聽眾朋友介紹一下,這個活動內容是什麼,什麼樣的人應該要來參加這場活動?
翁:我們最早是在 2019 年時舉辦第一次的 DEVCORE Conference,最初想法是……我們非常期待把我們在資安攻擊方的發現,分享給大家。因為我們一直認為說,越了解攻擊者,我們防禦就會做得越好。
我們看到台灣當然有很多資安研討會,有很多很頂尖的、最新的資安研究,但有沒有是最貼近真實的、真的會發生的攻擊手法、真的會發生的技術,我們想要在這個研討會把它講出來。
2019 年我們辦的那時候是第一次試辦,其實大概有 1000 多位報名,我覺得是非常踴躍。
我們在 2022 年是滿 10 周年,我們就在今年 3 月 10 號跟 11 號,我們舉辦兩場,一個是企業場、一個是駭客場。
3 月 10 號的企業場是完全免費的,大家只要填表單,我們審核後就可以讓大家來參加;我們談給企業聽的是,當企業要做防禦時,有哪些資安策略或該注意的事情,這個是給企業的資安管理層,或者是說資安防護人員來聽的一場。
那駭客場的話,基本上我們談的是技術,我們不會談太多策略面或企業方的事情,專注談說我們在這些年來,在紅隊攻擊技術上面有哪些新的發現。
舉例來說,企業有哪些最常見,可能包含內部網路的威脅,或者是說我們如何去入侵物聯網設備,例如智慧門鎖;如果今天門鎖被駭了,門會自動開,那這對於每個人來說都是重大議題。又或者說我們在才剛結束的 Pwn2Own 競賽,我們的研究團隊是怎麼樣做研究的,有哪些規劃跟發現、整個參賽的心路歷程,是怎樣獲得冠軍的?所以我們的駭客場,適合對資安技術有興趣的一些專家,讓他們來參加、來聽。所以我們分成這兩場,就是希望能分別滿足管理層跟技術團隊。
戴:所以第二天真的是給駭客?
翁:是,那當然我們也深信說知識跟技術是有價的,所以企業場免費、駭客場是會收費的,那也希望說這可以促成台灣知識價值的正循環,也期待未來我們都可以持續舉辦這樣的會議。
戴:好,我相信從社會上,或者政府、企業、個人,其實這些資安事件真的就像我們今天整集聊下來的,就是層出不窮、手法推陳出新,那相關的 DEVCORE Conference 細節資訊,我們會放在節目資訊欄裡面,也讓感興趣的聽眾朋友,可以直接在我們的資訊欄裡面看到細節。
⧫ 最讓駭客頭痛的資安防禦機制是什麼?推薦你參加「DEVCORE Conference 2023 – 3/10 企業場」:https://reurl.cc/OVqGW9
你喜歡這個內容嗎?收聽並關注〈全新一週〉,專屬決策者的 Podcast!從正在發生的變化中,找到未來線索,創造全新世界。
別錯過近期收聽率最高的節目:【專訪】把握監視器「去中化」浪潮!簡立峰:中美矛盾下的「資安需求」,將成台灣好產業
(責任編輯:游絨絨)
