【2023 TechOrange 資安創新高峰會】IBM、BSI 以全球視野展望雙安時代,和奧義智慧科技、台灣駭客協會洞察最新 AI 資安攻防實況!

在 AI 時代不僅資料安全備受重視,AI 所造成的新機遇以及新安全挑戰又將如何影響企業佈局策略?TechOrange 科技報橘舉辦 2023 資安創新高峰會,下半場也邀請眾多國際講者、本土解決方案廠商,共同探討「雙安時代」的必要佈局與技術新趨勢。

在 AI 與資安之外,量子安全也是值得重視的關鍵

IBM 全球資深副總裁李淑貞(Dr. Shue-Jane L. Thompson)開場就特別強調「資安即國安」。在無國界的資安範疇中,威脅隨時隨地都可能來襲,尤其量子運算技術發展快速,若「Q Day」(意即量子計算機攻破現有密碼算法的那一天)真的到來,既有RSA 密碼系統會更被輕易破解。「資安不只是技術,也是一門藝術,攸關著企業的安全文化與意識,」李淑珍說。過去三年企業資料外洩成本已增長 15% 來到 445 萬美金,這個數字更加凸顯企業必須轉換安全意識,並在技術面、商業模式與流程、人才技能上都需要與時俱進轉型。在演講中,李淑貞也舉出 Honda 集團旗下 18 個單位同步界定資安與數據標準、做出資安轉型之例,說明「把資安做得好,企業的生意就可以更好!」

IBM 全球資深副總裁 Dr. Shue-Jane L. Thompson 強調「把資安做得好,企業的生意就可以更好!」並提醒企業必須轉換安全意識,並在技術面、商業模式與流程、人才技能上持續與時俱進轉型。

繪製企業風險鑑定地圖,確認資安目標與價值

資安的定義與商業價值不斷擴充,BSI 英國標準協會台灣分公司營運長謝君豪建議,企業應該擴充資安意識、建立數位信任,為品牌強化更多的消費者信任度以推展業務。針對數位轉型導入各種新興科技,謝君豪更建議企業必須在一開始就「做好必要風險鑑別與內控管理」,否則導入後就會面臨挑戰。因此,謝君豪認為需要以四階段方式繪製風險鑑定地圖,從策略、流程、技術與國際標準等四面向統整內部技術目標及制度,才能讓技術發揮應有價值,並強化企業數位韌性。

BSI 英國標準協會台灣分公司營運長謝君豪建議企業以四階段方式繪製風險鑑定地圖,從策略、流程、技術與國際標準等四面向統整內部技術目標及制度,才能讓技術發揮應有價值、強化企業數位韌性。

鑑別企業資安內部風控疆界,找出攻擊前的關鍵線索

在 AI 資安時代,企業必須明確鑑別外部威脅與內部風險的差異,並且精確測量內部風險控制疆界──這是投身資安產業多年的奧義智慧創辦人邱銘彰提出的建議。由於資安管理規模龐大,在企業資源有限的情況下,必須更有效率識別企業安全防線,特別是內部員工帳號權限與身份識別更要清楚盤查,以免成為資安漏洞。邱銘彰分享,透過機器學習技術模擬,便可以找出這些「Shahow Identity」的漏洞路線並即早防範風險。邱銘彰更提醒,每一次成功的攻擊事件前都會有一連串徵兆,以及許多可被攻擊的條件才會成為資安破口,因此必須讓企業以 Zero Trust 角度審視自身資安風險,才能有效降低資安威脅的發生。

奧義智慧創辦人邱銘彰強調,每次成功的攻擊事件前都會有一連串徵兆以及許多可被攻擊的條件,因此必須讓企業以 Zero Trust 角度審視自身資安風險,才能有效降低資安威脅發生。

當 AI 可以偷聽資料外洩的聲音,資安基礎建設該如何強化?

從最新資安研究可以發現,AI 已經進化到可以透過側錄鍵盤敲打的聲音破解密碼,甚至準確度高達 95%!除此之外,現在 AI 亦可進行「虛擬綁架」,意即從受害者的社群媒體上蒐集影片訓練 AI 模型,再利用深偽技術搭配文字轉語音軟體假冒被綁架者的聲音進行攻擊。當攻擊手法如此多變,哪些資安的基礎防護措施更應做足?HENNGE 銷售經理張譯心建議,企業需做好身份識別控管與 E-mail 資安,讓這兩大常見的安全破口能被有效防堵並降低資安威脅。另一方面,身份識別也是企業普遍的資安破口之一,像是員工不當存取檔案、身份帳密的無效管理,都經常被駭客當作攻擊跳板。在這樣的背景下,HENNGE 建議透過支援雲端,可串接 Microsoft 365、Google WorkPlace、Slack 等服務的 SSO 單一登入錄功能,能讓 IT 統一設定與管理員工帳密,並且可透過 MFA 多因素驗證、裝置憑證等方式來強化防禦程度。

HENNGE 銷售經理張譯心分享 HENNGE 擁有以支援雲端串接 Microsoft 365、Google WorkPlace、Slack 等系統的單一登錄功能,並可透過多因素驗證、裝置與地點識別來強化防禦程度。

阻擋無所不在的網路攻擊,設置企業安全網路邊界

該如何在 AI 時代保護網路資產與連線安全不被惡意活動影響?在這個網路存取場景更顯多元,公司的資料會遍佈於雲端、SaaS、企業內網,且人員與裝置也會機動轉換的時刻,Cloudflare Solution Engineer Brian Han 建議需要透過零信任的資安架構來保護網路與應用程式的安全邊界。透過 Cloudflare 在全球 300 多個城市、超過 13,000 個網路直連(Interconnection)包括各大公有雲,與大多數網際網路入口連線延遲低於 50 毫秒。同時,企業不論是要做到身份與設備的驗證、機敏資料傳遞偵測,甚至是提供專屬 IP 讓使用者可以賦予地理位置作為特定連線需求,皆可以透過 Cloudflare 的網路架構達成這些目標。

Cloudflare Solution Engineer Brian Han 分享企業可以透過 Cloudflare 在全球 310 多個城市、超過 13,000 個網路直連(Interconnection)包括各大公有雲,與大多數網際網路入口連線延遲低於 50 毫秒。

「以 AI 之矛攻 AI 之盾」的資安新時代即將來臨

「在未來只有兩種人,一種是懂得與 AI 協作的人,另外一種就是會被 AI 取代的人,」台灣駭客協會 HIT 理事長、戴夫寇爾 DEVCORE 執行長翁浩正說。目前 AI 已經被大量開源於網路上,提供聲音、文字、駭客攻略等檔案,讓攻擊者可以更輕鬆簡易地加強破壞與攻擊力道,然而翁浩正認為在防禦面上,AI 也可以做到立竿見影的成效,並找出釣魚郵件的攻擊跡象、協助資安人員強化防守。

翁浩正也建議企業在踏入AI 訓練以及使用生成式 AI 等新興服務時,必須要先界定組織內部有哪些機敏資料與上雲的相關資料使用規範,進一步了解這些企業資料是否有外洩可能,再透過去識化方式確保組織資料安全。

台灣駭客協會 HIT 理事長、戴夫寇爾 DEVCORE 執行長翁浩正剖析當今 AI 已成為駭客增加攻擊力道的武器,但也可以作為資安人員強化防守的工具。

個人、企業與社會該如何建構雙安時代新意識?

未來 AI 與人類生活將密不可分,個人、企業與社會又該如何適應新興科技帶來的變化?對人類來說,資安與 IT 將在工作中更高度結合,AI 自動化資安工具也會如同副駕駛一般,為工作者實時監測整體安全狀況,助力資安人員提高產能。

對企業而言,則需提升全員的資安認知與強化制度、技術,才能有效降低企業踏入 AI 資安時代的新風險;對於社會而言,資安不只是企業單一部門的課題,更是所有組織、團隊、機構都必須背負的責任,企業組織必須透過資安演習強化整體社會韌性,才能在 AI 新時代保持穩健步伐、持續前行。

立即報名《 2023 TechOrange 資安創新高峰會》線上場,解鎖完整演講內容!