欢迎光临KOTOO财情




新世代资安 3 大挑战:供应链安全、跨域联防与思维转型

2024-11-25 254


面对后疫情时代之数位经济浪潮,物联网 IoT、AI、5G 技术快速发展,强韧安全的数位应用已成为当下重要的显学。TWNIC 财团法人台湾网络资讯中心及 TWCERT/CC 台湾电脑网络危机处理暨协调中心于 11 月 3 日线上、线下举办“2021 台湾资安通报应变年会”。TWNIC 李育杰董事长开场时提到,近来资安事件已从企业办公室资讯设备延展到区域的基础建设场域、通讯环境与工控设备等,其影响层面,已扩大到企业组织、国家层级的安全。

供应链资安与韧性

2021 年接连发生 SolarWinds 及 Kaseya 等重大供应链攻击事件,NCC 孙雅丽委员表示,“供应链的可视性很重要,供应链涵盖很多层,里面藏有许多盲点。如一台主机里,一定有元件是跟别人买的。你相信你的供应商,但是你相信你的供应商的供应商吗?”。

因此,要如何确保供应商产品是安全的,NCC 有 3 个创新作为:

1. 制定“关键电信基础设施资通设备资通安全检测技术规范”

NCC 指定防火墙、交换器、路由器须作实机测试与资料备查。在实机共同测试的项目中,强调系统弱点及漏洞检测。

2. 通传事业资通设备资安漏洞通报系统

电信商需要定期盘点有哪些资通设备,清单要上传至 C-ISAC;由 C-ISAC 自动通知电信业业者 CVE 待修补资讯。

3. 成立国家通讯领域软件安全实验室(NCCSC)

为我国 5G 网络业者、应用服务开发者和 IoT 制造商提供、协助或咨询安全软件设计及开发的服务与专业培训。

而为了减少供应链资安风险的核⼼作为,鸿海研究院执⾏⻑兼资安所所⻑李维斌也提出 5 点:

  1. 了解⾃我的准备情况/成熟度
  2. 慎选供应商,采购流程不能只有价格标
  3. 提升企业组织的网络韧性
  4. 测试事件应变计划
  5. 考虑投资建立数位鉴识能⼒

日月光集团(高雄厂)总经理室暨资讯中心副总经理李政杰特别提到,半导体协会目前针对设备类跟未来应用类,正在制定资安标准。重点还是在供应链上,可以帮助供应商对于设备的资安防护设计,能有标准可循。

▲ 图说:本次参与年会嘉宾合照。由右至左为台湾网络资讯中心丁绮萍副首席执行官、荷兰在台办事处创新科技处杨智凯资深创新与科技事务官、美国在台协会经济组 Dannielle Andrews 组长、NCC 孙雅丽委员与邓惟中委员、行政院资通安全处林春吟副处长、台湾网络资讯中心黄胜雄首席执行官、调查局张尤仁副处长、NCC 郑明宗处长。(Source:法兰克福展览)

对抗勒索要“联防”

2021 年台湾高科技业纷纷中了“勒索软件”的箭,再次凸显资安是企业营运持续管理(BCM)及营运持续计划(BCP)里的三大安全之一。

华硕资安长金庆柏表示,“民间企业要透过不同工具、自动化设备,先了解自己的弱点,加强防护。此外,加入专业资安的联盟组织,如 TWCERT/CC、高科技产业资安联盟,可以事先掌握情资,了解攻击手法,联合防御。”威联通技术长龚化中认为备份跟加密是防御勒索攻击之必要。日月光则从预防、防御、复原等三个层次防御勒索攻击。

其实不只台湾,同样是制造大国的日本、印度、泰国,也遭受许多的勒索攻击。与谈代表日本 JPCERT、印度 CERT-In、泰国 ThaiCERT 以该国经验建议不要支付赎金,但应该第一时间通知警方以及客户,做好第一时间应对。他们提醒即便付了赎金,大多数案例只有 50-60% 的资料被复原。同时不要直接与骇客谈判,找第三方谈判员进行协调、资安保险等是建议可以考虑的作法。

▲图说:科技业资安高峰座谈会。由右至左为国家资通安全会报技术服务中心吴启文主任、日月光集团(高雄厂)李政杰总经理室暨资讯中心副总经理、华硕电脑金庆柏资安长、威联通龚化中技术长。(Source:法兰克福展览)

资安思维也要“转型”

本次年会几个被提出的数字:骇客攻击的工具至少有 552 招、单一企业平均每月遭受 9.2 万次攻击、 75% 的中⼩企业缺乏专业⼈员解决 IT 安全问题…等都点出资安的现实面:网络威胁可以降低、可以管理、可以复原,但无法灭绝。企业⼼态必须从‘如果被骇客攻击’转向‘当被骇客攻击时。’

资安思维以往着重“事前”,但是应该留一部分的资源在“事中与事后”。奥义智慧创办人邱铭彰解释,“事中、事后很需要人力,跟事前预防是不同的能量。”他建议企业量化潜在威胁与现况,尤其是内部端点跟 AD 安全。并用 MITRE ATT&CK 制订三个被攻击像定情境,才进行资安投资与配置。

行政院国家资通安全会报技术服务中心主任吴启文总结道:“资安防御越来越困难。大家应采用新的思维,零信任网络架构,如何从身份鉴别、设备鉴别、信任转移加强资安防御。-也在谈主动式防御,在骇客攻击前先做到情资掌握,化被动为主动。”

(首图图说:TWNIC 李育杰董事长于开场时提到,资安防护已不再仅仅是-或专家的责任,每个人都肩负着这项使命。图片来源:法兰克福展览;资料来源:法兰克福展览)

2021-11-16 00:57:00

标签:   资讯头条 kotoo科技资讯 kotoo科技 kotoo科技资讯头条 科技资讯头条 KOTOO商业产经 新闻网 科技新闻网 科技新闻 Kotoo科技新闻网 Kotoo Kotoo科技新闻网 科技新闻 科技新闻网 新闻网 科技资讯头条 kotoo科技资讯头条 kotoo科技 kotoo科技资讯 资讯头条 Kotoo Kotoo科技新闻网 科技新闻 科技新闻网 新闻网 KOTOO商业产经 科技资讯头条 kotoo科技 kotoo科技资讯 资讯头条
0