【大纪元2015年07月10日讯】(大纪元记者方惠萱台湾台北报导)近来国际上发生许多资安事件,各界对于资安议题更加关注。许多人都认为,企业资安就是电脑加装防毒软体,不过,骇客年会(HITCON)总召、台湾资安公司 Team T5 研究团队领导者蔡松廷表示,防毒软体就像汽车后照镜或是其下方的平安符,只有安心作用。
资安界年度盛会骇客年会将于8月登场,今(民国104)年提前邀请成员上网分享台湾企业的资安问题,9日为第三场。蔡松廷分享,许多企业资安人员都认为,只要安装防毒软体就好了,但是真的没有太多实质作用,因为只要骇客有心,其实什么软体都挡不住,想防堵骇客要有积极的防御思维。
蔡松廷认为,要做好资安,最重要的是要了解敌人,威胁情报(threat intelligence)就成为最重要的课题与方法。
传统的资安防御在金字塔的底端,专注于可观察的案例等,从网路的网域、IP位置与数位签章等指标进行防御;全新的威胁情报方式,从骇客运动、行为与下一步进行分析预测,并进行归因,找到幕后的骇客人员与主使者等进行防御,与以往方式截然不同。
资安人员如何取得这方面情报?蔡松廷说,目前有许多资安业者会贩卖这类产品,不过,最有效的方法还是多认识资安专家、参加研讨会等,与顶尖资安专家、骇客研究人员直接交流,获取最新的骇客与资安讯息。
保留事件现场原貌
若防堵不利,发生资安事件,该如何处理?资安鉴识专家、HITCON议程组主席、台湾威瑞特资安研究长丛培侃说,确保网路犯罪现场的完整性,有助于厘清事发缘起。
有许多企业的资安事件反复出现,透过单点解决方案,例如:上传恶意程式样本给防毒软体公司制作解毒档、将受骇电脑重灌,或许可以缓解资安威胁,却不是根本解决之道。若无法完整保留受骇电脑完整的轨迹资料,则只是提醒骇客应该快速演化,转换方式隐匿自身足迹而已。更有甚者,有国外政府部门的电脑,被单一骇客组织掌控超过10年之久。
丛培侃认为,好的资安事件因应方式,最好是能够从上而下、由外而内处理。他进一步表示,许多企业、机关往往无法得知已经受骇,若有外部资安弱点通报的人脉和资源,有助于及早因应;现在许多单位的长官思维也开始改进,不再认为发生资安事件只是IT或资安人员的过错,更愿意投入资源防护资安。
HITCON企业场议程4大主轴
丛培侃表示,今年度HITCON企业场的议程围绕4个主轴。首先是物联网(IoT)安全,随着万物联网热潮兴起,所有设备都可以连网,其实也潜藏许多资安风险,这些风险甚至是被IoT业者忽略的。
其次,今年许多资安公司和研究单位会释出越来越多白皮书或资安情报,企业除了知道威胁趋势,也会现场分享如何将其中的资讯、后门种类、攻击手法和窃取密码手法等,纳入企业既有的资安防护规则中。
第三点,企业和政府多少有和骇客交手的经验,一旦遇到资安事件时,应该采取何种应对措施、处理程序为何,甚至如何改善环节等,都是这次骇客年会的重要主轴。
最后一点也是政府目前相当关注的议题,就是人才培育。政府在意如何将资安意识落实在教育中、如何挖掘和培育相关人才;但对企业而言,如何找寻资安人才最为关键。这里就是资安人才交流汇集的场所。◇
责任编辑:昱作
