資策會產業情報研究所 (MIC) 資深產業分析師兼產品經理童啟晟預言,隨著云計算、萬物聯網、5G 的快速發展,未來 IT (信息科技)、OT (運營科技)、CT (通信科技) 結合人工智能 (AI) 分析機制應用在各種場域,包括制造、金融、醫療、零售、交通、能源等關鍵基礎設施的信息安全產品及服務,乃商機所在;但網絡的無所不在,也讓信息安全風險急速擴大。
童啟晟樂見,新技術與新場景分別帶動信息安全產業的下一波成長。1970~1990 年代,從信息化到后來的企業電子化、再到今天的萬物聯網和 5G,技術基本上沒有太大變化,但仍有技術隨之興起。這些新技術搭載在原有技術框架上,會產生一些應用場域 (新場景);這對黑客來說,這就是一個絕佳的試驗設備。攻防之間,這些新技術和新場景就是帶動信息安全產業成長的力量,在 AIOT 促使云臺 (Cloud) 和網絡 (Cyber) 深度融合的同時,智慧科技與應用亦將加速信息安全技術的深度融合;繼網絡、計算、存儲之后,網絡安全已成第四大 IT 基礎設施。
圖1:新技術與新場景將帶動信息安全產業下一波成長
資料來源:臺灣資策會MIC (2020/05)
資料來源:臺灣資策會MIC (2020/05)
云信息安全威脅增,"托管安全服務"需求大
從產業宏觀角度來說,并購是企業跨域、跨業結合與轉型升級的一個速效手段;通信大廠博通 (Broadcom) 吃下賽門鐵克 (Symantec) 企業安全部門、法國航空航天公司Thales SA 買下全球最大 SIM 卡廠商金雅拓 (Gemalto) 皆是指標案例。就 2019 年被并購方的信息安全次產業觀察:信息安全服務供貨商占 30%、身份與存取管理占 22%、網絡與端點安全占 15%、反惡意軟件占 11%,可反應出產業趨勢。有趣的是,這些并購案并非由傳統信息安全軍火商主導、而是由私募股權公司進行,且信息安全已成新興投資目標,國內投信業者亦針對信息安全發行股票型基金 (ETF)。
從產業宏觀角度來說,并購是企業跨域、跨業結合與轉型升級的一個速效手段;通信大廠博通 (Broadcom) 吃下賽門鐵克 (Symantec) 企業安全部門、法國航空航天公司Thales SA 買下全球最大 SIM 卡廠商金雅拓 (Gemalto) 皆是指標案例。就 2019 年被并購方的信息安全次產業觀察:信息安全服務供貨商占 30%、身份與存取管理占 22%、網絡與端點安全占 15%、反惡意軟件占 11%,可反應出產業趨勢。有趣的是,這些并購案并非由傳統信息安全軍火商主導、而是由私募股權公司進行,且信息安全已成新興投資目標,國內投信業者亦針對信息安全發行股票型基金 (ETF)。
表1:2019 十大信息安全并購案
資料來源:臺灣資策會MIC (2020/05)
童啟晟總結信息安全有七大發展方向:云信息安全、數據外泄、深偽技術 (Deepfake)、5G 信息安全、工控信息安全、勒索軟件 (Ransomware) 和宅辦公信息安全 (WFH Security)。首先,將工作負載移轉到云臺,正在轉變企業組織對于"托管安全服務"(MSS) 的消費模式,AWS、Google、Microsoft、Oracle 和 Rackspace 等云服務大廠相繼開始增強其 MSS 產品。以軟件即服務 (SaaS) 形式提供的 MSS 產品將有越來越多的市場需求,包括:身份與存取管理 (IAM)、安全郵件管理、分布式阻斷服務 (DDoS)、事件檢測和響應,以及信息安全信息與事件管理 (SIEM)。
童啟晟分析,云臺信息安全主要問題是:數據的遺失與泄漏,包括不適當的權限控管所造成的未授權存取、不安全的應用程序編程接口 (API) 及云臺錯誤配置等,連帶使需求端的云威脅持續增加,促使云臺信息安全產品在五年內可能成長三倍!身為供給端的軍火商當然不會錯過這個大好形勢,伺機尋求外援、截長補短:2019 年 10 月,趨勢科技 (Trend Micro) 以 7,000 萬美元收購云臺安全新創 Cloud Confomity;今年 2月,惠普 (HPE) 買下云安全新創公司 Scytale。其次,資料外泄也成為歸納重點,且由單點外擴至整個打擊面。
表2:歷年十大資料外泄事件
資料來源:臺灣資策會MIC (2020/05)
"信息安全合規"成為未來 5G 市場決戰關鍵
網絡犯罪集團竊取數據的目的不外乎:制作偽卡、進行詐騙、冒用身份、恐嚇取財等。前不久視頻軟件 Zoom 爆出 53 萬筆帳密流入暗網 (黑市),受害者遍及摩根大通、花旗銀行及學校等機構;萬豪酒店 (Marriott) 員工帳密遭駭,有 520 萬筆客戶信息可能因此外泄……,皆曾引發信息安全恐慌。另一個幾可亂真、防不勝防的是深偽技術,收集目標人物的公開影片或音頻,利用 AI 學習、模仿聲音,或假冒信件格式欺騙企業進行轉賬皆屬此類。童啟晟揭密,Deepfake 影片可經由臉部模糊度、不規則眨眼頻率來辨識 (Deepfake 影中人幾乎不眨眼)。
網絡犯罪集團竊取數據的目的不外乎:制作偽卡、進行詐騙、冒用身份、恐嚇取財等。前不久視頻軟件 Zoom 爆出 53 萬筆帳密流入暗網 (黑市),受害者遍及摩根大通、花旗銀行及學校等機構;萬豪酒店 (Marriott) 員工帳密遭駭,有 520 萬筆客戶信息可能因此外泄……,皆曾引發信息安全恐慌。另一個幾可亂真、防不勝防的是深偽技術,收集目標人物的公開影片或音頻,利用 AI 學習、模仿聲音,或假冒信件格式欺騙企業進行轉賬皆屬此類。童啟晟揭密,Deepfake 影片可經由臉部模糊度、不規則眨眼頻率來辨識 (Deepfake 影中人幾乎不眨眼)。
童啟晟指出,AI 對于信息安全就像一把雙面刃,雖有人以之作惡,但也有信息安全公司用 AI 進行詐騙分析、優化防御策略。另一方面,為支撐多元化業務,5G 網絡大量使用軟件定義網絡 (SDN)、網絡功能虛擬化 (NFV)、網絡切片 (Networking Slicing)、多接取邊緣計算 (MEC) 等新技術,使網通設備漏洞成為 5G 服務的不穩定變量;業者尤其關心"數據在地化"議題,因為各區域法規不盡相同且罰則相當重,"信息安全合規"已然成為未來 5G 市場決戰關鍵。面對 5G 多元技術發展,廠商應針對不同市場需求調整策略、進行布局。
例如,歐盟《一般數據保護法規》(GDPR)、《網絡與信息系統安全指令》(NIS Directive)、《歐盟網絡安全法案》(EU Cybersecurity Act) 等信息安全監管措施;美國加州的《萬物聯網設備的信息隱私法案》、《加州消費者隱私法案》以及今年 3 月白宮新頒布的《美國保護 5G 安全國家戰略》和《保護 5G 安全國家戰略》。與此同時,工業 4.0 讓封閉式工控環境逐漸開放,與網絡的連接頻率也提高,頓成黑客覬覦目標。近年全球工控信息安全事件頻傳,手法也更為刁鉆,德國煉鋼廠、伊朗核能設施、烏克蘭電網、越南航空站、美國水廠和捷運系統都曾慘遭毒手。
圖2:5G 網絡技術特性——分布式無線存取網絡 (RAN)、靈活功能部署、隨需切片
資料來源:https://www.itu.int/en/ITU-D/Regional-Presence/AsiaPacific/SiteAssets/Pages/Events/2019/ITUPITA2018/ITU-ASP-CoE-Training-on-/5G%20networks%20and%203GPP%20Release%2015_vf.pdf (2019/10)
資料來源:https://www.itu.int/en/ITU-D/Regional-Presence/AsiaPacific/SiteAssets/Pages/Events/2019/ITUPITA2018/ITU-ASP-CoE-Training-on-/5G%20networks%20and%203GPP%20Release%2015_vf.pdf (2019/10)
信息安全轉型=防御復原力,開發系統之初就得擬定架構
童啟晟建議,OT 信息安全有三大策略:隔離管制 (Segmentation)、可視監控 (Visibility) 和關鍵保護 (Secure Mission-Critical Assets);勒索軟件的威脅亦不可輕忽,它們不再只是將電腦數據加密以獲取贖金,也開始向家庭物聯網下手。在肺炎疫情爆發后,因為生活方式的改變,信息安全防護商機更加涌現,防疫與防駭將并駕齊驅、同等重要,應從維運管理、應用服務、設備設備和基礎架構多管齊下。最后談到企業信息安全轉型策略的布局思維,童啟晟主張聰明的企業信息安全準則是"零信任"(Zero Trust)——預期被黑客攻擊并制訂因應計劃、而非事后才被動亡羊補牢。
童啟晟建議,OT 信息安全有三大策略:隔離管制 (Segmentation)、可視監控 (Visibility) 和關鍵保護 (Secure Mission-Critical Assets);勒索軟件的威脅亦不可輕忽,它們不再只是將電腦數據加密以獲取贖金,也開始向家庭物聯網下手。在肺炎疫情爆發后,因為生活方式的改變,信息安全防護商機更加涌現,防疫與防駭將并駕齊驅、同等重要,應從維運管理、應用服務、設備設備和基礎架構多管齊下。最后談到企業信息安全轉型策略的布局思維,童啟晟主張聰明的企業信息安全準則是"零信任"(Zero Trust)——預期被黑客攻擊并制訂因應計劃、而非事后才被動亡羊補牢。
信息安全轉型的地位等同"防御的復原力",必須量身訂做、風險校準程序與投資,讓技術面和管理面相輔相成,制定企業持續運營計劃 (BCP),即所謂的"信息安全左移"(Security Shift)——開發系統之初,就要把整個架構擬好。未來整個信息安全產業會強調"無邊界安全性"。從這次疫情就能體會:數字邊境越來越模糊,建立對信息安全的基本認識和意識,將是日后企業數字邊境防御的關鍵;因為人往往是信息安全最脆弱的一環,而對未來的不確定性,將是信息安全最大威脅。臺灣資策會信息安全所創新通信安全中心主任林志信補充,5G 深入垂直領域后,信息安全的重要性更有增無減。
首當其沖的是,若外銷產品有安全漏洞會被開罰,網通設備在外銷前必須經過安全檢測、甚至要出具報告才能避免受罰;其次,智慧工廠、自駕車等關鍵場域,更是容不得停機風險;再者,5G 不再是純硬件解決方案,開源軟件的廣泛應用,也可能成為信息安全弱點。在 5G 實踐萬物相連后,信息安全威脅恐從謀財進階為"駭命"。林志信表示,就行動網絡架構演進來看,4G 為降低成本,已開始嘗試將部署在外的基地臺輕量化、將重裝計算資源集中在云中心的分離作法;5G 進一步導入虛擬化網絡,盡量用軟件解決、便于更新,開放式服務器繼之而起。
圖3:5G信息安全挑戰
資料來源:臺灣資策會MIC (2020/05)
資料來源:臺灣資策會MIC (2020/05)
5G 信息安全三面向:設備端、網絡端、API 介接專網
林志信摘要,5G 信息安全涵蓋三個面向:設備端、網絡端和 API 介接專網。設備端須符合 3GPP 及個別產業的信息安全規范;網絡端可能有系統面的安全疑慮,包括核心網設置及 API 規范;開放式無線接取網絡 (RAN) 的質量保證。5G 導入 SDN/NFV,與異質接取網絡之新型網絡技術架構,IoT 設備間亦有多種接入方式,若遭到惡意軟件感染更加難以追蹤、且易產生信息安全破口。早在 4G 時代,就曾出現在合法的手機與基地臺之間偽設一個假基地臺,誘使手機連到假基地臺后,利用上傳真實信息、以假手機去跟真的基地臺聯機,形成"中間人攻擊"(MITM)。
林志信摘要,5G 信息安全涵蓋三個面向:設備端、網絡端和 API 介接專網。設備端須符合 3GPP 及個別產業的信息安全規范;網絡端可能有系統面的安全疑慮,包括核心網設置及 API 規范;開放式無線接取網絡 (RAN) 的質量保證。5G 導入 SDN/NFV,與異質接取網絡之新型網絡技術架構,IoT 設備間亦有多種接入方式,若遭到惡意軟件感染更加難以追蹤、且易產生信息安全破口。早在 4G 時代,就曾出現在合法的手機與基地臺之間偽設一個假基地臺,誘使手機連到假基地臺后,利用上傳真實信息、以假手機去跟真的基地臺聯機,形成"中間人攻擊"(MITM)。
此類攻擊多半是沖著特定對象而來,以明文傳送的 SIM 卡 id 信息將被一覽無遺;所幸,最重要的國際移動用戶辨識碼 (IMSI) 因加密而不至于讓人全盤掌握,惟仍存在以下風險:發送網址的譯文遭到竄改,誤導用戶至其他惡意網站、植入木馬。有鑒于此,5G 補強措施包括:
1.在 SIM 卡多加入一把運營商的公鑰,即使有假基地臺存在,也無法獲知 IMSI 信息;
2.密鑰架構強化,5G 核心網與終端之間多一個邊緣設備 (Edge),會有許多開放接口,故 5G 多設一個AKA (認證和密鑰協議) 作為保護層;
3.數據傳輸加密簽章,4G 只有做加密、沒有簽章,而 5G 兩者兼具。
1.在 SIM 卡多加入一把運營商的公鑰,即使有假基地臺存在,也無法獲知 IMSI 信息;
2.密鑰架構強化,5G 核心網與終端之間多一個邊緣設備 (Edge),會有許多開放接口,故 5G 多設一個AKA (認證和密鑰協議) 作為保護層;
3.數據傳輸加密簽章,4G 只有做加密、沒有簽章,而 5G 兩者兼具。
林志信說明,行業法規對網絡系統有多方規范,例如,工控傳輸信令的封包必須能分析到網絡第七層 (應用層),統整 5G 信息安全解決方案有兩大主軸:1.事前組件安全檢測,包括 3GPP 組件安全需求驗證、NFV 虛擬環境檢測、5G 網絡功能函式庫弱點檢測;2.專網維運中的信息安全偵防平臺,必須了解網絡狀態、實時監控、查核是否照原定藍圖在運作,有兩大議題:一是怎么確保組件是安全的?二是如何持續監控網絡系統?不只核心網、還包括終端設備。因為終端聯網設備多采用同系統,一旦出現漏洞、被植入惡意軟件,擴散速度更為驚人。
圖4:5G信息安全議題
資料來源:臺灣資策會MIC (2020/05)
資料來源:臺灣資策會MIC (2020/05)
金融機構:每天都在應戰信息安全威脅
林志信特別提到,核心網因為有 MEC 能力,可上架一些 APP,數據有被不法管理者收集的風險,管理不可不慎。不同應用有不同要求,常見的威脅類型有:偽冒身份、數據竄改、抵賴、信息泄漏、服務阻斷、權限提升、橫向擴散。在評估風險等級后,據以制定管理方法、預測剩余風險并判斷是否需要額外管理機制。金融體系向來是黑客的頭號目標之一,臺新金控信息長暨信息安全長孫一仕透露,其間甚至不乏"國家級黑客"蹤跡,他們的攻擊手法非常多樣、且可用資源非常多,為金融業帶來莫大壓力;今年,忽悠人的"詐騙型"的勒索病毒又有增加之勢。
林志信特別提到,核心網因為有 MEC 能力,可上架一些 APP,數據有被不法管理者收集的風險,管理不可不慎。不同應用有不同要求,常見的威脅類型有:偽冒身份、數據竄改、抵賴、信息泄漏、服務阻斷、權限提升、橫向擴散。在評估風險等級后,據以制定管理方法、預測剩余風險并判斷是否需要額外管理機制。金融體系向來是黑客的頭號目標之一,臺新金控信息長暨信息安全長孫一仕透露,其間甚至不乏"國家級黑客"蹤跡,他們的攻擊手法非常多樣、且可用資源非常多,為金融業帶來莫大壓力;今年,忽悠人的"詐騙型"的勒索病毒又有增加之勢。
黑客入侵手法相當多,郵件、網頁、虛擬專用網 (VPN) 皆是途徑,尤其是企業控制員工帳密的網絡服務器一旦被駭,很容易被取得高權限、在企業內部散播病毒或發動假交易且通常潛伏很久。云計算也是金融業所關注的技術焦點,以達到兩個目的:減降及運營靈活度,在短時間內擴大運營效能,但信息安全是不容妥協的先決條件。企業物聯網也成為金融機構挑戰:預估今年 IoT 設備將達 200 億個,卻無特定安全框架或法規來規范信息安全事項及數據的安全性;而這些設備多是簡單設計且廣布各地,供貨商本身又缺乏定期補丁、解決漏洞的資源和能力。
孫一仕描述,業界目前的作法是:定期檢視相關的設備信息安全漏洞,同時以隔離網段的方式將物聯網設備跟正規運營網絡切分——先前就發生過金融機構的錄音設備,因為網段關系形成信息安全破口。為因應潛藏的信息安全風險,金融機構會采取以下幾項措施以防范:首先是進行"紅藍軍演練"——紅軍是指金融業安排的外部專業信息安全機構,藍軍乃銀行本身,由紅軍對藍軍發起生產環境上的"有限度攻擊"(在不影響正常運營下),以便及早找出潛在的信息安全漏洞并加以填補;其次是針對國內外曾發生的 ATM 威脅,進行實地演練,確認是否已有防護措施。
圖5:金融信息安全風險
資料來源:臺新金控信息長暨信息安全長孫一仕;筆者整理
資料來源:臺新金控信息長暨信息安全長孫一仕;筆者整理
完整信息安全防護體系&完備處理流程作業
緊接是"滲透測試"(Penetration Test, PT),以黑客思維模擬可能的攻擊環境,嘗試找出潛藏的信息安全漏洞,有別于"紅藍軍演練"由外而內攻堅,滲透測試著重模擬已成功進入內部的黑客,意欲何為?下一個攻防要點是"高級可持續威脅"(APT)。現在的 ATM 攻擊已非用單一手法、在特定時間點進行,有些攻擊會長達 3~6 個月、耐心尋找破口。曾有成功取得最高權限的黑客一面制造勒索病毒的"假象",讓銀行徒耗心力在排除勒索病毒的工作,一面又聲東擊西、大肆進行假交易將存款轉出;金融機構服務通路廣、客戶群龐大,對抗 APT 是重要一環。
緊接是"滲透測試"(Penetration Test, PT),以黑客思維模擬可能的攻擊環境,嘗試找出潛藏的信息安全漏洞,有別于"紅藍軍演練"由外而內攻堅,滲透測試著重模擬已成功進入內部的黑客,意欲何為?下一個攻防要點是"高級可持續威脅"(APT)。現在的 ATM 攻擊已非用單一手法、在特定時間點進行,有些攻擊會長達 3~6 個月、耐心尋找破口。曾有成功取得最高權限的黑客一面制造勒索病毒的"假象",讓銀行徒耗心力在排除勒索病毒的工作,一面又聲東擊西、大肆進行假交易將存款轉出;金融機構服務通路廣、客戶群龐大,對抗 APT 是重要一環。
最后一項是 DDoS 攻擊——最簡單的即是以"殭尸電腦"對特定對象的網站發出異常大量存取要求而癱瘓服務。過去幾年有不少國內機構曾身受其害,需借助流量清洗 (Clean Pipe) 解決,但有時間和帶寬限制;所以,金融機構本身也要進行 DDoS 演練,以便攻擊發生時能及時因應。孫一仕呼吁,面對這么多可能風險,要有完整信息安全防護體系。以辨識、防護、偵測、響應、復原等不同階段為橫軸,"防范信息安全風險的環節"為縱軸——包括:用戶、數據、網絡、應用程序及設備,信息安全技術 vs. 人員投入和處理能力的權重占比,會有階段性的差異。
然而,不管在哪個階段,都要有完備的處理流程。信息安全威脅對金融機構而言,每天都在發生,事到臨頭能否快速響應就非常重要。孫一仕建議:1.成立信息安全應變小組,成員應涵蓋不同部門的專業,甚至連對外關系都需進來;2.成員從一開始就要了解自己的任務、各司其職,方可有條不紊地迎戰;3.訂定信息安全應變的標準作業流程 (SOP),成員才不會無所適從,且要安排信息安全災害的定期演練,檢視原有 SOP 是否需修正;4.建立信息安全監控中心,從多面向監控信息安全威脅,及早示警、降低損失。一言以蔽之,了解、面對、因應,是與身處風險環境的生存之道。
