台灣雲端安全聯盟理事長 蔡一郎

數位資產的安全考驗企業未來發展能力，善用資訊安全聯盟所發佈之訊息，建構安全的服務平台/營運模式。

網際網路帶動的資訊科技的革命，也打破了實體世界的地理限制，當網際網路涵蓋的範圍越完整，使用者在享受它所帶來便利之外，對於許多新興的資訊科技不免有許多隱私與安全上的顧慮，尤其歐洲在2018年5月25日上路的「一般資料保護規範(GDPR, General Data Protection Regulation)更是今年度最熱門的議題之外，因為影響範圍已涵蓋全球的企業營運規劃，以避免因為觸發了GDPR的保護範圍，而招來巨額的罰款；在目前數位化的時代中網路已成為生活的必需品，許多企業更是運用了相當多的資訊技術融入商業的營運，在高度數位化的時代中，數位資產的安全已成為企業最關心的議題，從近幾年來幾個資訊科技世代的轉換過程，許多的企業必須因應新興的服務需求，幾年前所提出的雲端服務世代，在目前來看已成為隨手可得，而且已融入了許多的資訊服務中；萬物聯網的世代中，建立了人與人、人與物以及物與物的溝通管道，除了帶來便利性之外，同時進入了大數據的時代，並且也帶來了對於隱私以及關鍵基礎設施的保護議題，而近來熱門的人工智慧(AI, Artificial Intelligence)應用，更是需要跨領域的整合，不論從商業營運的考量，或是新一代的資訊架構，都是在考驗著企業對於大環境的適應能力。

「流行」是一種時尚，融合著各式各樣的資訊服務，也讓企業在資訊領域中的應用，必須快速的跟上時代的腳步，掌握國際發展趨勢以及接軌全球的動向，是許多的企業在發展下一個產業世代的過程中必須瞭解的，在「資訊安全」漸漸成為顯學的時代中，每年在世界各地舉辦的資訊安全會議數量相當的多，從國際上的大型資安會議談起，包括了RSA Conference、Blackhat、DEFCon、HITB等，每場會議的參加人數皆相當的多，再來國際資訊安全組織所辦理的會議，例如：The Honeynet Project Annual Workshop、FIRST Conference、Cloud Security Alliance Summit、OWASP AppSec等，或是特定主題或是產業聯盟所辦理的大型會議，例如：CES、IoT Security、MWC等，再加上許多大型軟體、硬體供應商所辦理的技術會議，例如：Google Cloud Summit、AWS Summit、VMware vFORUM、Splunk .Conf等，除了原本以資訊安全領域為主的會議著重在資安領域相當技術的發佈之外，在目前許多的國際會議已都已加入了資訊安全領域的議題，可見許多的資訊應用都與資安緊密的結合；反觀國內的主要資安會議或是展會，例如：HITCON、國際資訊安全組織台灣高峰會以及媒體辦理的資安博覽會等，在政府大力推動資安即國安的政策下，每年的與會人數也是逐年快速成長，再加上資安競賽以及人才培育等相當的議題成為顯學，也加速了國內在產官學研界對於資訊安全領域的重視，在大環境驅動之下，我們也正式進入了「Business Driven Security」的時代，對於各種型態的商業營運模式，都與資訊安全領域的整合有關，不論對於資訊平台與系統安全的防禦，或是對於數位資產的保護，都必須依據企業本身所提供的商業模式高度相關，而資訊安全的融入必須與所使用的營運模式關聯，才能夠設計出符合資訊安全要求的服務平台或是營運模式。

圖1　RSA會議以Business Driven Security為主軸

以目標導向的方式進行營運服務模式的制定，是目前經常使用的方法之一，不同的企業多數具備本身賴以為生的營運特性與特色，發揮本身所擅長的，從市場的反應與服務的範圍，以增加未來營運的利基，在目前數化位的時代中，資訊的處理對於企業的營運而言是相當重要的，高度數位資訊的環境中，其中大家所關注的不外乎如何確保使用者的權益，避免因為營運上的策略面、管理面以及技術面的問題，而影響到企業的營運；如果要看產業對於資安議題的關注，以及未來的發展趨勢，不妨先從雲端安全聯盟(CSA, Cloud Security Alliance)的全球研究工作小組談起，雲端安全聯盟在2009年由當時許多電信商、雲端服務供應商再加上一群對於雲端資安的發展有興趣的專家共同在舊金山成立， 目前全球營運總部設立在美國西雅圖，著重在雲端服務與相關應用在資訊安全議題上的關注，因應許多新興的資安議題成立全球性的研究小組，邀集產業、專業人士或是政府機關共同參與，現在推動中的工作小組已達到38個，並且涵蓋了大多數的資訊應用領域，詳表1。

產業對於資安的需求，來自於所提供的服務在資安上的必要性，對於資訊平台在營運的過程中，必須涵蓋到的資安議題面向相當的廣泛，尤其現在許多的網路應用服務，開始結合行動化的裝置，透過APP提供使用者更簡潔的介面，能夠快速的應用平台所提供的服務與各項功能，因應行動化與數位化的時代，目前在資訊安全的考量，已慢慢採用全系統或是服務導向的型態進行資安風險的評估，單一資訊平台或是網站的安全風險，已無法代表一個企業所遭受到的資安風險。

OWASP(Open Web Application Security Project)是一個針對網頁應用程式安全進行研究的國際組織，每隔幾年所發佈的OWASP Top 10更成為產業界的參考指標，在國內許多企業對於網站安全的檢測上，都會引用OWASP的Top 10做為初步掃瞄與分析的要求，至少這10個重要的問題不能夠發生，不過就算通過了測試，應該也沒人能保證未來一定沒有資安的問題，而目前許多的網路應用服候，都已經是採用網站服務的方式來提供，未來與行動裝置的整合更是主流，因此如何因應在網路上所提供服務平台，能夠符合資訊安全的上的要求，就成為相當重要的課題，而目前許多的企業整合資訊安全管理系統，定期的針對重要的服務平台進行「系統弱點掃瞄」以及「滲透測試」等例行的作業，主要希望透過檢測的過程，及早發現服務平台所隱藏的問題，不論是自主的檢測或是採委外的方式對於企業的核心系統進行測試，都可以開始從被動的進行資安事件的處理，往前邁向資安預警的時代。

圖2　OWASP Top 10

The Honeynet Project成立於1999年，是一個專注於資安技術的研究型組織，以資安威脅的偵測、分析以及預警機制的研發為主，所發展的工具軟體多數採用開放原始碼的方式發佈，目前全球已有超過46個分會，在目前自動化攻擊盛行的資安威脅下，透過誘捕系統(Hoeypot)所收集到的資料，除了可以針對駭客的攻擊行為進行事件的通報之外，更重要的可以取得攻擊者對於系統進行掃瞄、探測、攻擊等相關的細節資訊，以做為對於企業對於資訊安全管理政策的制定，例如：大多數對於系統層次的遠端攻擊，以遠端桌面與遠端連線的方式居中，在所蒐集到的攻擊日誌中，就可以看到對於登入帳號與密碼的探測，甚至有使用暴力破解工具軟體進行的攻擊行動；自從Mirai殭屍網路程式被公開在Github之後，針對物聯網裝置的攻擊就更加嚴重，運用誘捕系統所建置的擬真環境，就可以運用來偵測Mirai殭屍網路的活動，尤其是大規模的分散式阻斷服務攻擊(DDoS, Distributed Denial of Service)，目前更是利用大量存在弱點的物聯網裝置針對目標發動攻擊行動。

圖3　工業控制系統安全 (攝於DEFCON 2018)

目前已進入高度行動化與數位化的時代，許多的新興應用都快速的發展中，不論是典型資訊服務平台的邊界延伸或是創新的資訊服務思維，在使用者資安意識高漲的趨勢下，企業的營運對於資訊安全的重視程度，必須能夠跟上時代的潮流，無法隨著時代巨輪往前滾動的企業，最終將可能面臨營運不善或是因為欠缺對於資訊安全的認知，而造成企業營運上的巨大損失。

從國際資訊安全組織所發佈的研究報告或是資安風險與威脅情資，掌握未來的發展趨勢，可以理解不同的國際組織如何面對相關的資安問題，透過研究小組或是工作團隊的組成，針對所需要面對的問題進行研究，配合每年許多的國際資安會議，就不難發現目前從組織的研究成果或是產業所提出的解決方案，面對當下最重要的資安問題，如何因應以及如何減緩對於企業所帶來的影響，這些對於目前的企業營運以及資安產業的發展趨勢而言，都是相當重要的參考指標。