YouTube 影片
文字稿摘要:
Rich:
今天的主題是轉型必資安。 這次請到有多年大型公司資安經驗,對資安在數位轉型很有研究的智慧價值的CTO Victor。 這次特別請他來跟大家談談,資安在數位轉型的重要性。大家可能在想,Victor經歷過的大型公司是哪些?他的資安經驗是什麼?我們先請Victor來跟大家介紹。
Victor:
大家好,我叫Victor,那我的自身經驗在這大概有好幾年,那我先介紹我之前在遠傳電信負責行動應用跟智慧家電的一些, 那還有負責所謂的錢包,他也知道嘛。錢包是非常重視資安的,我那時候在遠傳的時候,為了那個資安,大概都花了6個多月時間,他把資安的解決,才讓系統上線,然後在電子錢包方面也是有多研究,因為處理資安才上線,那後來我我2019年到睿陽做資安,那資安、面最主要是負責的銀行方面的,現在導入原碼檢測、程式防禦拉網站防禦、open source防禦等相關機制。
大概80%的銀行都是我的客戶,所以我大概對銀行的資安,非常多合作經驗,因為跟用國外軟體,所以在國外的那個資安方面,也有蠻多涉獵的,那我現在在讀臺灣科技大學資管系博士班,那我們的實驗室也在做資安在作物/車聯網的資安,所以在資安方面大概有這些多年經驗,謝謝大家。
Rich:
然後其實大家可能常常在想,哦,聽說資安對數位轉型是很重要的一個部分啊,這個今年在我們協會,中華亞太智慧物聯發展協會的1月12號,一個多月前的大會裡面,他也有一個演講,專門在講這個部分,當然很多人都不知道說資安到底角色是什麼,所以我們是不是就麻煩Victor來跟大家講資安在數位轉型上,他的角色是什麼?
Victor:
在傳統的認知裡面都認為資安在找麻煩的,可是這幾年來資安事件的發生之後,大家對資安這個角色越來越重視,那從我的經驗來講,我們之前我剛開始在幫忙銀行做資安服務的時候,後來轉行做資安服務的時候發現啊,如果我們扮演所謂的顧問的角色,所謂的資訊跟顧問的角色是提供客戶。 或者是數位轉型方面,對資訊相關安全風險的評估等顧問的角色來協助。
協助那個廠商轉型,或者協助公司內部的數位轉型,是一個蠻重要的的里程碑啦。 以我的例子來講,像我們之前在幫疑難或者一些客戶在做的時候,都會做所謂的資料評估系統評估,還有一些法規的解釋。 那有些像現在很多法規會根據數據來查法規的一些規範或者一些建議。再怎麼做會比較好,這個是目前在做數位轉型資安的角色的重要點。
那很多人說那我們還要做哪一些呢?以顧問的角度來講,第一個可能會協助資訊的盤點,尤其現在最重要就是說大家為了除了轉型,然後你會把你的IT OT跟CT 系統全部變嗎?可是變之前你最好能夠帶領你的資安顧問或資安團隊的人員來協助你,好看看哪些有缺失的或需要改正的好。另外數位轉型重點就是要做資料整合嗎? 那資料整合,許多公司根本搞不清楚他的資料的分類怎麼做。
以我的經驗來講,我之前當一家同學的公司的資安顧問。 我大概幫他分了一下,第一個公司內部的資料,一定有所謂機敏性跟無機密性。 所謂機敏性,就是說它會影響到底供應商公司的內部的商業秘密。 你要把機敏性裡面有把它分解出來,否則洩漏出會有什麼情況?這時候利用數位轉型的時候要能夠協助她釐清這些事情,協助制定公司內部資安的角色,或者數位轉型中重要的一些里程碑。
資安服務的角色大概可以從這方面來看,從資訊法規系統,還有教育訓練等一些來安排,這是一個非常相輔相成的,一個很重要的一個角色,然後協助數位轉型能夠成功。
Rich:
製造方面,因為我們在講OT以前都不需要聯網,因為不需要聯網,所以他們就說,那我既然不需要聯網,駭客自然就攻不進來了,那現在因為聯網,反而因為機器太老舊哦,因為本身來講就是這些機器本來都是很老的機器啊,有運轉個20幾年、30幾年都很可能哦,而且是最老的,一般來講會到30年以上。這些機器本身的一些軟體的作業系統,然後其實都很老舊,而且平常都在運作,其實很難為了這東西特別去升級。其實像Victor他就很了解。就他印象很深,就是Victor特別提到很多製造業,現在不管是金融業和製造業都變成駭客的攻擊首要目標。
所以我們在講,你以前沒有注意到,但你現在不得不注意,因為你被他攻擊了,而且攻擊之後呢?損失還蠻慘重的,所以我們在講,今天其實我們講資安跟數位轉型的關係,是我知道資安其實我就是一個數位轉型的進行式啊,這是一個角色,然後呢?他有各個方面呢,就是剛剛特別有介紹的,另外一個就是我在做數位轉型,其實我們剛剛在講講的是什麼,因為為什麼要開放出來? 就是為了數位轉型。我今天為了數位轉型,我要連網嗎?我要聯網,結果我就開放出來,結果變成駭客攻擊的目標,接下來我們要請Victor幫我們介紹,所以要如何兼顧到資安? 我們請Victor來跟大家。 解釋這一段。
Victor
那數位轉型如何顧好治安呢?哦,這是一個很大的難題啊。每次所有的朋友問我說,那我怎麼做? 哦,基本上有幾個概念,可能大家心裡清楚一下,第一個駭客的攻擊,一般不會攻擊中小企業,但是有時候他不來攻擊你,你可能會被掃到颱風尾,我看到蠻多中小企業,基本上駭客應該不會有主動去攻擊你的意圖,可是因為不小心或者是其他原因,我的蠻多朋友都是這種勒索病毒的時候,他就問我說,為什麼我會被駭?我說基本上駭客時間是有限制,它通常通常會攻擊大公司比較多。
大家認為IT、CT及 OT是一個三方面的角色,即使在做數位轉型中,其實三方要互相合作,尤其是IT根根的同仁應該一起cowork來看一下公司內部的一些所有的問題啊,比方有幾件事情可能要了解,第一個你的轉型之後你只能整個的人員的編制安全的編制,還有你資料傳輸方面的沒有做好加密,你從資料從透過存到IT或者是存到雲端,你的整個資料有沒有資料流上面有沒有做好各式各樣的監控點,然後你的防火牆你的一些device是不是開default,還是沒有做出去之前就做過加密。
那還有一些問題,比方說像軟體安全可能要注意,因為大家知道嗎?IT是比較容易更新系統,那OT很難更新系統。 然後去的人跟系統,那我們怎麼做呢啊?通常有些做法就是說我再加個firewall去擋掉他,或者透過一些病毒惡意監看程式,去看一下有沒有惡意惡意的惡意的封包或惡意的駭客人來進攻,這是一個其他一種做法,然後市面上也蠻多solution。
那另外一個就是呃,所謂的安全的程式的問題就是說我們如何作為設定好的安全的機制好把資料送到IT。 因為要做大數據分析嘛好,所以這個這件事情在我們一般企業來講,可能大家常常忽略這些事情了,那如果說啊,我做IT也只要把網路打通就好了,這個其實是很錯誤的概念。 OT人員,希望能夠體諒說IT他們的一些不足的地方啊,因為他們對OT真的不了解,所以我覺得在數位轉型當中資訊長的角色,我覺得可能蠻重要的,他需要能夠把一些的概念定合在一起。
從剛剛我講顧問的角色來看,因為它必須能夠看整個數位轉型公司內部系統架構好,到底怎麼設計、怎麼規劃,然後權責怎麼做會比較清楚。 另外,因為我們從數位轉型中,既然要做數位轉型了,一定會有一些系統要建置,要打掉要重作,或者是要更新,或者是要做一些強化的事情。 第二,這個時間呢重新review一下,公司系統目前的架構:網路架構、程式架構、軟體/資料方面,也趁個機會做一次健檢的活動。然後了解一下公司內部的一些問題。
啊,我之前我印象中幫一個同學,到他們公司看一下他們網路的架構,他們工廠跟工廠之間的系統架構圖到底怎麼做,你是點對點來拿,中間有什麼需要做一些設定啊,或者一些需要。 做更好的封包的那個的防禦呀,這就需要當場看每一家公司的那個網路狀況了。
那除了IT跟OT CT之外呢,還有一件事情是蠻重要,就需要公司內部支持,就是教育訓練。 很多人都忘記教育訓練這件事情了,我要數位轉型,我人員的轉型沒有做到,尤其在資安方面,很多人還是按照以前辦法就把手機拿進來,都開始連連上網為了傳資料了,這個是一個需要從教育訓練方面來著手的螢幕。統計來講,科技大概只能達到七成八成之間,那很多都是人為漏洞造成的,所以資訊的教育訓練,對整個資安防禦啊,大概也佔20%-30%的那個的防護力的, 這個蠻重要的,所以我剛剛講提到IT、CT、OT需要能夠互相合作,那最好的。
Rich:
看來資安長要做這些事情,其實我之前就有跟企業在談,資安長在企業裡面是很重要的一個角色,尤其是面對茲安,因為整個數位轉型,但是對很多企業來講說啊,什麼叫資安長?我只有資訊長。其實他們對這方面是輕視的事,是沒有太多的一個感覺的。我記得我在去年的時候寫了資安方面的分析文,然後呢就發現一件事情,這個不只是資安人員而已,你要寫程式喔,都要特別去注意這個,然後DevOps上面都要注意到這一塊,因為程式開發不是那種我們想說產銷人發財IT的那個IT長做的,因為這個研發的人都有關係了。所以這樣子要兼顧到資安,因為數位轉型,你的產品也要做,所以我想也請立刻在這邊來講,因為我發現這個數位轉型,因為在剛剛講的哦就是比較偏向,資安長的一個部分,那兼顧到如果像產品之類的也是很複雜,那我們就請Victor來跟大家分享。
Victor:
我印象中歐洲買些規範,那如果以電子業來講,像一些比較大的電子業,他們為了要做所謂的數位轉型,他們要申請他們的產品去過國際資安認證,那通常第一件事情。 他必須去導入他們公司產品的開發流程,從一開始導入,因為他認為一個好的產品從城市從規格需求開始。 到產品做完中間,一定要把關。 只能像我們早期軟體開發系列,基本上就是軟體品質保證好,那在做數位轉型,你也做產品裡面,一定會有軟體,那針對軟體、或者硬體的一些需求,尤其是軟體。 它一定希望你能夠從需求面, 到開發到測試到結束,能夠做好完整的製造流程,
比如你需要做檢測,你需要做滲透測試,甚至你用第三方的套件,一定要做所謂的檢查。由於最近這幾年來大家用習慣了open source,那open source習慣之後,你裡面的資安問題其實是層出不窮的。 尤其是在很多產業都這樣子,你必須從開發人員就開始做,那從開發人員做完之後呢,你要怎麼辦呢? 你要去找一些資安的公司來幫你做你的產品的檢測,那檢測規範非常多,這樣子不介紹,因為根據你的產品的屬性,你可以去找你相對的那個實驗場域,去實驗場域做。
當然他也會要求你要做很多東西,像我們之前有一個案例,他就是做像我之前在做,我發現我自己的通訊協定沒有加密在雲端的資料,早期那個沒有想到說會有一些好的加密把我隱私全都處理掉了。 後來為了這件事情,我們自己也花很多時間在研究說怎麼做啊,因為以前都沒有那個資安廠商來輔導我們。那現在已經現在因為這幾年來資安是比較紅了,很多資安廠商也能夠有輔導這相關的經驗,所以如果說以公司產品來講,如果你做的是數位產品/數位轉型的產品,你做的是物聯網產品,如果你要做資安認證吶,很多時間是都可以協助你做。
這個是從我的一些建議來看吶,但是從公司內部來講的話,我倒入一個產品,我也要很care資安有沒有做好。這是蠻重要的,我常常之前我常常去演講嘛。 然後很多廠商就為了做出,就隨便買個camera,然後使用樹莓派,或者一些東西裝裝,然後就開始執行了,這個是一個很錯誤的概念,雖然你可能初期省很多成本,但是你要知道你寫所下載的第三方的套件,用的一些open source的東西裡面安不安全。我發現之前有蠻多個案例,就是因為open source裡面的東西已經蠻多惡意的程式在裡面,像有些會不會主動挖礦,或者是說他已經埋一些木馬了,這對公司來講,這是一個很蠻大的爭議,你把一些不好的沒有尊過認證的資安產品或者是程式碼引入到公司內部來啊,這個是就對IT來講,對OT來講,這無法防止的。
所以在做產品的時候,希望從需求面開始規劃上,就要把資安考慮在這裡面。 那你得提早做你的產品能夠更符合資安,這是我對物聯網資安的看法。而臺灣好像不是那麼重視資安長啊,所以我們講說可能以軟體的研發人員,至少這個東西你要去注意這個部分。
Rich:
剛剛Victor做很深入的解釋,然後還有我們講說,至少IT的資訊長也要注意這個資安影響到各個公司。其實就我印象很深,勒索病毒影響國內的企業目前為止最嚴重的,那我們講未來可能是更嚴重在物聯網的方面啊,為什麼說現在最嚴重?因為勒索病毒他喜歡攻擊哪些產業,現在他的前3名,第一名就是Victor之前經營最多的,金融業這一塊,他們第二名是政府單位,那第3名也是我是我的專注啊,就是所謂的製造業。為什麼製造業會變成現在很重要的部分,因為他們發覺製造業會付錢,然後他們都要求臺灣,很多公司都付了錢,然後有的公司願意承認自己付錢的公司,有的不願意承認自己付錢。
因為現在他有兩個東西是現在你真的很難防的,第一個是特洛伊木馬,他潛伏在你的機器裡面,然後一站一站進去,他平常不發作,一次發作就總攻擊,就突然被攻擊到了,然後就發覺說,怎麼會這樣,可是你其實被它潛伏了很久,他甚至連你的很多東西都已經拿到了,只是等哪一天可以開始發動。
以我自己在做物聯網的部分,我就在講說像我們之前一個很有名,就是物聯網資安兩個東西最嚴重,我們說就是IPCAM,為什麼?因為IPCAM當初設計的時候,就是大多使用超級簡單的密碼,因此超級容易被破,破了之後呢就變成這些駭客就拿來做DDOS無差別地阻斷式攻擊,其實就是發一大堆大封包到你的地方,然後根據我們現在網路的特性,其實真正要進來的東西都進不來,所有的頻寬就卡在這上面,然後才開稍微開始去重視。所以就呼應剛剛Victor講的一個很重要的重點,就是你程式設計要思考好,之前就是都沒思考,覺得跟我沒關係,這也是現在的東西,因為在工廠裡面思考的不好,被人家勒索,然後在程式設計上你也沒思考好,所以你的東西呢反而變成個大漏洞。 就像我們講IPCAM是最大的漏洞,所以我們現在就在講一個東西就是我們要如何去防?
那剛剛講到第二點,重點是攻你的東西是有很多部分是來自所謂的AI攻擊,他不是人來發動攻擊,不是很簡單的程式,它有AI學習你的東西,這個東西是速度超快,應變超快,因為它是AI,他不是人,也是我在去年啊,去參加所謂的資安大會,資安大會上一個很重要的主題叫零信任。如果要談資安的未來展望,零信任應該是現在第一步你要做的這個部分,所以在接下來我要請將資安就數位轉型資安的未來展望。
Victor:
因為大家認為防堵是沒有用的,因為對軟體軟體來講,為什麼軟體沒有用呢?因為當年我們發展系統就是沒有考慮到資安網路封包概念,也沒有做資安的規劃。 一切只是為了讓電腦可以通訊,資料可以傳輸。 所以在整個軟體界,我們不管怎麼做,基本上沒辦法做到百分百,那既然沒有做100%,那我們怎麼辦呢?所以我們要提個所謂的新概念,就是反正你也達不到,那你只能做什麼? 只能做所謂的災後復原,很多人說災後復原重要,基本上我不知道哪些公司有做災要復原演練。 你在做連線之前,你先想說,如果我公司被攻擊了,哪些資料是最重要的,我必須可以復原回來,我怎麼做?然後我之前沒有做好備份?
如果說以現在以勒索病毒來講,勒索病毒為什麼會那麼猖獗?第一個,它很容易做,而且你也擋不下來,基本很難擋啦。你擋的成本非常非常高,那唯一的方法最快的解決方法就是你做好資料備份。去年我好幾個不同公司,都被鎖定攻擊了,他知道有資料備份啊,可是他們備份方法是錯的,它沒有採用321的概念來做,所謂321的概念,就是我資料至少備份3份。 然後 二是什麼意思?所以我說該備份的資料,備份在兩個不同實體的資料上面,我可能備份到隨身碟備份到光碟或備份到其他地方,一是要異地備援,那通常目前都以雲端備份比較多啦,所以務必做好3加2加1地的備份。
然後至少導入之後,你能夠做好一次實地演練模擬我公司如果被駭客攻擊,整個資料損毀後,我可以救回多少資料?這個理念務必一定要做,我不一樣,至少你至少做過一次,你才有機會。 那你現在跟我剛剛講一個概念,說那為什麼零星的大家覺得說,我為什麼都防止不了呢?就像我們現在Covid-19一樣,基本上他會一直病毒一直變。就剛剛主持人講的AI,AI的攻擊模式,我最近這幾這這近半年來都在K一些AI攻擊的論文,我發現真的是擋不住啦,因為從AI的的演進來講,AI它可以讓整個攻擊模式快速變化,而且他能夠學習你的你的主導模式,那有像以那個網站來講好了? 你說網站被攻擊會怎麼樣呢?網站如果被攻擊,第一個你也不知道。 哦,因為它會在你裡面埋入他要的攻擊模式。 那現在駭客的攻擊模式,DDOS通常以以目前來講都只是假象,他為什麼他會所謂調虎離山之計,他想要你公司的資訊,因為現在對企業來講,公司的資料是最重要的。 第一個你要付錢買它網上被攻破了都不會怎麼樣?網站攻破了重新重新復原就好了。
所以現在駭客,有些像我最近觀察有些企業真的被攻擊,自己被攻破之前啊,通常會受到大量的第二次攻擊,那所有資訊人員全部跑去去阻擋那件事情而忘記了內部攻擊才會剛剛發生而已,那這種事情很難防,因為我剛剛提過了, 軟體 到到現為什麼沒辦法安全?我只有我記得我在很多大學的那個資工系演講,第一個軟體設計是為了給工程寫程式的,它整個架構是沒有包含資訊安全,尤其作業系統根本沒有安全的概念。 網路當初在設定上就是要把資料送出去而已啦,我怎麼確保我資料送出給A點到B點? 那我可以保證送到啊,但我我沒辦法保證我送過去的資料沒有被被加工啊或怎麼樣,這件事情就是電腦的軟體的特性,這個沒辦法,這是沒解的。
所以說市面上很多人說啊,我可以做到多少的防禦機制,那目前大概大概只號稱我可以大概做多少而已啊,沒有人沒有一套資安工具說我可以做100%,但是永遠做不到的。 好,那除了除了那除非說你們公司像臺積電這麼大,那當年發生資安事件之後,這幾年來他花了非常多時間去做他半導體的資安規範,引進非常多的資安工程師,基本上是無上限的,為了強化他的資安。為什麼?因為他很多商業秘密,很多重要資料都不應該因為資源而讓公司蒙受重大損失,所以他可以投資非常非常多的錢來阻擋駭客攻擊,還有做很多很多的規範,我認為,我看到的結果是因為臺積電在2021年年底發表了一個半導體的資安白皮書,他這件事情會影響到許多的產業。
就跟銀行一樣,銀行也有很多資安規範,如果你要跟銀行串接的話,他要求的東西非常非常多,臺積電一定也會這樣做,那既然臺積電的的直接的廠商會這樣做,所以我看好的是。 臺積電這次的半導體的這個資安規範,會影響到臺灣所有跟他相關相依性產業的那個整個資安的。那至於說零信任呢,就是說你不要相信你電腦是安全的。
沒有留言:
張貼留言