RSA Conference為國際資安產業盛事,自1991年開始舉辦,引領全球資訊安全趨勢,全球廠商積極參與此展會,展示最新資安技術,為目前了解國際資安趨勢與大廠策略最重要的國際資安活動之一。今(2018)年4月16-20日於美國舊金山舉辦的RSA Conference(USA)計有 577 家全球廠商參展,包括資安網路防禦廠商、物聯網資安解決方案廠商、電信商、資安相關協會組織、研究機構,及以國家館形式參加的廠商等。分析此次大會的聚焦議題,為你歸納出以下資安產業發展趨勢。
作者:資策會國際處
======
一、 人工智慧
從今年的情況來看,人工智慧開始越來越和雲端運算的普及搭上關係。比起過去,相關討論從極端回歸中立,二者不再是一方完全取代另一方的關係。大家正在學習如何利用人工智慧成果來補充、放大並強化自身的活動,包括運用在更多實際領域,如自動駕駛車輛、虛假新聞檢測、生物識別認證、缺陷檢測與預測、IT配置驗證以及DevOps等。然而,好人與壞人都能夠利用到這些最新技術,人工智慧背後所隱藏的黑暗面與隱私含義也開始得到更為廣泛的關注。
二、 人為操縱
通過技術實施人為操縱在本屆大會上同樣成為關注焦點。因為當有心人士掌握由各方意圖所驅動的情感思維與行為之後(最典型的例子是2016年的美國總統大選),人們能夠實現心理思考操縱,並借此以多年為週期對攻擊目標的聲譽造成嚴重危害。考慮到在對方未作準備的前提下,操縱意見並實施後續行動極為簡單,一部分與會者擔心與財務報告、社群媒體貼文以及健康記錄等相關的資料細節變化,都極有可能對個人、組織、國家乃至全球造成長期持久且極嚴重的負面影響。而隨著技術的進步,創建照片、錄音與影片都開始變得非常容易,因此,採取哪些保護措施以確保思維與資料的完整性變成是一關鍵課題。
三、 工業控制系統(ICS)與供應鏈攻擊
供應鏈攻擊之於2017年,正如勒索軟體之於2016年。NotPetya的出現給製造行業敲響了警鐘,提醒他們應該更注重供應鏈安全,並加以審查。與其它類型的網路威脅一樣,工業控制系統攻擊在過去幾年中一直呈現出規模性與複雜度上的雙重升級,而這源自於工業系統連線性的不斷增強。此次議題集中在工業控制系統網路攻擊的獨特性上,如攻擊者的意圖、複雜性與能力、對工業控制系統與自動化流程的熟悉程度等。此外,大會也開始探索一些由供應鏈攻擊造成的「附帶損害」,即一輪攻擊帶給供應鏈中的其它無關方帶來的損害。為
其中有一項議題解析了駭客對工業系統的安全輔控系(統Safety Instrumented Systems)所發起的攻擊。其代表是2017年年底的Triton/TriSIS 事件,這個攻擊針對工業環境中最高風險元件,危及工控系統中生產事故及人身安全的最後一道防線。由於工業領域的設備數量龐大、組成複雜,作業系統更新和危險防護措施都難以及時落地,一旦其中一項遭遇攻擊,將造成嚴重威脅。
綜合來看,各大廠商均建議工業企業要制定 IT 和 OT 的安全性原則,從架構上和配置上整體考慮安全防護、應用 SOC/NOC 進行網路管理和危險探測、建立 IT 和 OT 一體化的安全團隊等。各廠商的具體解決方案也有一些可參考的創新之處,如 UPTAKE 公司提出對工業大資料進行安全監測和回應,盤點工業企業資產、獲得全面的安全可見性、對威脅進行分類、調查以及補救來解決工業企業 OT 安全問題。Monaca 公司則宣導用加密的方式從基礎開始建立可信度,保障工業控制系統和工業物聯網(IIOT)的安全,提供支援ARM、MicroChip、ST、Atmel等30多種嵌入式平臺的類OpenSSL信任平臺,可以原始程式碼方式提供,開發者將之編譯進不同目標設備,確保聯網設備安全。此外,還有多家公司提出SDN平臺、混合基礎設施和智慧製造全覆蓋、安全且可信的數位基礎架構等多種解決方案來應對工控安全問題。
四、 區塊鏈
今年區塊鏈技術也成為一大關注重點,特別是對其從理論到實際應用的探討。隨著區塊鏈技術的升級與擴展,一些人士指出有必要為其制定真正的標準與安全協議。區塊鏈正越來越多地作為物聯網、支付(無論實際規模如何,特別是點對點支付)、身份、ICO、忠誠度計畫、共用資源分配以及聯網設備等的有效解決方案。相關組織正積極探索區塊鏈技術中的分散式信任模型與可用性,如何作為安全解決方案實現用戶管理與自身管理,並借此幫助企業改進運營能力、安全性並帶來新的服務類型。此外,壞人們當然也不會錯過區塊鏈這一重要機會。
最近的研究結果表明,大多數企業並沒有將區塊鏈技術應用於生產實踐,實際應用於生產的企業只占 3%,28% 的組織正積極測試區塊鏈、20% 的組織正處於發現或評估階段、4% 的企業正在測試或試用區塊鏈技術、2% 的企業正在測試或開發區塊鏈產品。
在大會上,來自 Verizon 和 Linux 基金會等企業的代表強調,要為安全創新概念化設定基準問題,並分享了關於區塊鏈建設的經驗。企業在應用區塊鏈技術,收集要求時,需要涉及信任模型、管理、身份和保密等內容。區塊鏈只是一個工具,並非一項業務。企業廠商需要擺正態度,不能把區塊鏈當做靈丹妙藥,而應當從實際應用角度來思考其在安全領域的發展。目前,企業對區塊鏈技術的應用仍處於探索階段,到2019年的大會上,採用區塊鏈技術的產品或解決方案或許會成為亮點。
五、 物聯網與醫療設備
長期以來,物聯網安全一直在安全領域佔據著重要地位。小到家庭溫度計、智慧電視,大到智慧汽車、工業控制系統,這些聯網設備不具有統一的安全標準,凸顯出的安全問題也數量龐大、各不相同。由於物聯網與人們的生活息息相關,其安全的重要程度也不言而喻。
本屆會議的物聯網內容主要集中在解決方案層面,不再是以往的強調發現了哪些問題。更重要的是,還考慮到與醫療設備相關駭客攻擊及保護手段。議題討論到技術性解決方案是否足以解決醫療行業所面臨的挑戰,抑或需要配合監管制度才有可能建立起真正可行且可靠的方案。另外,人們還關注如何對來自這些設備的資料進行調查,呼籲行業更好地管理這些遠超必要資料量的收集資訊,同時確保不在未經原始擁有者許可的前提下進行共用。在這方面,隱私與安全再次成為重要的對話內容。
在展會上,有很多專注於物聯網安全的廠商,其中一個有代表性的就是Lynx。該公司產品可以通過將內核、記憶體、應用程式、系統和其他資源互相隔離的方式,打造更加安全的互聯網環境。當然,對於開發而言可能效率會有所減緩,但這種方法對於航空電子設備、醫療設備等與人身安全密切相關、對安全要求更為嚴格的領域而言至關重要。
六、 基礎設施
除了ICS攻擊之外,今年也包含大量與基礎設施相關的議題,特別是與DNS以及端點相關的內容亦有所增加。今年的內容包含大量與軟體定義邊界相關的資料,包括DISA暗網、Jericho、零信任模型以及Google BeyondCorp等。最終用戶開始討論這些議題,而不僅只有供應商在為此作出承諾。此外,也有更多與修復相關的討論,這很可能源自人們對勒索軟體活動與Equifax安全違規等事件的擔憂。在這方面,自動化概念與監管要求再度出場,專家們開始爭論是否應將更新修補程式視為強制性要求。
七、 GDPR
GDPR(General Data Protection Regulation)是歐盟2016年4月通過的關於個人隱私資訊與資料安全的一項法規。該法規將於2018年5月25日起正式執行,一旦開始執行,無論公司總部在哪裡、資料存儲與處理在哪裡,只要涉及與歐盟進行商品交易,或收集、處理歐洲居民的個人資訊或行為,就必須遵從GDPR。實際上,除非將歐盟市場排除在外,否則就在GDPR的管轄範圍。這個規範厲害的地方就在於它的強制性,歐盟每個國家都成立了監管機構執行GDPR,一旦確認企業違法,將面臨最高2000萬歐元或全球年收入4%的罰款。
在本次大會中,多家業者提出協助符合GDPR的解決方案,協助企業快速部署解決方案,以達到GDPR對個人資料收集與資料安全的要求。
八、 DevSecOps: 安全融入開發運營
大會上的一項報告表明,在企業開發生命週期中,應用安全實踐的年增長率達到 15%。擁有成熟 DevOps 實踐的公司中,有 59% 的公司將安全自動化納入了開發過程,有 88% 的公司投資在應用程式安全培訓;有 63% 的公司表示會利用安全產品來識別容器中的漏洞。越來越多的企業意識到講安全納入開發運營的重要性,並預計或已經採取措施落實DevSecOps。
Contino 的聯合創始人兼技術長Benjamin Wootton 認為,僅僅在DevOps過程中採取安全思維是不夠的,需要全面落地DevSecOps,將安全當做軟體交付過程中的基礎原則。這不僅關乎開發、部署和安全的自動化,還涉及改變整個組織的架構,包括技術團隊和其他團隊,這都決定著整個軟體的開發週期。如果安全人員意識到這一點,就會發現,DevSecOps 會成為所有大組織的選擇。
九、 人的因素
今年Cisco的SOC團隊和大會合作,在大會期間,即時分析並展示會場的無線資料流程量和高級惡意軟體等威脅情報。結果發現觀察到的安全隱患有:展會期間,使用POP, IMAP2, SNMPv2等較舊的協議來傳輸未加密的Email流量占了30% - 35%。在這種情況下,即使終端使用者使用的密碼強度很高,依然不會起作用,這樣就會引起郵件資料洩露。相比去年,今年通過控制受害者的用戶端來盜取計算資源,在受害者不知情的情況下進行加密貨幣挖礦的攻擊方法也有所增加。app的認證可能安全,但認證後的資料卻是透明的,對使用物聯網設備的使用者,攻擊者會連接使用者設備,比如門鈴、攝影鏡頭、使用者購物和行動記錄來觀察使用者的周圍環境、愛好習慣、日常生活等。
除了複雜的網路環境和駭客攻擊帶來的外部威脅,在企業內網中,各種企業內員工的違規操作或惡意竊取事件也不斷被曝光,成為另一類重大安全隱患。因此,在大會上,安全負責人已經開始將身份認證以及資料安全視為新的安全邊界,圍繞這些話題展開了探討。有調查顯示,企業內部員工的行為表現往往是危及企業資料安全的關鍵因素,60% 的情況下攻擊者能夠在幾分鐘之內搞定一家企業的網路入侵。而企業供應鏈也成為網路攻擊者的新目標。供應商、管道商常常受到專業人員、資金投入等方面的局限,無法為其所服務的網路資源提供可靠的安全防護,成為企業遭受攻擊的一個重要管道。因此,企業在應對外部威脅的同時,也要加強對內部員工的審核和安全意識培訓,由內到外切實保護好企業安全。