物聯網的資安攻防大戰!臺灣該如何見招拆招?
110/09/22
曾繁安
科技大觀園特約編輯
資策會資安科技研究所王仁甫策略總監專訪
5G 科技讓萬物聯網的新紀元已經來臨,代表著機器與機器溝通,人類過上全自動化的超便捷生活不再是夢。但這同時也意味著科幻電影中,邪惡駭客組織攻占重要機關的主機系統,引發一連串資安問題,甚至攸關社會國家安危的重大事件,也可能在現實中發生!
科技帶來的便利與風險並存的這個世代,來聽聽資安專家——資策會資安科技研究所王仁甫策略總監的精彩分享,一起思考 5G 物聯網下面對的資安挑戰。
一起跟資安達人瞭解 5G 如何翻轉我們的生活!
「16 年前一個月黑風高的夜晚,博士班學姐的一通電話,讓我踏上資安這條不歸路……」
問起投入資安領域的契機,王總監用打趣的口吻開場。當時在學姐的建議下,他參與了設計國内第一個資安指標的工作,從此開啓與資安的不解之緣。自稱「資安界 56 哥」的王總監,雖非一般人熟悉的另一位仁甫兄,但他對科技資安研究的敏銳觀察與豐富經驗,肯定令人甘拜下風。
他談到,4G 網絡的發展令網紅經濟崛起,你我都不曾想像『點讚、訂閲、打開小鈴鐺』會變成一種常態。而接下來的 5G 物聯網,將帶來更大的轉變與衝擊。
為什麽比起 4G,5G 有「大頻寬、高速率、低延遲」的特性?這是因為目前 4G 所在電磁波區間(約 450 MHz ~ 3800 MHz)已塞滿用戶,讓網速變得越來越慢,因此人類便把腦筋動到頻率更高的毫米波頻段(約30 GHz ~ 300 GHz)。增加了 5G 的區段,就像從塞爆的車流中,移到空曠的新路上。而頻率越高,頻寬也越寬,這條道路不止空曠而且比原先的更寬闊,於是訊息的傳遞能暢行無阻,理論上可比 4G 快一百倍!
「5G 最重要的,就是可以達成邊緣運算(Edge Computing)。」
王總監舉例,自動駕駛和遠距醫療還未普及,是因為傳統仰賴的雲端運算(Cloud Computing),傳輸訊息的速度不夠快,且成本高。雲端運算可以比喻作中央集權制,凡事都要經過朝廷皇上批閲議決,效率自然較低;但邊緣運算就像地方分權,讓數據可以直接在收集端附近實時處理和分析,無需先上報到雲端進行存儲、管理和分析運算,節省了上傳等待運算的時間,也減輕網絡和服務器的負擔。
在高速公路和手術檯上,微秒之差就是生死關頭。而 5G 搭配邊緣運算,大大提高的數據傳輸速率與極低的延遲,讓自動車之間可以維持安全的相對距離,遠端控制的手術刀可以精準無差地落在正確的部位。
也有賴於 5G 科技,需要大量運算資源的人工智慧(Artificial Intelligence,AI)也可以實現。這些發展促成物聯網(Internet of Things, IOT)的建立,機器和機器之間可以達成溝通,整合各方數據資訊,迅速有效率地完成各種指令。小至個人智能家居,大至工廠機械、重要基礎設備如水壩、發電廠等等,都能踏入數位自動化的新境界。
越方便就越危險?機器與機器的連接也要小心
不過,5G 的特性也改變了用戶與網絡間的關係。傳統 4G 是直鏈狀的系統,由電信商自上而下提供網絡,再經由應用程式界面(Application Programming Interface,API)提供服務給用戶,存在一個封閉式的層級關係。但速率快、訊號覆蓋範圍較小的 5G(注1), 則是由邊緣端、應用裝置及用戶組成,數據傳輸相互往來的三角形體系,不再有上下權限差別的限制。為了形成物聯網提供更多應用,5G 網絡也變得更對外開放,被駭入的風險也會提高。
研究專長為駭客行爲的王總監提到,如今網絡犯罪的作案手法越來越多元。過去搶匪洗劫銀行,還要擔心實體鈔票金條太重,扛不動。現在駭客只要動一動手指,就能利用惡意程式讓銀行的上億元瞬間消失;或使用勒索病毒,鎖定廠商的資料庫,再以巨額款項要挾,否則就把重要生產機密銷毀或公諸於世。
「5G 應用得越深,危害的情境就越高。」
未來 5G 物聯網可能面對的兩大資安威脅,包括用戶 IP 可能被駭入後,可能被用作惡意中繼站或跳板繼續攻擊另一方,讓受害者同時也成了加害者。再來,當物聯網涉及的層面越來越廣,假如被不法分子入侵掌控的是自駕車、基地台,甚至是重大國家基礎建設如水壩、發電廠等等,造成的損失傷害不堪設想!
網絡戰資訊戰開打,台灣如何接招還擊?
從個人角度,平時養成謹慎小心的習慣,不隨便亂點不明連接,隨時留意最新的網絡犯罪手法,是保護自己的不二法門。但在通訊科技發達的今時,第三次世界大戰很可能就在網路上發生,資安可是攸關國家安危的重大議題。
自 2016 年起,台灣便喊出「資安即國安」的口號,而王總監也參與在草擬「資安即國安」1.0 與 2.0 戰略的工作中。在1.0 戰略中,首要步驟就是將資安鐵三角(資訊安全、通訊安全、國家安全)正規化。政府也修訂相關法規,將資訊和網際空間延伸為國家主權的一環,並把駭客攻擊與竊取智慧財產,納入情報蒐集的工作,才能為網絡戰做好準備。
「守護要自己來,就需要有人才。沒有資安人才,就沒有基礎的資安;沒有錢投入,也不會有資安人才。」
王總監强調,一個國家的資安要做好,最重要的就是資源與人力的投入。如果國内資安產業沒有妥善發展,資安人才缺乏,就必須仰賴國外的產品。若系統程式都不是由自己人開發,而是假手於他人,便難以確保檢測過程的可靠性,往往等到資安事件發生後,才驚覺漏洞的存在。因此,政府也編組了多支專業團隊,培訓資通電軍與資安產業人才,為國内資安把關。
而「資安即國安 2.0」的重點,除了規劃新設數位發展部、成立專責的資通安全署,就是主動式防禦(注 2)——與其乖乖等著被人打,不如自己先請外部團隊攻擊自己,作資安測試,去找出資安漏洞和弱點!舉例來說,業界為了找出系統防禦上的漏洞盲點,常會委外進行紅隊演練(Red Teaming)。就像在進行軍事演習,紅隊扮演進攻方,以無所不用其極的方法嘗試入侵,同時驗證藍隊防守方的偵測與回應能力。這樣的演練成本可不低,一次就要三五百萬臺幣起跳。
但台灣不用付錢,就有免費的資安攻防演練!王總監如此笑言。這是因為,在全球最常受駭客攻擊的國家排行榜上,台灣可是位居前列。根據網路資安商 Fortinet 的報告,2021 年第一季台灣遭受到超過兩百萬次的駭客攻擊,平均每分鐘就會遭遇逾 15 次的攻擊!所謂危機就是轉機,這些源源不絕的攻擊,也讓台灣深具適合發展資安產業的龐大潛力。王總監認為,資安產業要像台灣未來的台積電,扮演護國神山般的角色。
想投身資安產業?不需要獻出心臟,只要有一顆熱忱的心
「投入資安產業不要限科系,但是要有一顆熱忱、學習的心。」對於有心想往資安領域發展的年青人,王總監給出這樣的建議。
雖非資訊科學出身,但大學的工程背景,讓王總監有了程式語言的基礎。後來他取得經濟學、法學雙碩士,前者使他瞭解產業界的趨勢走向,法學則令他知曉資安重合規性與合法性的重要。在科技管理與智慧財產權領域的博士論文中,他則從社會學、科技研究的方法分析駭客行為。他表示,跨領域的學習可以讓他從更廣濶的視角,釐清各方問題之後,找到痛點,來提供更好、更全面的科技與資安政策。
王總監指出,這一代除了要與人溝通,還要學會與機器溝通,所以掌握好程式語言的邏輯基礎是重要的,因此王總監所在的資策會資安所,除了研發研發資安監控平臺,將研發的成果技轉給業界,同時他也擔任台灣駭客協會(HITCON)理事和社團法人臺灣校園資訊安全推廣暨駭客培育協會(TDOH)理事,推展培育資安人才的各項活動,未來希望能舉辦小朋友駭客營,讓孩子在小學階段就能接觸和體會程式語言是有趣的。他也勉勵年輕人,能力好的可以負責找漏洞和抵禦攻擊,站在資安攻防戰最前線;即使程度不夠拔尖,也可肩負資安維運的工作,在各自的崗位上適才所用,都能為守護資安和國安,盡一份心力。
根據光速等於波長乘以頻率(c = f × λ)關係式,我們知道頻率越高的波段,波長越短,穿透能力強。所以 5G 電磁波訊號遇到障礙物時,會想强行穿越而非「繞」過,繞射能力弱,造成散失的能量大。因此 5G 雖然有著高速率、低延遲的優勢,弱點就是訊號覆蓋範圍小,故需要設置夠多的基地台方可實現,而電信服務商會提供用戶建設專網——既不同於覆蓋範圍大的公網,而是擁有特地目的、獨立運作的網絡系統。
此外,主動式防禦也包含三要素:歸因、阻斷、減災。歸因便是找出攻擊的背後原因,釐清駭客的犯案動機,才能對症下藥。再來,對惡意程式來源進行阻斷,往後才可以減少再次被入侵的風險。
附圖:王仁甫
和台灣知名藝人同名同姓的王總監,説話風趣幽默,整個採訪過程充滿笑聲。圖/台灣資安大會
邊緣運算架構
邊緣運算架構與傳統雲端架構不同的地方是,資料將改放在網際網路和本地網路之間的邊緣運算層作處理,等資料變少了,再將處理後的資料回傳雲端。
攻擊
台灣平均每分鐘就會遭遇逾 15 次的攻擊,源源不絕的攻擊讓台灣深具適合發展資安產業的龐大潛力。圖/pexels
資料來源:https://scitechvista.nat.gov.tw/Article/C000003/detail?ID=0853796d-0b42-4a72-a0cb-ed70ddad9f77&fbclid=IwAR2H03H3PtQ6JhtQIy6KpMaz78iFa7NBgfizoTzEbAGba_58W6guaSHYBkg
同時也有22部Youtube影片,追蹤數超過75萬的網紅志祺七七 X 圖文不符,也在其Youtube影片中提到,本集廣告與 「初聲新聞獎」合作播出 「初聲新聞獎」想重新定義新世代的好新聞 鼓勵熟悉數位媒體的世代挑戰新的形式 用兼具專業與創意策略的新聞抓住目光 對群眾產生更大的影響力! 了解更多參賽資訊:https://pse.is/3e4zw3 #新聞要真 #也要迷人 本集節目內容由志祺七七頻道製作...
資安政策 在 高虹安 Facebook 的最讚貼文
▎ 從行政院國發基金創業投資電腦系統遭駭事件,看台灣資安現況 🧐
「資安即國安,切莫淪為口號!」
有鑑於近年來國內外資安事件頻傳,虹安於國會問政也經常關心我國資安政策與規劃。甫於上個月,行政院國家發展基金的創業投資電腦系統遭疑似來自中國大陸的駭客惡意入侵,顯現出政府機關的資安意識與作為仍然相當薄弱,所謂的「資安國家隊」似乎僅淪於口號而並非具有實質作用?
💡前情提要💡
6月底,行政院國家發展基金的創業投資電腦系統突然無法開機,近日終於釐清原因,該單位的電腦遭疑似來自中國大陸駭客惡意入侵,導致系統主機遭植入病毒程式,該單位主要負責國內產業新創與公司轉型業務,此事件已通報為三級資安事件,影響層面涉及投資企業與融資業務、個人資料恐已外洩...等,屬於極度嚴重的資安事件。
虹安曾多次公開呼籲,政府或企業要提高資安意識,且應定期執行模擬演練攻擊;政府也應該儘速盤點相關政策,加速產官學研資安防護能力。比如說定期執行紅隊演練攻擊(模擬駭客入侵,對各企業端點進行攻擊)的服務,藉此找出資安防護的弱點加以改進。全世界皆面臨著資訊戰以及日益猖獗的惡意竊盜資料的網路攻擊,近年更有許多企業遭到駭客組織的「勒索軟體即服務」(RaaS)新興手法攻擊,公私部門之資安意識、能力和人才提升,勢必得馬上佈建、徹底執行。
🎯🎯🎯國發基金的創業投資電腦系統遭駭,問題可能出在哪?
① 重要主機資訊系統並沒有資安團隊或資安人員進行主動積極防禦,突顯資安人才短缺問題造成的影響仍持續擴大。
② 資訊系統委外開發及維運,顯然並沒有進階資安防護的要求,造成甲乙雙方置系統安全不顧。建議應檢視所有目前政府重要系統委外營運之合約,無論新舊,對於資安的要求是否符合規範。
③ 國發基金系統既然委外由兆豐銀行開發及維運,此事件是否表示兆豐銀行在資訊安全管理上有所疏漏,不知是否有檢視兆豐銀行整體資安防護措施?雖然在金管會要求下銀行都有專屬的資安團隊及應該做好的防護,不過今天的事件,是否代表著兆豐在資安維運上存在某種瑕疵?又,這類的事件是否會在銀行系統中發生?
如果今天遭竊的不是所謂四五年前的舊資料,而是所有納稅人的血汗錢以及國庫資金?後果不堪設想。
所以,當我們發現國發基金委託外部建置的系統至今毫無有效的資安防護措施、一遭攻擊就破功,著實令人震驚!此舉形同開大門邀請別人來攻擊,#門打開嘸人顧厝,這樣的疏漏相當嚴重也不可容忍。試問數以百計政府機關單位中,是否可能還有類似情況?人民、企業、甚至是國家該如何有保障?
剛出爐的《109年國家資通安全情勢報告》才寫道:109政府單位資安稽核重點是以「行政院所屬部會行總處署」為主,隸屬於行政院的國發基金系統竟然仍存在著資安薄弱的問題!
🔊 虹安再度呼籲,行政院應該要針對所有政府機關與國營事業做 #資安總體檢,找出系統弱點漏洞,否則以台灣政府單位每年遭受2-4000萬次網路攻擊的頻率(2018年公開資料),政府重要機密與民眾個人資料如何能有效保障安全,實在令人高度憂心!
資安政策 在 iKala Cloud Facebook 的最讚貼文
【最佳實踐】你的資料安全嗎?
教你 4 招 👉 https://bit.ly/3cOiGz0
將資料儲存雲端能有效降低成本、更快擴展
而好的儲存空間還必須滿足 #隱私 #安全 需求
這也是 Google Cloud 的首要任務!
本文教您 4 招,定義您的 #資安政策
設置完善的 #存取控制
保障您放在雲端的資料安全又划算!
.
閱讀更多👉 https://bit.ly/3cOiGz0
.
#GCP #GoogleCloud #CloudStorage #IAM #數位轉型就找iKala
資安政策 在 志祺七七 X 圖文不符 Youtube 的最佳解答
本集廣告與 「初聲新聞獎」合作播出
「初聲新聞獎」想重新定義新世代的好新聞
鼓勵熟悉數位媒體的世代挑戰新的形式
用兼具專業與創意策略的新聞抓住目光
對群眾產生更大的影響力!
了解更多參賽資訊:https://pse.is/3e4zw3
#新聞要真 #也要迷人
本集節目內容由志祺七七頻道製作,不代表 初聲新聞獎 立場。
✔︎ 成為七七會員(幫助我們繼續日更,並享有會員專屬福利):http://bit.ly/shasha77_member
✔︎ 購買黃臭泥周邊商品: https://reurl.cc/Ezkbma 💛
✔︎ 訂閱志祺七七頻道: http://bit.ly/shasha77_subscribe
✔︎ 追蹤志祺IG :https://www.instagram.com/shasha77.daily
✔︎ 來看志祺七七粉專 :http://bit.ly/shasha77_fb
✔︎ 如果不便加入會員,也可從這裡贊助我們:https://bit.ly/support-shasha77
(請記得在贊助頁面留下您的email,以便我們寄送發票。若遇到金流問題,麻煩請聯繫:service@simpleinfo.cc)
#區間測速
各節重點:
00:00 前導
01:19「初聲新聞獎」廣告段落
02:34 區間測速是什麼?
03:37 政府為何愛用區間測速?
04:35 出包再出包?問題不斷的區間測速
06:16 爭議點一:速限不合理?
08:05 爭議點二:馬路更安全了?
09:07 爭議點三:區間測速侵犯人權?
09:54 爭議點四:十次車禍九次快?
10:45 我們的觀點
12:27 提問
12:55 結尾
【 製作團隊 】
|企劃:品維
|腳本:品維
|編輯:土龍
|剪輯後製:鎮宇
|剪輯助理:歆雅/珊珊
|演出:志祺
——
【 本集參考資料 】
→西濱彰化段區間測速不準 3627件罰單全銷:https://bit.ly/3h3ptYo
→不只進駐台中,中國海康威視「天網」早已籠罩台灣 :https://bit.ly/3ek25Ee
→設置區間測速,再加上不合理的速限,反而造成更多交通事故?_邱顯智:https://bit.ly/3toSyQG
→逾700名騎士參加「北宜乖寶寶」活動 反對政府濫設測速|北宜公路|區間測速|抗議活動:https://bit.ly/33ekvjJ
→熱線追蹤 - 區間測速執法 超速者剋星:https://bit.ly/3b3hKpL
→北宜公路全路段區間測速引反彈 新北改採分段輪流實施:https://bit.ly/2PSztsw
→北宜公路「設8段區間測速」 PTT兩派掀戰:全台最大停車場上線囉:https://bit.ly/33grBnD
→【反區間測速5】 誰才是人民的真正敵人?剖析區間測速背後的真相!:https://bit.ly/3b1YXer
→區間測速國家標準拍板 科技執法公信力UP:https://bit.ly/3tiPGVt
→新北首處!萬里隧道7月起以「均速」抓超速:https://bit.ly/3ejchNq
→區間測速爆中國製造引發資安疑慮,交通部拍板暫時停用:https://bit.ly/3xLYc2I
ㄒ區間測速在鬧什麼?_Leo, that Taiwanese. 理觀點 https://bit.ly/3eNdmMk
→「全國最大的區間測速上線啦」_邱顯智:https://bit.ly/3ekqcD2
→區間測速養出烏龜車!駕駛痛批:反而更危險!:https://bit.ly/3xJYWp4
→區間測速沒驗證,人民變成提款機?【20200428_交通部門質詢】:https://bit.ly/3xPDajG
→『超瞎政策區間測速』台灣歧視機車?只有機車需要區間測速?康康嘴機車:https://bit.ly/3ultzz4
→區間測速問題出在哪?台灣道路設計怎麼救?交通議題 ft.火花羅(上)|二輪聊天室:https://bit.ly/2SuvpQ7
【 延伸閱讀 】
→【區間測速的速限合理性feat.自由車流】 2020 05 20 邱顯智質詢精華字幕版:https://bit.ly/3eTwacZ
→區間測速在鬧什麼?_Leo, that Taiwanese. 理觀點:https://bit.ly/3xIzeS1
→運用科技執法加強速度管理_交通部道安委員會:https://bit.ly/3eoXl0t
\每週7天,每天7點,每次7分鐘,和我們一起了解更多有趣的生活議題吧!/
🥁七七仔們如果想寄東西關懷七七團隊與志祺,傳送門如下:
106台北市大安區羅斯福路二段111號8樓
🟢如有引用本頻道影片與相關品牌識別素材,請遵循此規範:http://bit.ly/shasha77_authorization
🟡如有業務需求,請洽:hi77@simpleinfo.cc
🔴如果影片內容有誤,歡迎來信勘誤:hey77@simpleinfo.cc
資安政策 在 公視新聞網 Youtube 的最佳解答
【燦爛時光會客室】資安疑慮中暫緩施辦 eID政策有什麼問題
數位身分證eID政策近年推動時,民間不斷對政策、法規的不足提出質疑和建議,內政部則持續推行與發包標案,直到近幾個月議題受到廣泛重視、執政黨立委也紛紛表達疑慮才煞車喊停。行政院長蘇貞昌日前指示,將在完善法規後才重啟推行。
數位身分證在功能面提供資料整合等便利性,然而除了資訊安全受到大眾關注外,隱私權同樣引發保障不足等侵害疑慮。而隱私權亦不單是個資保護的層次,數位足跡等資料也具有統治層面的意義。原本應是美意的數位身分證在政策推行上出現什麼問題?內政部面對民間質疑,又做了什麼樣的社會溝通?本集節目邀請台灣人權促進會專員周冠汝,聊聊民間團體的看法。
相關報導:
➡ 數位身分證暫緩 蘇揆指示法制完備再啟動 https://news.pts.org.tw/article/508482
➡ 台權會告數位身分證有風險 今第三次開庭 https://news.pts.org.tw/article/507480
➡ 新竹市試辦數位身分證引資安掛慮 今宣佈暫緩 https://news.pts.org.tw/article/506101
➡ 數位身分證資安疑慮 徐國勇、唐鳳開直播釋疑 https://news.pts.org.tw/article/505337
訂閱燦爛時光會客室
▶Youtube頻道:https://reurl.cc/7X2b5D
訂閱燦爛時光會客室Podcast線上隨時聽
▶iTunes版: https://reurl.cc/lLx0XE
▶Spotify版:https://reurl.cc/Gk3dlD
▶KKBOX版:https://reurl.cc/7o41Q9
▶Firstory版:https://reurl.cc/pDzaka
▶MyMusic版:https://reurl.cc/mnR5j7
▶Cloudflare版:https://reurl.cc/Mv2QY4
▶Google版:https://reurl.cc/1x4ed8
資安政策 在 StockFeel 股感知識庫 Youtube 的最佳解答
今年5月20日總統就職大典中,蔡英文總統發表了國家未來四年的產業發展策略,將會聚焦在六大核心戰略產業,分別是 : 資訊及數位相關產業、資安產業、生技醫療產業、國防戰略產業、綠電及再生能源產業以及最後的民生及戰備產業。
雖然聽下來感覺相當厲害,不過你可能沒什麼感覺吧?這些“產業政策”究竟有什麼重要性,又有什麼值得關注的呢?如果大家直到今天都還不是很了解這當中的眉角也沒關係,但你想想,台積電的成功,當年就是有政府政策的影響。雖然說還有很多其他因素造就了今天的成果,我還是想帶大家來了解一下。
#六大產業 #產業發展 #政府政策
股感:https://www.stockfeel.com.tw/
股感Facebook:https://www.facebook.com/StockFeel.page/?fref=ts
股感IG:https://www.instagram.com/stockfeel/
股感Line:http://line.me/ti/p/@mup7228j
資安政策 在 資訊安全政策 的相關結果
資訊安全 管理之目的: · 確保公司主機、網路設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險,並建立資通 ... ... <看更多>
資安政策 在 資訊安全政策 - 臺灣金控 的相關結果
資訊安全 之目標,係為確保本公司資訊的合法存取,於可能遭受外力入侵時,亦能提供完整、未中斷之資訊系統運作;於事故發生時,作迅速必要之應變處置後,能在最短時間內回復 ... ... <看更多>
資安政策 在 資安政策 - 行政院國家資通安全會報 的相關結果
資安 月報. © 行政院國家資通安全會報版權所有 / 隱私權及網站安全政策/ 政府網站資料開放宣告. 通訊地址:100009臺北市中正區忠孝東路1段1號 地圖 ... ... <看更多>