面對網際空間資安威脅 打造新一代攻防平台
作者
王宣智 & 周媛韻簡介
王宣智,國家實驗研究院科技政策研究與資訊中心副研究員(通訊作者,email: hcwang@narlabs.org.tw)
周媛韻,國家實驗研究院科技政策研究與資訊中心專案佐理研究員
單位
國家實驗研究院-
標籤
-
分享文章
基於國際授權條款4.0,您可免費分享此篇文章
資安威脅無所不在
近年來全球層出不窮的資安事件,不僅越來越多樣化且難以捉摸,也已形成嚴重威脅,常見的包含釣魚信件、惡意程式、勒索軟體及病毒感染等,影響民眾生活,更促使企業的資安意識抬頭。根據趨勢科技和Ponemon Institute網路資安風險指標(Cyber Risk Index, CRI)的調查結果顯示,2021年的全球資訊風險等級平均為 0.42(CRI越低代表風險越高),相較過往,全球的資訊風險正呈現上升的趨勢。以美國為例,美國 CRI 指數已經從2018年的 -0.14惡化至2021年的 -1.27(趨勢科技, 2021)。2020年發生的國際資安重大攻擊事件,如英國外匯公司Travelex遭受勒索軟體攻擊導致公司營運中斷數週、德國醫院及美國Universal Health Services(UHS)遭受勒索軟體的攻擊導致資訊系統癱瘓,以及美國喬治亞州的選民資料庫遭攻擊等,除了企業及政府部門外,在 COVID-19 疫情仍嚴峻的時刻,醫療院所能否維持正常營運,對於疫情發展的影響至關重要。為此,美國國家保護和專案司(CISA)、聯邦調查局(FBI)及美國衛生及公共服務部(HHS)發出警告,美國醫院應注意資安的風險,並強調需針對勒索軟體攻擊作出防範。
相較全球,臺灣亦有資安的風險,根據iThome2020年資安大調查數據顯示,臺灣每4家企業就有1家企業遭遇超過50次資安事件,占比約達25.6%,且有逐年增加的趨勢。企業中又以高科技產業、金融產業等最易遭受資安攻擊,除此之外,政府機關及學校亦常有資安事件發生(羅正漢, 2021)。回顧臺灣近來的資安事件,以2018年台積電產線中毒大當機,導致營收損失高達52億元的事件最令人印象深刻,之後亦發生,如仁寶電腦和鴻海美洲廠區受到勒索軟體攻擊導致生產線中斷的事件、研華科技因雙重勒索攻擊導致資料外洩等多起企業遭到勒索病毒攻擊的事件。隨著COVID-19疫情帶來遠距工作和學習活動大幅上升,網路攻擊事件也呈現增加的趨勢。依據網路資安商Check Point的研究顯示,臺灣在2021年4、5月遭受的網路攻擊較前幾個月增加了17%(Check Point, 2021)。
臺灣資安產業的現況與挑戰
根據台灣資訊安全協會的資料顯示,目前47.4%國內市場為國際資安大廠佔有,而國內廠商家數約324家(佔比為52.6%),其資安產品僅佔國內市場的21.6%,大部分國內企業仍使用國際資安大廠的資安解決方案(包含雲端資安服務),國內廠商的實力較得不到企業的青睞,因此目前國內資安產業發展尚未完善。另外在資安技術方面,目前新型態資安的解決方案,多為透過在零信任安全模型(Zero Trust Access, ZTA)及安全存取服務邊緣(Security Access Service Edge, SASE)來進行雲端的存取服務或是資料的運算。零信任模型主要在資料開放及共享的環境中,無論使用任何服務,都必須經過驗證、授權及加密的程序。而SASE則是將廣域網路(WAN)和網路安全服務(如CASG、FWaaS和零信任)整合到單一的雲端交付服務模型中。透過零信任安全模型的架構,可以防止網路內威脅的橫向移動,最小化內部網路的資安事件,降低企業營運風險;安全存取服務邊緣將提供企業數位化、雲端應用轉型的安全保障,也是企業對於零信任安全的最佳實踐。總言之,資安產業將協助企業在關鍵資訊系統和服務上進行主動式防禦,以降低資安事件造成的企業營運損失。
資安政策的推動方向與重點投入
針對日發嚴重的資安問題,除了民間產業積極開展技術以回應企業所需,政府也從國家的角度思考整理並擬定臺灣的資安防護策略,在組織面上,現階段是以我國行政院的「行政院國家資通安全會報」(簡稱資安會報),統籌行政院各級機關在資通安全上的防護工作。迄2021年止,行政院已經推動了六期國家資通訊發展方案(參見圖一),其中第一、第二期屬於機制計畫,以完善國內資安基礎環境為主要標的,第三期到第六期為發展方案,其中第六期計畫強調「主動防禦」,自2021至2024年間將透過四大策略,分別為培植資安人才豐厚自主創新研發能量、公私協力創造網路安全環境、善用智慧前瞻科技主動扺禦威脅、建構安全智慧聯網的民間能量來達成計畫的目標。另外,綜整臺灣重大的資安計畫可得知資安發展的概念,包含了人才的培育、技術的研發和國際的影響,因此,在相關的方案與作法上,「臺灣資安卓越深耕計畫」透過國際合作與多元的培育機制,以提升臺灣資安人才的質與量;其次,「資安產業發展行動計畫」,則是以公私協同研發模式聚焦於可立基市場的資安技術,輔以資安場域驗證專區進行在地驗證,向全球行銷逐步推動資安產業國際化。
透過政府研究資訊系統(GRB)盤點2014年至2020年的資安經費可以發現,網路攻擊與防禦、行動與端點安全、物聯網安全、人才培育和用戶行為與身分辨識等,為科技經費投入的主要研發技術項目。身分辨識、行動與端點安全、物聯網安全為建立零信任模式和安全存取服務邊緣架構的技術模組,也是完備資安主動式防禦的技術。資安人才則是落實發展科技、建構更好的智慧聯網環境的基礎,綜觀以上,政府科技經費研發投入,透過培育人才、技術支援產業發展回應臺灣資安政策的目標,並促使臺灣邁向亞太資安研發中心。
結語
由於資安已成為全球性的問題,而臺灣資通訊產業又在全球ICT供應鏈扮演重要的角色,因此,厚實資安能量,除了提升國內企業主動防禦能力外,亦是資通訊產品得以外銷的關鍵因素。為此,政府將資安議題視為重要的政策,積極投入資安領域的研發。另一方面,臺灣半導體製造聚落、先進製造能力和豐富的ICT人才聞名,但臺灣的資安產業相較於半導體產業規模仍小,尚需政府透過政策促進資安產業發展並增加其全球影響力,所以科技部透過補助資安技術研究,逐步培育具研發能量的資安人才、建構在地的資安實驗場域,並借助資安政策的公私協力研發模式,整合國內資安研發與服務能量,期望打造臺灣成為全球資安研發和服務的樞鈕,讓臺灣資安技術得以深耕,產業發展因而卓越。
圖一:臺灣歷年資安政策盤點及進展
資料來源:行政院國家資通安全會報;本研究繪製
參考資料:
- 羅正漢(2021)。 【iThome 2021企業資安大調查:資安災情】臺灣企業資安事件頻傳,2020年有多嚴重?。 iThome. https://www.ithome.com.tw/article/144234
- 趨勢科技(2021)。 網路資安風險指標 | 趨勢科技。 Trend Micro。 https://www.trendmicro.com/zh_tw/security-intelligence/breaking-news/cyber-risk-index.html
- Check Point(2021)。聚碩科技: 最新消息 - 新聞中心 - 今年五月網路攻擊暴增168%!亞太排名日本第一、臺灣第五。https://www.sysage.com.tw/News/NewsDetail/20778
訂閱電子報以獲得最新資訊
填寫連絡資訊以取得每月發行之電子報