HITCON總召蔡松廷表示,透過這種漏洞通報的平臺機制,企業或IT廠商可以收到免費的漏洞訊息,更可以有效的讓網站更安全。

圖片來源: 

iThome

在2014年臺灣駭客年會(HITCON)10周年之際,擔任HITCON總召蔡松廷,破天荒的將活動場次區分成企業場和社群場,透過不同的攻防需求,讓企業與社群都可以得到第一手的資安趨勢發展和技術攻防能力的提升。

蔡松廷也將於4月初在iThome舉辦的臺灣資訊安全大會中擔任講者,他認為,當沒有滴水不漏的安全系統存在時,企業或IT廠商就必須接受漏洞存在的事實,唯有面對它、接受它,才有機會去修補它甚至改善它。以下為書面專訪的內容:

臺灣企業及IT廠商絕不對外揭露任何自己有漏洞心態,這樣態度會對企業資安防護會帶來什麼影響呢?

多數的企業甚至是IT廠商的心態應該都是類似的,對於資訊漏洞的揭露,往往抱持能不揭露、絕不揭露的態度,很關鍵的原因在於,除了擔心被揭露的漏洞可能被壞人利用外,也因為缺乏一個適當的機制和平臺,讓企業以及IT廠商樂意或主動的面對資安漏洞。

企業或IT廠商要如何做到坦然面對資安漏洞被揭露呢?面對揭露漏洞有什麼好處呢?

既然沒有滴水不漏的安全系統,企業資安漏洞就是一定會存在的事實,最好的因應方式就是坦然面對。成立漏洞平臺就是希望促成一個正向循環:由具有駭客思維的白帽駭客們協助找尋漏洞,透過漏洞平臺通知廠商,廠商可以有時間修補並感謝發現者。

一方面,讓駭客們發現的漏洞,不會被拿來做不當的使用,不論是流入地下黑市或者被用來網路犯罪;二方面,這些找到漏洞的駭客們,在這個瓶台中可以獲得肯定並產生成就感,同時做到累積實力也不用擔心違法的問題。

另一方面,不是每一間有提供網路服務的企業,都願意花大錢做滲透測試,透過這種漏洞通報的平臺機制,企業或IT廠商可以收到免費的漏洞訊息,更可以有效的讓網站更安全。

2015年最嚴重的資安威脅為何?

駭客利用漏洞的原則就是:越多人使用的、越有利益可圖的,就一定是網路攻擊會出現的地方。

根據這樣的原則,只要物聯網、穿戴式裝置慢慢的跟行動裝置一樣普及時,肯定就有駭客開始找漏洞、發動攻擊。最關鍵的問題在於,現在的行動或小型的智慧型設備,以及任何可以上網的機器,因為當初廠商在製作的時候,並未考量任何資安保護的議題,只要使用的數量越來越多以後,這些裝置帶來的風險,就會像溫水煮蛙一樣,開始慢慢的被發掘。

從這樣的趨勢看來,肯定IoT或穿戴式裝置越來越普及,甚至是人手一個時,屆時就會是新的資安戰場。

臺灣和其他國家的資安防禦能力相比如何?

很難作評比,只能說臺灣面對的網路威脅絕對不輸其他任何國家,但準備上和應變上,都還有很大改善的空間,整體的資安實力也有很大提升的空間。

 

相關報導請參考:「臺灣資安大會現場直擊」

熱門新聞

Advertisement