臺灣資安產業在過去十年中,經歷了巨大的變革,從技術和社群層面到政府政策和產業實踐,都帶來了深遠的影響。
身為臺灣資安連續創業家、也是奧義智慧創辦人兼執行長邱銘彰表示,十年前,資安技術主要是以賣各種網路和資安設備為主,但隨著技術的發展,以及重視並專研各種資安技術的資安社群興起,起到了推波助瀾的作用,資安產業逐漸從設備銷售轉向了服務導向。
「先有了資安需求,就會帶動資安的供給,」他指出,像是APT(Advanced Persistent Threat,進階持續性威脅)攻擊對於政府和企業帶來重大的威脅,為了解決這樣的問題,便開始有人創立提供APT攻擊解決方案的資安新創公司。
後來,政府開始從政策面支持資安產業的發展;更因為企業開始有更多的技術應用,連帶著,政府也從法規面對資安,開始有更多的規範和要求,帶動各界重視資安議題。
他以金融業為例,金融業在金融科技(FinTech)和App應用程式,有許多的資安要求,促使金融業必須將更多的資源和預算用於資安方面,這也讓金融業對於資安的重視程度和資源投入,甚至超過了政府。
許多企業對於資安的重視層面也有變化,近幾年,從以往只關心資訊安全(Information Security)轉變到網路安全(Cyber Security),而且,現在更重視整體的企業安全(Safety)。
邱銘彰認為,這些變化來自於多方因素的影響,從技術的發展到政府政策的改變,都對資安產業帶來深遠的影響,也為後來許多資安新創公司的成立和發展,提供了有利條件。
資安即國安是挑戰,也是機會
在當今世界,資安已經成為國家安全的重要組成部分,特別是對於像臺灣這樣的國家來說,資安更是關鍵議題,因為任何資安漏洞,都可能對國家的穩定和發展構成威脅。
因此,過去幾年來,政府即將資訊安全納入國家安全政策的重要範疇,推出「資安即國安」的大政策方針,而透過這樣的政策方向轉變,對於政府在制定和執行資安政策上,已經產生了相當顯著的影響。
政府推出的資安政策,旨在提高國家的資安水準,保障國家關鍵基礎設施的安全,並應對不斷增加的資安威脅。隨著政府對於資安議題的認知和理解程度的提升,政府也開始意識到,資安不僅僅是企業和個人的問題,更是關乎國家安全的重要議題。
由於資安議題關乎國家整體的安全和長期發展,需要政府、產業界和社會各界的共同努力,才能有效應對。因此,許多接手政府資安政策和產業發展計畫的公務人員,在制定和實施資安政策時,會更加注重全局的規畫和整合,力求實現資安在國家發展中的全面性和保障範圍。
政府也通過與產業界的合作與協調,不只積極聽取各方意見和建議,制定更加符合實際產業需求的資安政策,更通過政策制定企業的資安規範,以應對日益增加的資安威脅與挑戰,做到保障國家、社會和企業的資訊安全。
此外,隨著政府對資安產業的支持和投資,促進資安技術的創新活力,推動資安技術不斷進步和提升,提升臺灣資安產業在國際上的競爭力以及能見度,帶動不同行業之間的跨界合作,形成不同產業的資安生態聯盟,這些突破對於臺灣資安產業生態系統而言,都是一種良性循環。
(攝影/洪政偉)
企業從重視資訊安全到資安治理,產業龍頭帶頭重視資安
過去,企業對資安的關注面向,主要是各種資安威脅和網路攻擊,但隨著資安意識的提高,現在資安已經逐漸轉向資安治理和量化風險。
邱銘彰表示,現在的企業逐漸意識到,資安不僅防禦威脅,還包括對資訊的保護和風險管理,從專注各種資安威脅轉而關注資安治理;不管是防範APT攻擊或是目標式勒索,早就成為資安部門的基本作為後,企業會更加關注資安團隊的效能和能量。
顯而易見的是,資安的定義也從傳統的資訊安全,轉向更廣泛的安全概念,他指出,過去企業關注的是Security,但現在我們更加關注的是Safety;以前所談論的主要是資訊安全(Information Security),後來在意網路安全(Cyber Security),現在更重視的是企業安全(Safety),而不管是資訊安全或是網路安全,都是企業安全重要的一環,也反映了產業的發展與變化。
這樣的轉變,也意味著,企業不只需要關注威脅和攻擊,也必須關注牽涉到企業維運的系統安全性和穩定性,這同時反映出,資安產業發展逐漸成熟,更體現了企業對資安有更高要求。
「有一些產業龍頭公司的資安舉措,對資安產業的發展起到了示範作用。」邱銘彰說,以2018年8月發生的台積電產線電腦中毒事件為例,這對全臺灣帶來重大衝擊,也引起了整個高科技產業的警覺。
他表示,許多產業龍頭公司因此紛紛加強對資安投入的資源和防範措施,也開始打造資安團隊,並且設立資安主管或資安長一職,承擔起企業的資安治理的重責大任。
邱銘彰認為,這些產業龍頭公司的資安舉措,不僅提高整個產業的資安意識,也推動資安服務產業的發展。
法遵是企業願意投資資安的首要動機
邱銘彰表示,在臺灣資安產業的發展過程中,有一個因素扮演著關鍵的角色,那就是法遵。當資安合規要求成為主導,企業需要遵守法規才能獲得市場認可時,「資安不再只是成本,而是一個企業競爭的優勢。」他說。
因為對於法遵合規的要求,經常占據企業資安投資的主要份額,在資安日益受到重視的背景之下,企業不得不遵守嚴格的法規和標準,以保護個人資料和敏感訊息。
因此,法遵成為企業願意投資在資安的首要動機,而未遵從相關法規,則可能導致法律制裁和商業損失。當企業意識到,忽視資安可能導致嚴重後果,因此積極投資符合法規要求的資安措施時,邱銘彰認為資安將不再只是企業的「選擇」,而是不可或缺的要素。
他也將臺灣企業對資安投資分為三類,首先是抓駭客和抵禦網路攻擊的投資,這方面的投資比例正逐漸減少中,畢竟,隨著資安威脅的演變,企業開始轉向更為全面的資安解決方案,而不僅是防禦特定攻擊。
再者,就是滿足法遵合規要求的預算,邱銘彰說:「法遵也是企業資安預算主要投資的項目,」因為企業必須投入大量資源,來確保其業務符合相關法律法規要求,也必須做到保護客戶數據資料和個人隱私,相關預算往往難有刪減的空間。
最後一種,其實也是邱銘彰最不想看到的資安預算安排方式,就是因為缺乏明確的目標和策略性規畫,而這種為資安預算而資安預算的作法,最終往往導致資安預算變成無效的投資,以及浪費。
因為法遵是臺灣資安產業發展的關鍵因素,邱銘彰表示,隨著法規要求和資安投資的持續增加,臺灣的資安產業將繼續蓬勃發展;而隨著政府的介入,他也期望,未來數位發展部可以制定中央的資訊資安架構,作為企業推動相關工作的重要參考依據,這不僅有助於企業制定出更加全面和有效的資安防護策略,也可以為企業和個人提供更安全的數位環境。
(攝影/洪政偉)
善用CTEM及紅藍隊的攻防演練,降低企業資安風險
以往,我們常將資安防禦視為被動反應,只在受攻擊時才採取行動。然而,現在的資安環境已經發生了變化,我們需要更加重視主動防禦,這意味著,不管是政府或是企業,都需要提前做好準備,對可能的威脅和攻擊進行盤點和識別,以便及時採取措施防範。
對此,邱銘彰特別提到IT市場調研機構Gartner在2022年提出的CTEM(Continuous Threat Exposure Management,持續曝險管理),就會是一種新型態的資安管理模式。
CTEM就是希望可以管理並解決企業內部環境中,各種無止盡的曝險清單,例如漏洞清單,希望可以做到識別並優先修復,對企業影響最大的風險曝露點,迅速識別出最危險的攻擊路徑,而非一味追蹤無數個漏洞。
邱銘彰認為,CTEM結合資安防禦與業務營運,可以更好地理解並評估資安威脅,做到及時發現漏洞,還能發現企業無法修補的潛在風險,進而提高企業整體的資安防禦能力。而Gartner也預測,到2026年,根據CTEM計畫確定安全投資優先級別的企業,將減少三分之二的漏洞。
此外,在資安防禦中,紅隊和藍隊分別扮演著非常重要的角色。他說,紅隊負責模擬攻擊,以測試系統的安全性和防禦能力,從而發現和修補可能存在的漏洞和弱點;而藍隊則負責量測系統的邊界,以及評估可能攻擊路徑,可以做到提前發現和預防潛在的威脅。
因為資安是一個永遠在變化的領域,在資安防禦中,團隊協作是至關重要的。我們需要建立一個高效的團隊,將不同專業領域的人才聚集在一起,共同應對資安挑戰。只有通過團隊的協作和合作,我們才能更好地應對日益複雜和多變的資安環境。
資安創業初心,為了改變產業現況並擁有話語權
作為多年持續受到矚目的臺灣資安創業典範,早在2005年邱銘彰就創辦第一間資安公司:艾克索夫(X-Solve),主要是針對惡意文件提供防護並作惡意程式分析的廠商,並在2007年成功賣給美商阿碼科技(Armorize)。
接著,邱銘彰在2011年又協同其他創業夥伴成立新的資安公司:艾斯酷博(Xecure Lab),主要鎖定當時大家最關注卻也最難解決的APT攻擊,因為該公司產品可以成功偵測APT惡意郵件,以及APT惡意程式,也在2014年成功賣給在美國上市的以色列安全公司Verint(威瑞特)。
經歷兩次成功的資安創業後,邱銘彰在2017年11月,又協同吳明蔚和叢培侃共同創辦奧義智慧,是臺灣最早以人工智慧(AI)角度成功切入資安領域的資安新創。
身為資安連續創業家,邱銘彰回顧創業初心,有著對資安產業滿滿關注和使命感。
他坦言,創業的初心之一,就是想要改變資安產業的現狀。因為在過去,許多人對資安產業抱有負面看法,認為它充滿了問題和挑戰。
然而,作為資安連續創業家,邱銘彰堅信「不能只是把嘆氣當做結尾,」他創業就是要積極地思考如何改變現狀,藉由提出創新的解決方案,積極參與資安產業的發展,促使資安產業朝向更加穩健的發展道路。
他認為,只有成為資安產業的一份子,成為資安產業的玩家,才能為產業的進步和發展做出貢獻,才能具有話語權以及影響力,例如,可以通過積極參與產業活動、學術交流,以及與學校合作培育新人,做到努力擴大自己的影響範圍,積極推動資安產業的發展。
邱銘彰表示,企業、學術界和政府應該攜手合作,加強對資安人才的培養和引進,培養出更多具有專業知識和創新能力的人才,為產業的發展提供強而有力支持,才能夠共同推動資安產業的創新和發展,建立起更加完備和穩健的產業生態系統。
邱銘彰也深信:「技術創新是推動資安產業發展的關鍵。」隨著科技的不斷進步和演變,資安技術也將不斷更新和升級,也也成為資安產業發展的新動力和新機遇。
由於奧義智慧是以AI切入資安領域的公司,邱銘彰認為,人工智慧技術的發展,如ChatGPT等,也對資安產業產生深遠影響。這些技術的應用,不僅提高資安攻擊的智能化水平,也為防禦提供新的思路和工具。資安人員需要不斷學習和適應,以應對新興技術帶來的挑戰。【本文採訪日期為2024年4月】
熱門新聞
2024-10-14
2024-10-13
2024-10-13
2024-10-14
2024-10-11
2024-10-11