iThome
臺灣規模最大的資安盛會「2016 年臺灣資訊安全大會」於3月7日、3月8日,在臺北國際會議中心(TICC)舉辦,報名人數超過3,500人,比去年第一屆舉辦時,人數更增加1千多人。也有多位與會來賓表示,臺灣資訊安全大會已經是亞洲頗具規模的資安會議,甚至不遜色於在新加坡舉辦的亞洲RSA資安會議。
此次邀請行政院副院長兼資通安全會報召集人杜紫軍蒞臨「2016年臺灣資訊安全大會」開場致詞,現任行政院院長張善政在去年擔任副院長時,正式對外宣布資安政策2.0政策走向,迄今已經小有成果。具體而言,去年六月重新核定資安責任等級,擴大A級和B級單位的數量外,從原先363個,到後來則增加為695個,並要求各單位依照資安等級應辦事項編列資安預算,至少超過8億元,若合併其他資安項目,金額將只會更高。
若依照行政院資安會報的資料顯示,資安預算在整體IT預算的比例也有逐年提升的現象,2013年資安預算佔整體IT預算4.38%,近期剛出爐的2014年資安預算佔整體IT預算比例更提升到5.56%,未來,2015年資安預算的佔比也會更高。
行政院副院長兼資通安全會報召集人杜紫軍表示,再去年重新核定各機關資安責任等級後,也編列鄉對應的預算,資安預算今年至少編列8億元以上。
前美國國家地理空間情報局資訊安全長Lance Dubsky則以「面對現代網路攻擊—資訊安全長(CISO)的2016致勝關鍵」為題發表演說。他表示,這麼多人齊聚一堂,一起討論臺灣當前所面對的資安問題,是一件非常有意義的事,因為臺灣面對相當嚴峻的資安威脅,根據FireEye近6個月的調查,臺灣是遭受網路攻擊最多的國家。
Lance Dubsky表示,許多常用的線上服務陸續成為駭客用來入侵的管道,加上企業和政府部門未能強化隱私機敏資料的安全保護,也使得近年來資料外洩事件頻傳,甚至伴隨著物聯網(IoT)、行動裝置App帶來的種種創新,也讓駭客可利用的入侵管道和手法變化莫測。因此,他認為,企業在資安防禦上也得要跟著進化,做到靈活彈性部署,甚至變成智慧化,才能因應駭客不斷更新的攻擊手法。
他也在臺灣資安大會發表最新威脅報告M-Trends 2016,全球企業從駭客入侵到企業發現的時間差已經縮短到146天,遠比過去企業遭駭時,得花上一、兩年時間才發現,現在已經改善許多。但另一角度來看,企業仍有146天,將近5個月的時間,隨時暴露在機密遭竊的高風險中。
前美國國家地理空間情報局資訊安全長Lance Dubsky表示,全球企業至少有146天,不知道已經被駭客入侵了。形同有5個月的空窗期可以讓駭客為所欲為。
在3月7日上午的演講中,也針對近年來許多新興的科技帶來的資安威脅進一步闡述。趨勢科技全球核心技術部資深協理張裕敏則以近期熱門的無人機,說明可能對使用者帶來的資安威脅。
例如,無人機透過衛星進行GPS定位,但是GPS定位是超過十年的老技術也沒有加密,如果無人機沒有搭配良好的軟體和硬體,駭客就可以透過偽造的GPS訊號,讓無人機降落在駭客設定的降落點;當然,駭客也可以把自己的無人機升空後,直接的對其他在空中飛行的無人機下達「Following Me」(跟著我)指令,讓無人機機隊乖乖跟著駭客回家。
另外,張裕敏也提醒,行動裝置、智慧家電及物聯網越來越普及,也帶來很多意想不到的風險,手機充電插座可能就是竊取使用者個資的管道,智慧家庭和物聯網裝置,也很容易成為駭客入侵的管道。
趨勢科技全球核心技術部資深協理張裕敏表示,包括無人機、智慧家庭和物聯網在內的新興科技,都將對企業帶來嚴重的資安威脅。
在3月8日的臺灣資訊安全大會,首先由臺灣BSI英國標準協會總經理蒲樹盛開場,透過解讀世界經濟論壇的風險分析,現在科技風險已不亞於經濟風險。
臺灣BSI英國標準協會總經理蒲樹盛表示,目前科技風險對世界帶來的影響,已經超過經濟風險。
TWCERT/CC臺灣電腦網路危機處理暨協調中心顧問詹子銘也登台分享近期轉型過程,今年最重要的任務是要聯繫民間企業的資安情資流通和通報,他表示,TWCERT要更積極扮演臺灣資安協調平臺的角色。
TWCERT/CC臺灣電腦網路危機處理暨協調中心顧問詹子銘表示,歷經一年的轉型,今年將努力扮演資安協調平臺的角色。
趨勢科技前瞻威脅研究團隊之資深威脅研究員Kyle Wilhoit表示,近日趨勢所做的研究報指出,個人資料流出的最大管道來自組織內部流出(Inside Leak),所佔比例高達44.2%。第二名是駭客攻擊或是惡意軟體,第三名則是來自可攜帶式裝置。他也說,駭客也成了生意人,上網兜售假信用卡服務還掛保證,無法成功盜刷竟然還能退回買假卡的錢,這也表示,駭客產業化後的威脅將會越來越大。
趨勢科技前瞻威脅研究團隊之資深威脅研究員Kyle Wilhoit表示,駭客也是生意人,無法成功盜刷竟然還能退回買假卡的錢。
Palo Alto Unit 42的主要任務為確認資安攻擊者握有的資源、攻擊動機及策略。Palo Alto Unit 42資深威脅研究員表示Vicky Ray揭露,除了製造業的產品設計原型可能遭惡意人士竊取外,金融業所持有的隱私資料,也暴露在同樣的風險中。
Palo Alto Unit 42資深威脅研究員表示Vicky Ray揭露,製造業的設計圖是被駭客鎖定竊取的重要項目。
「誰說臺灣沒有天然資源,臺灣最大的天然資源就是病毒樣本。」Verint威瑞特資安長叢培侃剖析駭客攻擊手法,也揭露臺灣APT專家和以色列情報框架技術結合,造自動化協作調查平臺,並提出新一代資安防禦產品應具備哪些特色。
Verint威瑞特資安長叢培侃表示,惡意程式是臺灣最針對的天然資源。
根據賽門鐵克技術長暨亞太暨日本地區顧問、產品與服務事業群副總裁Michael Counsel多年觀察經驗,他認為將產品交付至市場的速度是企業所最關心的議題,但是「卻少有人從一開始就將資安問題列入產品創意發想的考量。」另外他也表示,過去應用程式多半部署在內部,但是隨著公有雲服務興起,將應用程式部署在外部所面臨的風險,將會比過去部署在企業內部時還要更多。
賽門鐵克技術長暨亞太暨日本地區顧問、產品與服務事業群副總裁Michael Counsel表示,所有的產品從設計發想之初,就應該將資訊安全納入產品的設計考量之中。
「面對Fintech,最危險的不是銀行,而是保險、證券......」臺灣BSI英國標準協會總經理蒲樹盛解讀世界經濟論壇報告,分析6大Fintech領域、11項金融創新,並提出六大觀點,包括平臺化、資料集中和資產微型化等創新商業模式,將帶來最大衝擊。
臺灣BSI英國標準協會總經理蒲樹盛認為,面對Fintech,最危險的不是銀行,而是保險、證券等業者。
「9成臺灣的銀行業者都在使用的簡訊OTP交易驗證方式,低成本又方便,卻早已經暴露在被駭風險中。」專作身分驗證的iDGate蓋特資訊執行長向可喜指出現有金融服務的資安風險,還剖析三大支付技術比較,目前Token普及率最高,而TSM成本最高。他也說,目前該公司合作的對像不只包括臺灣中國信託、新光等銀行,iDGate也已經和香港的銀行合作,是第一個受國際金融機構認可的臺灣Fintech新創公司。
iDGate蓋特資訊執行長向可喜表示,雖然臺灣有9成銀行都在用簡訊OTP,卻都面臨資安風險。
Token是什麼?是一組用來取代信用卡號的16個數字的代碼,包括Apple Pay、Android Pay、三星Pay都已經採用,要讓手機、商店、收單行都沒辦法取得你的真正卡號。Visa臺灣總經理麻少華也完整地剖析支付領域,針對不同支付技術、各家廠牌支付服務優劣進行比較。
Visa臺灣總經理麻少華表示,有越來越多行動支付業者選擇用Token隱匿信用卡卡號資訊。
主辦單位iThome表示,去年臺灣資訊安全大會以超過2千人的規模登場,已經創下臺灣資訊安全研討會的記錄,讓國內外都看見臺灣對資訊安全的高度重視;今年主辦單位再接再厲,準備了更豐富的內容,來自各界的參與也更踴躍,報名人數更是一舉突破3千5百人,刷新臺灣資訊安全的新記錄。這不僅是讓臺灣資訊安全大會成為全球矚目的焦點,也再度向國際彰顯臺灣充沛的資安能量。
iThome總編輯吳其勳表示,2016臺灣資訊安全大會的內容,不論是質與量都有很大的提升。在議程內容方面,今年除了探討資安4大面向的技術議題:IT基礎建設安全、網際網路安全、行動裝置安全與資料安全,更首度規畫5場資安專業論壇,更進一步探討重大資安新興趨勢及產業專屬議題,包括:新興安全威脅論壇、安全情資論壇、金融科技安全論壇、雲端安全論壇及數位政府安全論壇。
今年臺灣資訊安全大會也端出最堅強的演講陣容,超過60位來自國內外的資安專家,涵蓋全球與臺灣知名資安公司的技術專家、臺灣頂尖的資安研究員、產業界的資安領頭羊、資安政策主管機關等等。此外,2016臺灣資訊安全大會更擴大與世界知名的臺灣駭客年會HITCON合作,從白帽駭客的角度,帶來精彩的HITCON專屬議程。
2016年臺灣資訊安全大會現場報名人數超過3,500人,是臺灣規模最大的資安盛會,與會人士認為,已經可以比美在新加坡舉辦的亞洲RSA資安會議。
熱門新聞
2024-09-29
2024-10-01
2024-10-01
2024-10-03
2024-10-02
2024-10-01
2024-10-01