在3月7日~8日舉辦的第二屆臺灣資訊安全大會,現場吸引超過3,500人報名,不論是大會主題演講或分場議程,都吸引滿滿人潮。

圖片來源: 

iThome

在3月7日~8日,iThome舉辦了第二屆「臺灣資訊安全大會」,原本還很擔心,在周一及周二舉辦的活動,現場的觀眾會不會因為工作忙碌還在開會等等,反而姍姍來遲甚至就直接缺席。結果出乎我的意料之外,不僅報名人數超過3,500人,必須提早關閉網站報名機制,在第一天行政院副院長杜紫軍以副院長兼任資通安全會報召集人的身分演講時,國際會議中心(TICC)二樓大禮堂幾乎都已經坐滿聽演講的人潮,從演講舞臺往後方座位區看時,現場已經坐滿黑鴉鴉的人潮。這個現場也意味著,的確有許多資安人員迫切地想進一步知道各種最新的資安趨勢和相關的解決方案,而此時舉辦的臺灣資訊安全大會,剛好補足臺灣資安人員求知若渴的心情。

也有許多資安業者趁著這次舉辦臺灣資訊安全大會的名義,趁機邀請了許多國外難得來臺的資安專家或者是原廠重要的技術顧問,除了在資安大會的現場活動有演講外,也陸續有一些資安業者趁機將這些難得邀請到的資安專家們,額外安排一場又一場的客戶拜訪或者是記者會、研討會等等,這也讓原本只有二天的資安大會,在各家廠商的貢獻下,默默的延伸為一周的資安活動。不論是對於臺灣的資安專家或者是企業用戶而言,原本只有兩天的資安大會,延伸為一周的活動時,也讓更多不克前往參加資安大會的資安人員與企業用戶,有其他從業者身上獲得更多資安資訊的機會。

兩天現場大會演講活動,聽講人潮滿座

這次的大會演講,有幸在兩天的活動中,邀請到不同領域的資安專家,就不同的專業角色提供寶貴的經驗分享。

第一天的演講者的題目,鎖定政府和企業的資安長和資安人員應該具備的相關知識和趨勢掌握的部份。杜紫軍也同時是行政院的資安長,從去年張善政擔任行政院副院長時,在受傷住院時,親自擬定新的資安政策發展方向:資安政策2.0,並選擇在第一屆資安大會上首度公開,這也是政府極少見的作法,在第一時間透過資安大會對企業資安長及資安人員公開政府資安的政策發展方向,並藉此拋磚引玉,可以讓更多人願意進一步了解政府的資安政策走向並作為參考依據。

對杜紫軍而言,即便剩下不到三個多月的時間,就會由新政府接手相關的資安政策方針,因為政權更迭而有所中斷。因此,杜紫軍也趁此機會做一個簡短的資安成果的分享,最明確的就是由原本資安會報的技術服務中心轉型成法人化,成為臺灣獨立的法人團體「國家資安科技中心」;再者,伴隨著從去年六月開始,行政院也重新核定資安責任等級,許多原本的B級或C級機關,因為系統影響範圍深遠,而重新調整為A級或B級機關,而被調整的單位也據此重新編列資安預算,光是至少因應資安責任等級調整所編列的預算,就超過八億元以上。

至於美國國家地理空間情報局(NGA)前資訊安全長,也是現任FireEye美洲安全策略長Lance Dubsky則鎖定企業資安長應該如何面對現在網路攻擊,他並指出,現在全球企業若遭遇到APT(進階持續威脅)的攻擊時,駭客至少可以在受駭的企業內部隱匿至少146天。也就是說,有將近5個月的時間,企業無法察受駭後的狀況,甚至於,超過半數(60%)臺灣FireEye企業客戶在過去6個月以來,曾遭遇到如APT手法的進階式網路攻擊,比例居於全球之冠,還遠高香港的43%和亞太區的27%。

至於面對各種新興科技對企業帶來的威脅,趨勢科技全球核心技術部資深協理張裕敏則表示,目前對包括臺灣企業在內最嚴重的威脅仍然是APT攻擊,而在今年會逐漸成形的威脅,則是有越來越多人用來使用部署雲端虛擬機器的產品Docker今年陸續威出商品化產品,對企業而言,隨之而來得資安議題也將無法忽略;至於明年最令人憂心的資安趨勢,則是各種聯網的物聯網裝置安全性,不論是可以送貨的無人機,或者是各種智慧家庭裝置等,都是必須設法強化資安防護措施的裝置。

而在第二天的大會演講,則由臺灣BSI英國標準協會總經理蒲樹勝帶頭破題,以2016年世界經濟論壇(WEF)發布的全球風險報告為例,今年科技風險也是所有威脅中,風險值竄升最快的項目,在科技風險的前三名分別:網路攻擊、資料外洩和關鍵基礎設施中斷等。.

而趨勢科技前瞻威脅研究團隊資安威脅研究員Kyle Wilhoit昨是關鍵基礎建設的專業講者,此次來台演講時則宣稱,個人資料流出的最大管道來自組織內部流出(Inside Leak),所占比例高達44.2%。第二名是駭客攻擊或是惡意軟體,第三名則是來自可攜帶式裝置。他也說,駭客也成了生意人,上網兜售假信用卡服務還掛保證,無法成功盜刷竟然還能退回買假卡的錢,這也表示,駭客產業化後的威脅將會越來越大。Kyle Wilhoit表示,駭客也是生意人,無法成功盜刷竟然還能退回買假卡的錢。

至於Palo Alto Unit 42資深威脅研究員Vicky Ray表示,也同步在資安大會上,分享該公司揭露的一款鎖定Mac OS X的新勒索軟體KeRanger。他指出,雖然這個惡意程式並不是OS X上出現的第一個勒索軟體,卻因為這是第一個具備完整功能而且可以對企業用戶帶來重大傷害的勒索軟體。

至於,臺灣Verint威瑞特資安長叢培侃剖析駭客攻擊手法,也揭露臺灣APT專家和以色列情報框架技術結合,造自動化協作調查平臺,並提出新一代資安防禦產品應具備哪些特色;並直指,臺灣最珍貴的先然資源就是就這些鎖定臺灣的惡意程式。

分場演講吸睛,捉住最熱門資安議題

除了大會安排的主題演講外,這次分場演講的議程安排,則以目前最熱門以及風險最高的議題為主。像是,第一天的分場演講場次,鎖定IT基礎建設安全、網際網路安全、行動裝置安全、資料安全以及新興安全威脅論壇的內容為主;第二天場次內容則包含安全情資論壇、金融科技安全論壇、雲端安全論壇、數位政府安全論壇及新興安全威脅論壇等議題安排。

在這些分場議程中,除了有安排重要資安趨勢的演講者,並搭配資安業者提供的解決方案外,其中,像是從去年就開始成為熱門話題的金融科技,也首度在分場演講中,正式談論金融科技相關的安全議題,其中不論是臺灣BSI英國標準協會總經理蒲樹盛談論的「如何因應數位金融的挑戰與商機」,或者是臺灣新興金融科技業者蓋特資訊執行長尚可喜分享在臺灣推動金融科技的甘苦談,以及應該如何因應相關的風險議題,甚至於,VISA臺灣區總經理麻少華,更難得的以「行動與數位支付的代碼化(Tokenlization)機制及網路商店的安全議題」為題,現場聽講的聽眾,更是已經快要滿到教室外面了。

分場議題的設定,其實是最難的挑戰之一,如何看準臺灣企業用戶面臨的資安風險,以及既有的資安業者是否有其他更新可以因應資安威脅的解決方案,甚至於,也不能忽略哪一些是正在發展或萌芽中的熱門議題等,在在都考驗主辦單位的智慧。

除了既有的議程外,臺灣資訊安全大會也和臺灣資安社群HITCON合作,從白帽駭客的思維切入,不論是如何面對企業應該如何看待漏洞揭露以及相關的漏洞揭露平臺發展,或者是,透過駭客思維看待一個Web網站的設計與漏洞,當然,也有更高資安決策層級相關的網路威脅情資的蒐集,與相關網路資安威脅情資平臺的建立等等,也都是未來一年,臺灣企業在關注各種資安議題時,無法忽略的重要發展方向。

本週(3/6~3/12)重要資安事件回顧:
Adobe修補Flash Player的18個遠端攻擊漏洞

小心! 含毒垃圾郵件大增,原來是勒索軟體搞鬼

技術出口找商機,以色列10家資安新創4月組團來臺試水溫

Let's Encrypt已發行100萬個免費憑證,加速推動HTTPS

臺灣最盛大的資訊安全大會,報名人數超過3,500人

孟加拉央行的美國聯準會帳戶遭駭,1億美元被轉走

微軟例行性修補,IE及Edge瀏覽器的漏洞就佔了一半以上

臉書修補危及11億用戶的密碼重設漏洞

Seagate員工報稅資料遭網釣外洩

Home Depot為資料外洩賠償消費者1300萬美元

技術出口找商機,以色列10家資安新創4月組團來臺試水溫

Google釋出Android更新修補16個漏洞,包含兩個Mediaserver重大漏洞

韓國通過反恐法准許政府強制手機解密,恐衝擊三星、LG形象

美國情報機構前資安長:臺灣APT災情全球最慘,企業至少5個月不知被駭

鎖定Mac OS X的新勒索軟體現身,安裝Transmission要小心

行政院副院長杜紫軍:今年臺灣資安預算至少編列8億元以上

R.I.P,電子郵件先驅Ray Tomlinson過世,享年74

Google擴大「被遺忘的權利」,當地居民透過任何網域都無法搜尋到被移除的連結
 

 

 

熱門新聞

Advertisement