Matthew McCormack在2018年臺灣資安大會中,探討資安議題、IoT興起,以及在這種情況下的臺灣優勢。

前美國國防情報局資安長Matthew McCormack在臺灣資安大會第一天開場演講中指出,IoT越來越普及,晶片安全如Spectre和Meltdown漏洞的衝擊還沒發酵,未來裝置和晶片安全將是重大議題,而身為晶片製造重鎮的臺灣,對資安領域而言,臺灣就是世界中心。

這位美國政府機構的資安老手,在美國聯邦政府和美國海軍工作了17 年,擔任過美國國防情報局資安長、國家稅務局(IRS)網路安全營運部門主任、資安工程部門主任、資安架構長等職務。後來進入業界後,先擔任資安大廠RSA的全球技術長,2015 年成為儲存龍頭EMC的資安長。在2016 年,戴爾併購EMC後,McCormack 則轉任戴爾科技旗下成長最快的事業單位 Virtustream,負責培養資安團隊。  

Matthew McCormack在臺灣資安大會揭露他對全球資安局勢的最新觀察,他認為,由於最近Spectre和Meltdown漏洞屢遭攻擊、防不勝防,越來越多政府、企業甚至個人都認為單靠軟體來保護資料還不夠,硬體(晶片)也該有所改良。第二,Matthew McCormack預測,2020年時全球估計將有70億人使用300億臺電子裝置、且使用容量會達到44ZB(即1012GB),暗示了IoT技術在接下來幾年會越發成熟,將出現大規模遞送包裹的無人機、自駕車普遍上路,以及智慧冰箱、智慧牙刷或是可監測血糖的隱形眼鏡等。

總的來說,以硬體加強安全性能、IoT裝置的數量遽增,都是臺灣成為全球資安中心的原因。因為不論是電腦、手機、平板,還是IoT裝置,都需要內建晶片;而臺灣製造了全球五分之一的晶片,是全世界最大的晶片製造廠,也是晶片技術和IoT技術的研發中心。除此之外,Matthew McCormack也點出,臺灣畢業生有25%是工程師,比例遠高於美國;再加上臺灣政府對資訊安全態度積極,成立行政院國家資通安全會(NICST),結合產官學三方面的優勢,他因此認為,臺灣將是資安領域的世界中心。

另外,Matthew McCormack也在大會中提到常見的資安議題,包括可見性(Visibility)、身分(Identity)和惡意程式(Malware)。首先,由於網路不斷擴大、無邊無際,藏於其中的威脅太多又難以捉摸,因此加強可見性十分重要。而身分,也是資安一大重點。不論是登入電子信箱、社群網站,還是金融服務等,都需要使用者名稱與密碼;20年前如此,20年後的今日依然如此。到目前為止,利用身分來竊取資料的方式,仍是最常見的資安問題。此外,惡意程式也是一個常見的攻擊手段;最近出現的WannaCry攻擊了許多個人和企業,而它之所以能大規模攻擊,就是利用了修補程式(patch)的漏洞。

面對這些資安問題,Matthew McCormack認為企業該注意的層面包括:網路環境和用網的良好習慣、法規遵循、雲端策略、系統開發生命週期(SDLC)框架、資料策略、晶片系統(SOC)和員工教育訓練。

至於如何做好資安防範,Matthew McCormack也提出幾項建議,包括人才、質量與簡化。他表示,人才一直是最重要的,因為市面上資安工具和解決方案多到數不清;找軟體很容易,但要找懂得使用合適工具的人才卻很難。因此,Matthew McCormack建議,與其編列預算買各種工具或解決方案,不如用來培養員工,進行教育訓練,深化知識和技能。再來,質比量更重要,特別是資安團隊的規模。Matthew McCormack舉例,與其擁有100人、但資質平庸的資安團隊,還不如組成10人的菁英小組。至於簡化,Matthew McCormack表示,從心理學角度來說,由於一個人能專注執行的工作有限,因此工作項目要精簡化、而非包羅萬象,就好比一位員工同時觀看7臺螢幕,一定會漏掉某些訊息,所以不如只專注看2臺。另外,購買安全工具時也要特別注意,儘量選購能跟現有工具整合的軟體或解決方案,以達到簡化目的。


Advertisement

更多 iThome相關內容