【臺灣資安大會直擊】前美國國安局網路安全負責人：亞洲關鍵基礎設施安全拉警報！政府及企業須立即採取行動

臺灣最大規模的2019臺灣資安大會今日（3/20）正式邁入第2天，今天上午是由前美國最高情報單位國家安全局（NSA）的網路安全負責人，也是現任Fortinet資安長Philip Quade擔任大會首場Keynote講者。他在會中提出警告，包含臺灣在內的亞太區，正成為關鍵基礎設施風險的溫床，若不及早防範，只會讓駭客或敵人長驅直入到自己國家的核心，造成嚴重毀滅性的打擊。

過去30多年都在美國NSA從事情報技術開發與防禦的Philip Quade，長年協助美國國防部情報部門擬定情資戰略並為國家網路安全把關。擁有許多豐富網路安全防禦與作戰經驗的Philip Quade，不僅擔任過NSA局長網路特別助理，還是NSA網路特遣部隊的負責人，一手規畫與擬定國家網路安全方針，更曾替白宮制定國家網路戰略和政策。直到兩年前退休後，Philip Quade加入Fortinet擔任該公司資安長，不只協助該企業制定網路資安政策，更將過去多年累積的安全防禦經驗，用來協助政府及企業用戶運用於各種關鍵基礎設施的資安防護。

過去幾年，針對水力、電力、能源等民生關鍵基礎設施的網路攻擊事件頻傳，也促使各國政府將其列為首要優先處理的重大資安議題。Philip Quade就表示，企業或政府現在面臨的網路威脅和以前大不相同，駭客以往多基於金錢目的竊取企業機敏資料，現在攻擊的動機則是更加複雜許多，甚至連面對的對手攻擊方式，也和以前不同，不只是漫無目的、隨機式攻擊，更多是有著針對特定單一或複數國家或組織發動的目標式攻擊，藉此控制或癱瘓這些基礎設施，影響該國民生經濟，甚至威脅國家經濟安全。

「現在正是危急緊迫的關頭。」Philip Quade呼籲，不論政府或企業都必須立刻採取行動，「確保基礎設施系統，可以提供更高可靠且具有更高安全的防護措施，才能有效阻擋駭客攻擊」，甚至他也觀察到，亞太區正成為關鍵基礎設施風險的溫床，「尤其臺灣，因為以製造業為主，在生產線上配備許多工控系統或設備，一旦與IT網路相連，也很容易成為駭客攻擊的目標。」

然而，為何越來越多的關鍵基礎設施，都讓駭客可以如入無人之境，輕易取得系統的控制權呢？Philip Quade直言，這與關鍵基礎設施系統核心的OT（Operation Technology）系統有很大關係，例如SCADA監控及蒐集系統，或ICS控制系統等。他進一步說明，以往自成一個安全網路的工控OT系統，因為數位轉型浪潮，企業開始將IT與OT進行整合，以便從大量產線機臺資料蒐集做分析，提高營運與生產效率，「正因為OT網路開始連上IT網路，導致出現資安防護缺口，讓駭客有了可乘之機。」他說。

甚至，也因為在機臺加入許多小型感測控制器(Actuators)，或是稱作工業IoT裝置或設備，用於蒐集或監控設備環境，但是這些裝置大多缺乏資安防護措施，駭客因此能夠輕易藉由這些裝置長驅直入進到OT系統，再由下向上感染整個基礎設施， 甚至還反過來經由工控OT網路入侵企業IT網路取得資訊系統掌控權。

面對關鍵基礎設施的攻擊威脅持續升高，Philip Quade也提出因應之道，首先，在OT的安全策略上，他先將這些問題威脅分成三類，包括已知的已知威脅（Known Knowns）、已知的未知威脅（Known Unknowns），以及未知的未知威脅（Unknown Unknowns）。其中第一類如防毒產品上可偵測的已知惡意病毒；而明知有攻擊但不知何時何地發生則屬第2種類型；最後一種，指的是這些還未曾發現過的未知風險，也是最難偵測得到。

針對這幾類的資安風險，他也提出4種資安策略作法，像是建立能更快反應的新一代網路安全架構，以偵測更先進威脅，或是加入整合各種安全防護技術與工作流程的新機制，以及建立如軍事作戰常用的OODA Loop決策自動化機制，加快反應決策，做為持續性信任評估與立即反應。最後，第四個策略是，採用更先進威脅偵測技術或工具，如機器學習等，能經由將大量惡意程式當作資料訓練，建立異常網路行為偵測的機器學習模型，來以解決更複雜網路安全問題，甚至是，這些還未曾發現過的未知的未知風險。

光只有資安防護策略還不夠，面對無所不在的攻擊威脅，Philip Quade還指出，企業在資安管理上，則是可以建立一套資安風險的管理機制，從威脅程度、漏洞大小、影響後果三個面向的風險指標，對自己的安全威脅風險程度進行分類，如低度風險、高風險，或是超高風險等，找出適合企業自己的緩解攻擊的最佳方案，將可能損害降到最低。

另外，他也還舉了現在在OT界採用的一種風險判斷方式，就是基於影響後果基礎工程（ Consequence-based Engineering）方式，透過工程技術方式設計各種風險情境，用來判別企業最容易受到哪類的攻擊威脅，以重點加強對這類威脅的防護及偵測能力。

不只技術的整合，Philip Quade同樣強調，OT人與IT人員之間的整合，他表示，人員不分網路安全、營運安全或是實體安全，都應彼此協同合作，以避免出現資安防護的缺口，讓駭客得以趁虛而入。當然，他也補充說到，為了要達到這樣的協同作戰目的，得要有更好的IT與OT組織的管理作法。

最後，Philip Quade則講到鞏固網路安全文化的重要性，他認為，每個國家都應有責任加以維護，建立友善的網路安全文化。他還進一步提出每個國家都應遵循一個「三不一合」的網路安全行為準則，包括，不應以經濟利益來竊取別國的機密、不能攻擊他國關鍵基礎設施、不應破壞供應鏈誠信，以及各國應就網路安全彼此合作。