前美國最高情報單位國家安全局(NSA)的網路安全負責人,也是現任Fortinet資安長Philip Quade

臺灣最大規模的2019臺灣資安大會今日(3/20)正式邁入第2天,今天上午是由前美國最高情報單位國家安全局(NSA)的網路安全負責人,也是現任Fortinet資安長Philip Quade擔任大會首場Keynote講者。他在會中提出警告,包含臺灣在內的亞太區,正成為關鍵基礎設施風險的溫床,若不及早防範,只會讓駭客或敵人長驅直入到自己國家的核心,造成嚴重毀滅性的打擊。

過去30多年都在美國NSA從事情報技術開發與防禦的Philip Quade,長年協助美國國防部情報部門擬定情資戰略並為國家網路安全把關。擁有許多豐富網路安全防禦與作戰經驗的Philip Quade,不僅擔任過NSA局長網路特別助理,還是NSA網路特遣部隊的負責人,一手規畫與擬定國家網路安全方針,更曾替白宮制定國家網路戰略和政策。直到兩年前退休後,Philip Quade加入Fortinet擔任該公司資安長,不只協助該企業制定網路資安政策,更將過去多年累積的安全防禦經驗,用來協助政府及企業用戶運用於各種關鍵基礎設施的資安防護。

過去幾年,針對水力、電力、能源等民生關鍵基礎設施的網路攻擊事件頻傳,也促使各國政府將其列為首要優先處理的重大資安議題。Philip Quade就表示,企業或政府現在面臨的網路威脅和以前大不相同,駭客以往多基於金錢目的竊取企業機敏資料,現在攻擊的動機則是更加複雜許多,甚至連面對的對手攻擊方式,也和以前不同,不只是漫無目的、隨機式攻擊,更多是有著針對特定單一或複數國家或組織發動的目標式攻擊,藉此控制或癱瘓這些基礎設施,影響該國民生經濟,甚至威脅國家經濟安全。

「現在正是危急緊迫的關頭。」Philip Quade呼籲,不論政府或企業都必須立刻採取行動,「確保基礎設施系統,可以提供更高可靠且具有更高安全的防護措施,才能有效阻擋駭客攻擊」,甚至他也觀察到,亞太區正成為關鍵基礎設施風險的溫床,「尤其臺灣,因為以製造業為主,在生產線上配備許多工控系統或設備,一旦與IT網路相連,也很容易成為駭客攻擊的目標。」

然而,為何越來越多的關鍵基礎設施,都讓駭客可以如入無人之境,輕易取得系統的控制權呢?Philip Quade直言,這與關鍵基礎設施系統核心的OT(Operation Technology)系統有很大關係,例如SCADA監控及蒐集系統,或ICS控制系統等。他進一步說明,以往自成一個安全網路的工控OT系統,因為數位轉型浪潮,企業開始將IT與OT進行整合,以便從大量產線機臺資料蒐集做分析,提高營運與生產效率,「正因為OT網路開始連上IT網路,導致出現資安防護缺口,讓駭客有了可乘之機。」他說。

甚至,也因為在機臺加入許多小型感測控制器(Actuators),或是稱作工業IoT裝置或設備,用於蒐集或監控設備環境,但是這些裝置大多缺乏資安防護措施,駭客因此能夠輕易藉由這些裝置長驅直入進到OT系統,再由下向上感染整個基礎設施, 甚至還反過來經由工控OT網路入侵企業IT網路取得資訊系統掌控權。

面對關鍵基礎設施的攻擊威脅持續升高,Philip Quade也提出因應之道,首先,在OT的安全策略上,他先將這些問題威脅分成三類,包括已知的已知威脅(Known Knowns)、已知的未知威脅(Known Unknowns),以及未知的未知威脅(Unknown Unknowns)。其中第一類如防毒產品上可偵測的已知惡意病毒;而明知有攻擊但不知何時何地發生則屬第2種類型;最後一種,指的是這些還未曾發現過的未知風險,也是最難偵測得到。

針對這幾類的資安風險,他也提出4種資安策略作法,像是建立能更快反應的新一代網路安全架構,以偵測更先進威脅,或是加入整合各種安全防護技術與工作流程的新機制,以及建立如軍事作戰常用的OODA Loop決策自動化機制,加快反應決策,做為持續性信任評估與立即反應。最後,第四個策略是,採用更先進威脅偵測技術或工具,如機器學習等,能經由將大量惡意程式當作資料訓練,建立異常網路行為偵測的機器學習模型,來以解決更複雜網路安全問題,甚至是,這些還未曾發現過的未知的未知風險。

光只有資安防護策略還不夠,面對無所不在的攻擊威脅,Philip Quade還指出,企業在資安管理上,則是可以建立一套資安風險的管理機制,從威脅程度、漏洞大小、影響後果三個面向的風險指標,對自己的安全威脅風險程度進行分類,如低度風險、高風險,或是超高風險等,找出適合企業自己的緩解攻擊的最佳方案,將可能損害降到最低。

另外,他也還舉了現在在OT界採用的一種風險判斷方式,就是基於影響後果基礎工程( Consequence-based Engineering)方式,透過工程技術方式設計各種風險情境,用來判別企業最容易受到哪類的攻擊威脅,以重點加強對這類威脅的防護及偵測能力。

不只技術的整合,Philip Quade同樣強調,OT人與IT人員之間的整合,他表示,人員不分網路安全、營運安全或是實體安全,都應彼此協同合作,以避免出現資安防護的缺口,讓駭客得以趁虛而入。當然,他也補充說到,為了要達到這樣的協同作戰目的,得要有更好的IT與OT組織的管理作法。

最後,Philip Quade則講到鞏固網路安全文化的重要性,他認為,每個國家都應有責任加以維護,建立友善的網路安全文化。他還進一步提出每個國家都應遵循一個「三不一合」的網路安全行為準則,包括,不應以經濟利益來竊取別國的機密、不能攻擊他國關鍵基礎設施、不應破壞供應鏈誠信,以及各國應就網路安全彼此合作。


Advertisement

更多 iThome相關內容