圖片來源: 

總統府

台灣駭客年會HITCON PEACE 2022於今明兩日(19、20日)舉行,這項由熱血資安人發展18年的臺灣資安技術社群盛會,已成國內與亞洲知名的駭客年度盛會,本屆大會更是首度從中央研究院移師南港展覽二館,聚集海內外上千名參與者,以史上最大規模亮相。

面對烏俄之間的軍事衝突,以及中國不滿美國眾議院議長裴洛西訪臺,臺灣公私部門近期遭受大量網路攻擊,本屆大會特別取名為HITCON PEACE,似乎別具深意,HITCON總召集人鄭仲倫(Mars Cheng)表示,PEACE代表Protect Enterprise And Citizens Ever-aer的精神,而且,今年HITCON大會的重頭戲,有各式技術交流活動與資安技術演講,也召開匯集國內產官學資安決策者的圓桌高峰會,探討各種環境下的安全性議題,像是探討國家電力、電信的持續運作,就是重中之重。

總統蔡英文今日(19日)再度出席這場駭客社群最大的年度盛會,並在開場致詞時強調,持續強化國家資安防禦體系仍是首要任務之一,並期待透過駭客社群的文化及能量,共同協力因應挑戰,強化國家整體的韌性。

今日舉行的HITCON 2022 PEACE大會,不僅總統蔡英文蒞臨首日活動現場並上臺致詞,同時出席的還有經濟部長王美花、國家安全會議秘書長顧立雄、國家安全會議諮詢委員李漢銘、中央研究院李德財院士,以及國發會、教育部代表等。圖片來源/HITCON

因應網路攻擊及資訊戰爭,政府與民間產業需與駭客社群文化相互激盪,不斷共同探討對策

蔡總統表示,從近期的國際情勢發展來觀察,網路攻擊與資訊戰爭,已經是國際衝突當中,最關鍵的攻防領域之一,而且是持續不斷進行。

特別是從2022年初的烏俄戰爭以來,我們可以看到威權勢力的擴張,除了實體軍事行動,更會結合錯假訊息,以「混合戰」的方式,混淆民眾視聽,藉此進行認知作戰。而這一陣子,中國持續進行長時間的軍演,同樣的網攻混合戰模式也在臺灣上演。

因此,如何因應不同的資安漏洞,提升資安防禦及應變能力,持續強化國家資安聯防體系,確保國家的穩定及發展,持續是我國最首要的任務之一。

總統指出,今年度的HITCON PEACE大會核心精神PEACE,也呼應強化國家資安聯防體系的期待,希望持續透過產官學界與社群文化的激盪與對話,以共同因應當下的挑戰,思索出更有效率、更完整的攻防模式。

這些年政府推動「資安即國安」的戰略概念,2018年通過《資通安全管理法》,已經要求政府機關及關鍵基礎設施,率先導入資安防護,如今我國數位發展部也將於本月底正式成立,未來會由數位發展部來主導及統合,進一步強化、提升國家資通安全能力。

至於產業方面,政府會持續落實對資安與智慧財產權的保護,未來,臺灣會持續與共享民主價值的國際盟友,一起打造更具有韌性,也更安全的供應鏈。

國際專家分享2022年最新威脅局勢,MITRE新出爐的供應鏈安全SoT框架受關注

在HITCON PEACE大會首日主題演講,多位國際資安專家透過線上視訊的方式,講述今年網路威脅發展,並介紹全球高度重視的供應鏈安全對策,以及國際資安最新態勢。

HITCON本次特別邀到美國非營利組織MITRE參與,首席軟體與供應鏈保障工程師Robert A. Martin介紹最新供應鏈安全對策,亦即6月MITRE提出的System of Trust(SoT),建構完整的供應鏈安全可信任系統技術框架,以及評估方法,當中主要將基本風險分為三大維度,包括:供應商(Suppliers)、供應產品(Supplies/Components)、服務(Services)。而這也是許多國家尚未關注的新議題,如今在臺灣首度有專家導讀第一手資訊。

微軟也派人到HITCON演講,突顯他們對臺灣資安界的重視。該公司威脅情資中心的資安專家Mark Parsons,以及Justin Warner提到,現在許多駭客組織最常用的攻擊策略,通常有下列幾種:一種是從SOHO與IoT裝置基礎架構,如家用與中小企業的路由器來入侵;另一種是針對面向公眾的服務,如VPN、對外應用程式伺服器、遠端存取解決方案與網路閘道,來進行滲透。而且,許多駭客會積極鎖定剛釋出修補的漏洞,試圖在企業尚未修補之前去利用。

同時,濫用信任,從企業習於採用的IT或軟體商來攻擊,也是近年一大威脅現況。上述這兩位微軟專家,特別以烏克蘭遭遇的網路攻擊組織,以及所用的手法,進行說明,像是之前滲透SolarWinds軟體供應鏈的俄國駭客組織Nobelium,以及名為IRIDIUM的駭客組織,他們的攻擊手法就是積極利用上述方式入侵。


MITRE首席軟體與供應鏈保障工程師Robert A. Martin透過線上直播方式,針對供應鏈安全因應的議題提出見解,並介紹了MITRE因應供應鏈安全的最新對策System of Trust(SoT)。圖片來源/HITCON

多位國內資安專家分享最新資安研究,促進中央政府與民間企業的資安認知與共識

此外,在這兩日的議程中,HITCON也找來美國國防部(DoD)的專家,以預錄演講探討衛星網路安全新興議題,而這也是因為烏俄戰爭突顯的風險。當然,多位臺灣資安專家的最新漏洞研究成果揭露,以及資安技術研究發表,也是歷年HITCON想要呈現的特色。以今年為例,有講者談到參與國外Pwn2Own駭客競賽、以及多項漏洞獎勵計畫的經驗,以及涉及惡意程式、程式分析、威脅情資的研究,同時也有針對企業藍隊關注的議程,其中AD(Active Directory)安全防護成一大主軸。

特別的是,本屆大會再次舉行的圓桌閉門會議,匯集政府單位的重要人士,包括即將出任數位發展部部長的唐鳳,將轉任數位產業署長的現任經濟部工業局局長呂正華,國家安全會議諮詢委員李漢銘,以及金融、製造業、科技及資安等企業高階主管共40人參與。

台灣駭客年會理事長翁浩正表示,本次圓桌閉門會議持續針對CISO、智慧製造與金融科技這三大領域討論,最重要的目標,就是讓政府與民間企業之間能夠互相瞭解彼此的期待,並探討OT與金融領域面臨的重要議題。

特別的是,台灣駭客年會理事長翁浩正特別提及,目前外界對於資安還是有很多錯誤性的思考,例如看到資安事件的新聞,若是一個網站被駭,第一個想法就是對受害者加以撻伐,但看到這樣的資安事件的新聞,觀念上應該是要鼓勵通報與揭露,才會知道發生了什麼事情,促進情資交換,而不是發生事故都不敢講。政府與企業高層對資安的看法也不能是錯誤的,認為只要編列了資安預算,就不能有資安事件發生。

他也強調,全世界沒有一家公司敢說百分之百不會被入侵,資安事件真的那麼嚴重嗎?重點應該是看資安事件發生當下與發生完之後,我們是如何應變。

資安人才的議題也是政府與企業高層探討的焦點之一,而在本屆大會的活動現場,也同時舉辦了資安基礎Workshop的課程,以及資安人才職涯博覽會,希望幫助更多資安新鮮人在學習技術上減少彎路以及能夠順暢地投入領域發展。

熱門新聞

Advertisement