尋找資安關鍵技術

駭客的技術不斷演進，資安技術也不斷演進，那些技術或產品是未來的關鍵呢？

跟前面所談論主題的狀況有所不同，行家們在關鍵技術上有比較多的交集，大家普遍認同無線網路安全、整合型安全設備、垃圾郵件問題及電腦鑑識等，會是未來資安的關鍵技術；不過，也有行家提出我們完全沒想過的技術，請你拭目以待。

破壞的架構出現典範轉移
隨著時代演變，永遠都會有新的科技。萬幼筠認為無線網路、手持式設備（PDA、手機）所造成的資訊安全風險，以及電腦舞弊的偵防（安全鑑識），將是他未來關注的資安議題。

「安全鑑識是安全事件應變的第一核心要務」萬幼筠說：「所有的犯罪都有動機，並留下證據，我們就用這些證據來判斷是否有事件發生。」不論是在收集、分析或判斷這些證據時，都必須要合乎法理，美國政府曾經因為使用不適當的工具（該工具可能會竄改到資料）收集證據，最後造成敗訴，所以收集證據過程必需是乾淨的，FBI為此還公布一系列正確的證據收集工具。雖然國內的法令還沒有相關的規定，但勤業已經參考國外的法令，遵循正確的手法收集證據。

另外，萬幼筠也意識到P2P可能的危害。以前我們總是以防堵來解決資安問題，但破壞的架構（P2P，如Softether）已經出現典範轉移，而資訊安全的架構卻沒有，這是很多安全專家蠻擔心的問題，但目前還沒有答案（解決方案）。一般而言，我們都不希望出事，但唯有出事後，資安行家才會開始被重視，只是我們永遠不知道下一次會出現什麼樣的資安問題。

無線網路犯罪層出不窮
林佶駿：「無線網路是非常嚴重的資安問題，駭客已經在使用無線網路進行犯罪，例如之前有人在加油站刷卡，歹徒盜錄資料後，透過無線網路買點數卡，也有人利用無線網路販賣大補帖，警方能抓到他們都是因為運氣好。」目前雙網計畫已經開始進行，無線網路將成為資訊安全的一大隱憂。

林泰瑋表示，無線網路在實體上與有線網路不同，它是無線的，而且通訊協定和標準也一直在演化，包括整個無線網路存取和入侵攻擊都不斷在改變。以此延伸，無線網路的管理裝置也漸趨成熟，現在精誠已經在測試一些產品，能夠攔截非法的使用者進入實體網路，未來這些產品將結合3D地圖，利用三角定位找出無線網路裝置和電腦的位置，目前的誤差距離是10公尺，未來可縮小到2公尺內，到時候要利用無線網路犯罪就沒那麼方便。

蘇志隆認為，以前大家著重網路的連結性，所以網路廠商冒出來，之後又衍生出安全問題，所以資安廠商跟著冒出頭，現在又走向行動化，勢必衍生出新的安全性問題。許多企業都知道無線網路不安全，但迫於現實需求，又不得不用它，所以行動裝置和無線網路的相關解決方案，將是下一個要留意的重點。

整合型安全設備
張裕敏：「多種資安產品將會合成一個，並朝向硬體化、小型化（ASIC、RSIC、Flash RAM）發展，變的像電話一樣方便，即插即用、容易操作。」

從企業管理的角度來看，蒲樹盛認為之前企業建置許多安全設備，但當問題（攻擊、癱瘓、故障）發生時，卻很難找出問題點，不知是硬體故障還是軟體出錯。目前各家廠商都在研發整合型安全裝置，產品包含防火牆、IDS等功能，產品能夠互相支援與整合，發生問題時也能從單一窗口得到協助。

楊士逸則從產品設計的角度來看，之前網路裝置和其他應用系統都是分開的，但現在已經開始尋求整合，如此才能提供全面性的解決方案，未來網路裝置會結合防毒、內容過濾等功能。在資安產品方面，大部分的廠商都是單獨的裝置，最近有不少廠商推出整合型安全設備，當然，主動防禦的解決方案也是其中的一條路。

內容安全與弱點管理
技術會跟著潮流走，未來的流行一定是關鍵技術。張裕敏表示，由於現在我們普遍使用網際網路，所以關鍵技術出現在網際網路的分析上，例如分析通訊協定後所發現的漏洞，關鍵技術就是掌握這些漏洞，並加以修補。修補完底層的漏洞，再來就是上層的邏輯分析，應用系統必須先規畫好整個作業流程，才不會發生像之前花旗銀行的白金卡事件。未來CASE（Computer Aided Software Engineering） Tool將會結合資訊安全，從程式撰寫就開始進行弱點分析。

在今年6月英國的資訊安全展中，許偉健發現垃圾郵件（SPAM）是最大的議題，此外，網頁存取、電子郵件控管、SSL VPN、病毒、災難復原、儲存管理及資料管理也都是熱門的議題。國外熱門的產品，遲早都會進來臺灣，目前已經有不少廠商引進SSL VPN相關的產品。

游源濱認為L7的內容安全（Content Security）是未來的主流。大家習慣在網路上做事情，所以有很多的內容透過網路傳遞，加上內容本身的變化性很大，造成安全裝置無法同時兼顧正確性、有效性、效能及速率。目前大家都在發展整合型安全設備，而且不單只是在網路層，將會包含內容過濾及IDS/IDP方面的內容處理。

在短期內，林育民認為入侵防禦（IPS）與垃圾郵件過濾會是熱門的產品。如何提升這兩類防護機制的正確度，避免因漏報或誤報而造成的風險與不便，將會是資安廠商的一大挑戰。此外，以企業整體防護效益而言，安全政策查核與弱點管理才是資安防護的關鍵，因為資安事件的起因大多是未安裝修補程式、設定不當及未落實企業安全政策，若能採用安全政策查核工具，將可有效落實企業安全政策，再配合弱點管理工具，查核與修補系統漏洞，可大幅降低企業風險。在這類系統中，自動化的修補技術與安全設定的管理與修正能力，將會是重要的關鍵技術。

同樣的，林秉忠認為未來兩年將是IDP/IPS當紅的時期，各家大廠都將陸續推出應用層的防火牆，將IDP/IPS與防火牆整合為一。另外，將系統弱點偵測（Vulnerability Assessment）與企業的風險評估整合，並追蹤評估風險，可能會逐漸在大型企業普及化。只是，大型網路的弱點修復管理系統（Patch Management），雖然能有效降低資訊系統的風險管理成本，但是大多數企業對於導入這些系統多採保留態度，接受程度並不高。

蘇志隆則是從防禦面與應變面來思考。網路型入侵預防系統已經接近成熟階段，許多防火牆都加入IPS功能，隨著相關技術的成熟，目前已經出現許多整合型安全裝置，將多種資安產品（防火牆、防毒、IDS、內容過濾）結合在一起。另外，駭客為了躲避現有的防禦機制（防毒、IPS），都想從合法的管道（Softether）找到入侵點，以後門程式Beast為例，它可能透過動態連結程式進行攻擊，將惡意程式植入Windows所信賴的程式（如IE）然後一直衍生，即使防毒軟體偵測到也無法完全清除，它比Pi Apple更難搞。

檔下垃圾郵件與病毒
施孟甫從政府的五年計畫來著眼，他認為「內容管理」會是未來發展的重要路線。雖然IDS走向IDP，但在未來3~5年內，SMTP仍會是IDP做不到的領域。配合安全政策（防偽、認證發信），現在的垃圾郵件過濾產品已經能夠解決99%的垃圾郵件問題，不過垃圾郵件問題還是人的問題，即使運用各種過濾技術（貝氏演算法、Sender ID），Spammer總是會找到漏洞鑽。

談到內容安全，可別忘記最嚴重的病毒問題。林松儀表示，封包層的掃描會是未來的關鍵技術，可以在路由器或交換器上就掃描該封包是否為網路型病毒，以清除掉大部分的病毒。越來越多的病毒是利用系統漏洞進行攻擊，像Code Red和Nimda等利用某種漏洞而且又很有創意的病毒，必定造成重大危害。另一方面，只要某漏洞被寫成病毒，使用者會更新修補檔，造成其他病毒作家無法使用，即使寫出再厲害的病毒也無用武之地，所以現在許多病毒作家都在搶時效。

與其他人不同，陳彥銘認為資訊安全的問題就是「信任」與「平衡」。信任是指我們能否信任應用程式、電腦之間是否能夠互相信任、電腦是否能夠信任人，例如我們不會信任木馬和後門程式；另外，資訊安全該如何與其他領域平衡，在使用者、管理者與法律之間取得平衡點，例如既沒漏洞、又安全好用的瀏覽器。試圖去解決這兩個問題的技術或產品，將是未來的關鍵。舉例來說，現在是知識經濟的時代，企業在思考如何保護、管理資料，所以DRM（數位版權管理）雖然不是每個人都喜歡的東西，但它會是未來的趨勢。

資安管理系統發揮設備效用
有了上述的這麼多安全設備，管理難題也隨之極來。

蘇志隆從資安事件的管理角度來看，由於IT架構越來越龐大，設備越來越多，管理問題也跟著增加，之前每個MIS各管各的設備，訊息沒有交集，但是，為了更有效判斷資安問題的來源，必須將這些事件匯整在一起，才能夠減少誤判、迅速做出反應，讓安全設備發揮最大的效果。

林育民：「企業內建置許多安全防護設備，如防毒、防火牆及入侵偵測系統等，如何有效管理這些系統，已是許多企業所面臨的挑戰。」使用安全管理系統集中監控企業內的安全事件，並對這些事件進行有效的關聯性分析，將減少安管人員所需分析的資料量，並能追蹤企業內各種安全事故（包含實體安全）處理的流程與進度，可提升現有資安投資的效益。關聯分析引擎的正確度、流程追蹤管理的能力，以及是否能與實體安全系統相互結合，會是這類系統能否成功運用的關鍵技術。

駭客技術=防護技術
談完產品，接下來行家們也提出他們對駭客技術的看法。

張裕敏表示，有專家預測在2005~2008年之間，資安問題會上升，駭客技術幾乎等於防護技術，所以漏洞公布與蠕蟲出現的時間差越來越短，目前防毒廠商已經拼不過病毒作家，因為有一些病毒只會散布到特定組織，防毒產品無法掃出這些「未知」的病毒，必須透過犯罪調查才能偵測出來。加上無線網路結合通訊設備（手機、PDA），讓資安問題越來越嚴重，一直要到2008年之後才會下降。

許偉健也分析到，隨著電腦技術越來越好，駭客工具越簡單易用，將會出現許多「半技術」的駭客，他只要會利用工具就能夠進行攻擊。由於目前資訊系統大多建置防禦措施，所以駭客不會直接攻擊系統，而是繞過防禦系統，利用系統漏洞進行攻擊。

游源濱同樣認為潛在駭客的人數將越來越多，攻擊事件的發生率也隨之上升，先前就有高中生置換總統府的網頁；另一方面，隨著頻寬的提升，駭客和被害者都可以取得很高的頻寬，如果攻擊網路骨幹或入口網站，影響範圍將非常廣泛；各種攻擊手法也不斷精進與複雜，最近就有不少蠕蟲採用覆合式攻擊手法。

楊士逸：「駭客與資安就像在蛙跳，彼此互相競爭下才會有進步，就像有人寫病毒，才會有人寫解毒。」

林佶駿表示，未來防禦與攻擊都會往L7發展。在防禦方面，資訊安全產品有可能會被網路裝置（交換器、路由器）取代掉大部分的功能，駭客只能針對一些網路應用程式進行攻擊，例如先前著名的SQL Injection（資料隱碼）。值得注意的是，駭客正在發展防電腦鑑識（Anti Computer Forensics）的技術，避免電腦鑑識還原出真實的資料，執法單位必須加以注意。

陳彥銘認為現在駭客所用的手法比較固定，只不過是在不同的應用程式及作業系統做改變，像最近流行的網路釣魚，它是採用綜合式的攻擊，結合電子郵件、IE漏洞及社交工程。未來，蠕蟲的技巧與手段將會越來越好，漏洞公告和攻擊程式出現的時間差會越來越短，目前的記錄是2天（Witty Worm，BlackIce的漏洞），將來搞不好會出現Zero Day的攻擊。而微軟的產品從漏洞公告到普遍完成修補，大約需要2~3個月的時間。

蒲樹盛表示，人有90%的行為模式是處於「探索」模式，很容易被信任的人欺騙，歹徒只要找到彼此間的共通之處，我們就很容易信任他，造成社交工程詐騙的成功率非常高。更不幸的是，歹徒只要會一種詐騙方法，但我們卻要懂得全部手法。

不可否認性、資料擷取與量子技術
與前面的行家不同，朱保全從個人、國家及國際等3方面來談未來關鍵的安全技術。

在個人方面以「不可否認性」為主軸，如自然人憑證。在網際網路上，你不知道我是誰，我也不知道你是誰，可以盡情做喜歡的事，因此駭客也是為所欲為，如果每個人都像實體世界ㄧ樣，需要有身分證明才可以登入電腦，進出與電腦有關的空間（cyber space），相信可以杜絕大多數的駭客，犯罪偵查也會變的容易許多。

國家方面則是以資料擷取（data mining）技術為主軸，並結合國家SOC中心。政府的20個A+級單位必須建置SOC，如果這些NSOC可以如期完成，再結合資料擷取技術，相信就可以如電影「關鍵任務」中的先知系統，關聯出可能發生的攻擊事件，縮短發現攻擊的時間。美國的SOC就是利用資料擷取技術，在全球爆發攻擊的15分鐘內，立即對客戶提出預警，讓企業有更充裕的時間準備。

國際上則是以量子技術為主軸。最完美的資安就是做到完全無法破解，美國已經在今年正式上線的量子密碼通信網路，研究過量子密碼的人都知道，量子密碼加密的通信是相對不可能被竊聽，它的安全度幾近於完美。各國除了在競賽量子密碼外，更在研發新ㄧ代的電腦－量子電腦，要破解一個400位的阿拉伯數字進行因子分解，目前最快的超級計算機將耗時上百年，但量子計算機只需要一分鐘左右，量子電腦的出現將可能瓦解人類目前所構建的加密網路或密碼系統。文⊙陳世煌

資安行家給你好看林秉忠
威播科技國外業務部專案經理

學　　歷：中山大學資管所碩士

經　　歷：臺灣電腦網路危機處理暨協調中心執行祕書、研究員，國家資通安全會報技術服務中心技術顧問

專業證照：CISSP、CCSA、CCSE

好書分享：
《CISSP Training Guide（Roberta Bragg）》
CISSP 考試準備用書。這本書詳盡的介紹 CISSP 十個知識領域的內容，是目前我看到所有CISSP相關的考試準備書籍中，唯一按照 CISSP所提供的學習指南章節目錄編排的書籍，內容十分的詳盡易讀。現在臺灣大部分人都使用CISSP Prepration Guide這本書，我認為如果兩本相配合，會達到最好的準備效果。

《The CERT Guide to System and Network Security Practices》
介紹如何建立一個安全的網路資訊系統，以及如何偵測入侵事件，入侵事件應變的準則等。美國的CERT/CC是公認最有公信力的網路安全研究組織，有二十年以上的網路入侵事件處理經驗。這本書是CERT/CC集結了專家的經驗以及建議，專為IT Security manager撰寫的一本指南，本書分為兩個主要部分，第一部分與如何強化及安全化你的系統有關－亦即採取預防措施。第二部分則涵蓋入侵偵測及應變，認清即使是最安全的網路和系統都無法避免所有可能的威脅。提供管理人員在安裝、設定、運作、維護系統或網路時，一個有系統且有效的指導方針。林松儀
趨勢科技亞太區技術顧問

學　　歷：臺灣大學心理系

經　　歷：趨勢科技臺灣區技術支援部門，趨勢科技亞太區TCSE的教材專案，趨勢科技海外事業部防毒架構規畫，奇摩郵件系統

專業證照：CISSP、SCNA、SCSA、RHCE、CCSA

好書分享：
《CISSP All in One Exam Guide》
這本書是準備CISSP的必備讀物，涵蓋資訊安全相關的各項領域，內容深入淺出，所以很適合想要多了解資訊安全的人閱讀。雖然並不能因此成為某項領域的專家，但是會對各種資訊安全內容都有基本的概念。建立基礎之後才有辦法對資訊安全作深入的研究。

《駭客現形系列》
駭客現形系列有好幾個版本，內容主要在介紹各種現存系統的漏洞跟駭客如何去利用這些漏洞去侵入網站、電子商務、電話系統等等，同時也會介紹各種攻擊跟因應的對策。知己知彼、百戰百勝，網路架構已經是現代人不可或缺的一環，資訊系統更是有如企業界的血管命脈一般，但不是每個人都知道網路上有多少攻擊在進行著，也很少人知道自己的系統已經被入侵了。能夠知道駭客如何去找尋跟研究各種系統漏洞，才能對自己的網路架構有更深入的了解，提供更好的防護。

資安好站：
CERT Coordination Center
http://www.cert.org
CERT是個非營利的全球性的組織，主要的目的在處理電腦危機以及資訊安全相關的問題，網站上會提供各種資訊安全事件以及處理的方法。各國也都有成立區域性的CERT組織來互通有無，回報資安事件，透過這個網站可很快的得知最新的資訊安全事件，及早做出回應。網站中也提供許多維護網路安全或電腦安全的方法，對於想要做好安全防護的人很有幫助。

ICST 資安論壇
http://forum.icst.org.tw/phpBB2
這行政院國家資通安全會報底下附屬的資安論壇，裡面有20幾個討論區，包含基礎知識、系統安全、漏洞、資安工具、駭客技術和資安活動等範圍。國內專門提供資訊安全的討論區不多，ICST裡面有各種領域的討論區，並且有許多人提供資訊、參予討論，能夠在上面獲取新知，並找到同好一起討論。林泰瑋
精誠公司資安技術經理

學　　歷：交通大學管理科學系

經　　歷：系統工程師、技術主任、Check Point ATC講師、技術經理、Ultimate Hacking講師

專業證照：MCSE、CCSE、CCSI、ISS ICU、CISSP

好書分享：
《駭客大作戰（The Art of Deception: Controlling the Human Element of Security）》
描寫如何博取他人信任，並利用信任來從事一些「活動」以獲取利益或所需要的資訊。透過Kevin Mitnick的精采的經驗，讓IT人員清楚知道再高竿的科技也有脆弱的環節，裡面一些Attack Scenario的說明相當深入淺出，有啟發性。

《The Protocols (TCP/IP Illustrated, Volume 1)》
介紹TCP/IP通訊協定，雖然本書在1994年出版，但不失為想要了解TCP/IP協定的最佳書籍之一。書中除了理論介紹外，更有很多範例展示，讓讀者可以身歷其境地了解每天都在接觸的通訊協定。

資安好站：
Securiteam
http://www.securiteam.com
綜合資安新聞、exploit code的網站。包含很多exploit code的Archive，資料收集的相當完整。

Infosyssec
http://www.infosyssec.com
資安新聞、工具、資源的入口網站。大量其他網站的連結，如果懶的自己找東西，來這兒準沒錯。

SANS
http://www.sans.org/rr
一些免費的資安相關技術文章，分類很完整。