上一期我們提到,雖然臺灣的天然資源不足,但是在網路空間上,臺灣卻有豐富的新石油──惡意程式。然而發生於十月初的遠銀SWIFT被駭事件,再次凸顯臺灣不夠重視資安威脅情資,缺乏更有策略性的作為,只能眼睜睜看著資源流失,徒造福國外資安廠商,而無法轉為推動臺灣資安產業發展的引擎,不禁令人感嘆。

資安威脅情資何以重要,肇因於資安威脅的演變。在十幾年前,資安威脅主要來自電腦病毒與蠕蟲,其目的是癱瘓電腦,而始作俑者大多是想展現技術的高手。接著,伴隨電腦與網路的高速發展,資安威脅快速演變為駭客入侵、僵屍電腦、間諜軟體,入侵政府或企業竊取資料。近年來,更為常見的是難纏的針對性攻擊(APT)、零日漏洞攻擊,及勒索軟體。威脅層面更深、更廣的攻擊行動,不僅是竊取資料,更會謀財害命,而受害災情也不再局限於特定區域,往往迅速遍及全球,更有甚者,背後主謀幾乎都是網路犯罪組織或國家網軍。

道高一尺、魔高一丈,資安防護技術也隨著威脅進化。最早的第一代資安防護技術,主要是偵測與過濾病毒或蠕蟲程式,保護電腦正常運作;第二代資安防護技術,則以阻擋駭客入侵的防火牆、網路入侵防禦等技術為主。第三代資安防護技術,因為要對抗那些利用未知漏洞發動攻擊的APT與零日攻擊,必須更側重於資安攻擊事件與惡意程式的分析與研究,因而掌握資安威脅情資就是第三代資安防護技術的關鍵。

但是,據了解,在臺灣想要合法交流惡意程式樣本,其實存在著不少障礙。就遠銀事件來說,有些臺灣資安研究員向相關單位索取惡意程式樣本,卻被偵察不公開的理由擋在門外;也有一些臺灣資安研究員,雖然手上已握有惡意程式樣本,並有分析研究的結果,卻限於簽署客戶保密條款,而無法將分析結果公諸於世。因而諷刺的是,一件發生在臺灣的重大資安事件,卻是國外資安公司率先發布研究報告。

看在他國眼裏,這樣的處境顯得臺灣沒有優秀的資安公司,另一方面,臺灣企業也只能繼續接受外國的月亮比較圓。但事實上,臺灣優秀的資安公司進駐現場調查與分析的結果,並不下於國外資安公司。

其實,臺灣擁有頂尖的資安研究人才,也有不少人想要投入資安產業;同時,臺灣也是惡意程式的寶庫,不缺研究與研發題材。政府應該以更宏觀的策略推動資安情資分享社群,建立一套情資分享機制,把情資與資安研究整合起來,讓資安研究員在第一時間獲取惡意程式樣本與攻擊情資,得以分析研究。如此,源源不絕的資安情資持續灌溉,讓臺灣資安產業保有活水,絕對會吸引更多人才投入。

類似的做法,早有前例。今年初在全球大肆侵略的WannaCry勒索軟體,之所以很快在一周內獲得有效控制,全世界都歸功於一位英國研究員意外的發現。但其實關鍵是英國政府的情資分享計畫。

當時這位英國資安研究員發現WannaCry勒索軟體有個Kill Switch機制,它會嘗試連結一個特定的網址,若成功連上該網站,就自動停止運作,顯然攻擊者利用這個機制來控制攻擊行動。

因為這樣一個發現,這位研究員立即註冊該網址,因而即使WannaCry仍持續擴散感染,卻因此而不會發作。此舉成功阻止WannaCry全球大爆發,讓這位英國研究員意外地成為全球英雄。然而這名專家卻特別感謝英國政府,若非英國國家資安中心(NCSC,隸屬GCHQ)成立的情資分享社群(CiSP),讓他在第一時間取得WannaCry的樣本,也是英雄無用武之地。

這樣的經驗值得臺灣效法。在總統宣誓資安等於國安之後,推動資安產業就成為政府重要的資安政策,然而政府未必有充分資源滿足各方需求。例如廠商無不希望政府加大對國內產業的採購,但政府預算終究有限,這麼做只有短期的效果。長遠來看,必須從關鍵樞紐下手,才能坐收槓桿效益,進而創造臺灣在國際資安領域的影響力。

我認為,資安情資應該挹注產業,提供一個持續有養分的產業發展環境,孕育資安人才與促使產業成長茁壯,而不是由政府一一拉拔。所以,建立臺灣的資安情資分享社群,不失為扭轉臺灣資安產業發展的長遠作法。

作者簡介


Advertisement

更多 iThome相關內容