公部門高階資訊人員資安共識營 會後報導
文/林裕洋
從近年層出不窮的個人隱私、重要資料洩漏事件來看,2020年起資安新趨勢將回到最基本的「零信任(Zero Trust)」,朝向網路存取方式的多樣化,對於應用程式執行、資料存取、網路使用等權限的控管日趨嚴格。
舉例而言,市面上經常使用的AES128/256加密演算,已經被一套3800美元的設備與程式破解,對於資安維運單位而言將會是一場惡夢。目前在駭客圈中,只需要使用SCA(Side Channel Attack)手法,就可以DPA方式在4~25分鐘內,就可破解AES128/256。另外,在國家級試驗室中,也可採用 secure-IC solution 攻擊型測試套件已做過AES、ECC、RSA等破解驗測。
此外,市面上也有用新型反組譯工具讓APP及Application,形成攻擊或入侵的破口。無論App是否加密或混碼,都可經由此類工具返組譯還原成原始程式碼,並且自動分析程式碼弱點以及改善方式。然水可載舟亦可覆舟,此平台具有反組譯後能被塞入惡意程式碼,並重新編譯成原來執行檔作為偽造,對資安防護造成極大影響。
CSCIS顧問王炘說,資安發展無窮無盡,政府單位應該抓住重點與關鍵並加以進行強化,增強單位內外部安全度。面對惡意與攻擊的駭客手法不斷增進,必須有智慧及創意的做法,實證資安的方案以抵抗或消弭,因資安產生的危害與損失。為此,台灣資安研發業者組成SECgroup聯盟,將提供政府部門及資安解決方案。
目前SECgroup聯盟由奕智鏈結、訊苗科技、鑑智實相、義聯電資訊、池安科技等業者組成,各業者之間均有不同專業能力,能為政府機關提供最完善的資安服務,輕鬆應對來自四面八方的挑戰。
