台灣發展資安產業 需從軟硬體結合出發
台灣硬體製造能力備受肯定,軟體資安業者若能搭配臺灣在硬體製造方面的專長,應該有機會在國際市場上大放光彩。
採訪/林振輝、施鑫澤‧文/林裕洋
為獲取最大經濟效益,勒索軟體已成為駭客組織最愛用的工具,地下經濟市場亦出現專門販售或出租勒索軟體的犯罪織。根據長期觀察全球資安趨勢的趨勢科技研究報告指出,2022 年勒索病毒威脅情勢將出現兩股趨勢,首先企業必須強化自身防禦來防 範現代化勒索病毒威脅。
其次,由於勒索病毒集團的勒索手段將變得更加複雜,如直接竊取企業資料來當成勒索的籌碼,這將對資安團隊帶來前所未有的挑戰,強化資安防護機制儼然成為企業必須正視的議題。
[ 參與 CIO Taiwan 年度盛事 2023 CIO 大調查,就從填寫問卷開始!(survey.cio.com.tw) ]
在提升資安防護機制之外,考量到惡意威脅無孔不入,愈來愈多企業也體認到要做好被入侵的準備,也讓紅隊演練(Red Team Assessment)成為近來非常熱門的議題。所謂紅隊演練是在不影響企業營運的前提下,邀請專業資安顧問團隊模擬駭客入侵攻擊手法,除找出企業潛在的資安漏洞之外,也讓資安團隊模擬面對入侵時,得以取最合適回應方式,將惡意威脅降到最低。
臺灣大學資訊工程學系教授兼系主任洪士灝說,面對日益嚴峻的惡意攻擊威脅,強化造資安防禦系統絕對是首要工作,而企業應該從購買合適資安設備、人員訓練等兩大方面著手,且兩者缺一不可。畢竟若資安人員缺乏合適訓練,即便有再好的資安設備,面對惡意威脅入侵時,第一時間恐怕也不知道應採取何種做法。若缺乏合適設備,則會陷入巧婦難為無米之炊的窘境。我們在人才培育著墨多年,一直協助不同領域訓練合適的資訊人才,我們也建議企業應該要投入持續人才訓練的工作,持續掌握最新防禦與攻擊技術,在能真正達到將資安威脅入侵風險降到最低。
隱私保護應更加受重視 資安人才培育應更加專業
隨著駭客組織將攻擊目標從商業組織,延伸到與民眾日常生活的關鍵基礎設施,近期最著名事件則是 2021 年 5 月美國燃油管線營運公司殖民管線(Colonial Pipeline)遭到勒索軟體入侵,以達成勒索龐大贖金或達成特定政治目的,也讓資安問題提升到國安問題。根據統計報告指出,全球資安人才缺口高達百萬人以上,臺灣部分,在金管會修改上市櫃公司法,要求須設立資安長、資訊團隊之後,預估資安缺口高達 4 萬人以上。因此,目前不少學校、資安公司都積極開設資安人才培育課程,期盼不同產業培育所需的人才。
洪士灝指出,培育人才必須仰賴專業課程與師資,如要培育警察成為人民保母,就必須借重警察學校的專業課程。市面上有非常多專業資安課程,包含 HITCON 開設的課程等,都是從 MIS 角度出發,協助企業培育維運資安機制所需的人才。相較之下,我們與產業合作則是培育產業所需的產業人才,以 2022 年與 HPE、緯創、英業達等三個合作案例為,是從產業需求出發為例,如緯創的合作案是與同態密碼技術相關的加速晶片為主,至於英業達則是保護 AI 專案相關的資料安全。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
2018 年英業達成立人工智慧中心,由陳維超擔任負責人,全力加速 AI 相關解決方案落地,期盼藉由數位轉型強化競爭力。目前,英業達已將 AI 技術,應用於包括軟體測試、AIoT 檢測、以及筆電表面刮痕檢測等,以確保提升整體產品品質,強化在市場上的競爭力。由於資料是推動 AI 專案的重要基石,而英業達決定與臺大洪士灝專案團隊合作的主因,正是看到資料隱私保護比資安更重要,必須再從大量資料中挖掘價值之前,必須解決隱私保護的問題,所以訓練人才做好資料隱保護的工作很重要。
「很多人以為執行 AI 專案需要資料科學家協助,事實上也需要熟悉 AI 安全的專家協助才行,否則若無法保護資料安全時,反而會讓公司陷入更多危機之中。」洪士灝解釋:「 與學校合作開設相關課程,是最划算的投資。我們依照英業達的需求,開設與 AI 安全的 3 學分課程,預定在相關課程結束之後,進一步與英業達團隊討論後續專案的執行方式。
善用硬體製造優勢 推動軟硬體合作
鑑於資安等於國安的趨勢,2018 年行政院通過「資安產業發展行動計畫」,希望利用臺灣半導體、晶片、資通訊產業優勢,整合 5+2 產業創新、新南向、留才與攬才等計畫資源,打造臺灣產業優質安全品牌,穩固國內關鍵基礎設施資安環境,進而扶植臺灣資安產業進軍國際市場。除此之外,2020 年行政院進一步將資安列為六大核心產業,其中在資安卓越產業方面,將研發 5G、半導體等防護技術、開發 5 項 AIoT 及醫療等領域解決方案,並成立資安攻防及跨國合作機構,期強化新興領域防護及打造高階實戰場域。
雖然在臺灣資安產業發展歷史中,以防毒起家的趨勢科技,堪稱是臺灣資安與軟體創業的典範。然由於臺灣市場規模較小,因此軟體產業規模泰半不大,在資本額不大的基礎下,進入國際市場與其他國家競爭時,恐怕會因為欠缺競爭利基,成功機率相對小很多。相較之下,若撇開現今國際市場排中的因素無論,中國軟體產業可先由自身市場壯大企業的營運規模,加上中國政府的補貼策略等,在國際市場成功機率就比臺灣企業大上許多。
洪士灝指出,有人會以市場規模更小的以色列資安產業為例,出現許多能與歐美國家抗衡的品牌。但其中關鍵,在於以色列在對於資安部分,不相信其他國家的品牌,所以自己做出功能強大的產品,也深受國內企業採用與肯定。而臺灣本身是開放市場,只要符合政府法規的規範,所有產品都可以進入臺灣市場販售,加上民眾對於國外品牌接受度也高,若本土產品沒有特定優勢或功能,恐怕很難獲得企業用戶的青睞。在此狀況之下,軟體資安業者若能搭配臺灣在硬體製造方面的專長,應該有機會在國際市場上大放光彩。
中製產品資安疑慮高 台灣資安產業最大利基
其實臺灣資安產業規模並不小,根據工研院產科國際所公布研究報告指出,目前臺灣資安產業廠商數目約在 340 家廠商,整體產值達到 552 億元新臺幣,將較於 2019 年約成長達到 11% 左右。主要關鍵在於受到 COVID-19 疫情影響,全球對 VPN 及防火牆等設備需求大增,導致外銷資安網路硬體大幅成長,其中又以網路安全、終端與行動裝置防護等兩大類所佔比率較高。加上美中貿易大戰之後,對於中國製造網通安全產品有極大疑慮,也讓臺灣資安網路硬體平臺的成長。
洪士灝說,國際市場對中國製網通產品有疑慮的關鍵,在於過去幾年頻頻傳出設備被植入木馬程式或特定晶片,引爆國際對硬體資安的重視。相較之下臺灣製造網通產品就沒有此疑慮,加上產品品質相對較好,這也成為臺灣資安產業發展的優勢。
另一方面,資安硬體設備銷售成績雖亮眼,但是多數產品也因為缺乏合適的資安軟體加持,所以產品售價也不容易提高,因此軟、硬體業者應該思考合作的方法。如部分資安產品是安裝在 x86 伺服器中,只是因為搭配一張特定的晶片卡,整體售價就可高達數百萬元以上。
值得注意之處,臺灣資通訊業者看準物聯網商機,推出不少採用開放原始碼(Open Source)的 AIoT 產品。而現今不少駭客組織都開始利用開放原始碼漏洞發動攻擊,又或者在原始碼植入惡意程式,洪士灝建議業者應該要確認使用的軟體本身是否有漏洞或惡意程式存在,否則可能會成為駭客攻擊的漏洞,對公司商譽與營業損失將會造成不少影響。
發展加值型資安設備 有助提升國際競爭力
在國外取得學位,並曾經在昇陽電腦(Sun Microsystems)公司任職數年的洪士灝,曾協助公司開發 SSL 加解密晶片。當時在 Https 技術問世後,Sun 伺服器、工作站要開啟網頁服務時,很多連線都必須透過 SSL 技術執行,以至於應用伺服器效能大幅下滑,於是昇陽公司當時委託協力廠商製作硬體加速卡,只是該專案團隊在嘗試多種方法均無法順利解決後,最終向洪士灝的部門求助。而獲得部門託付此重任的洪士灝,最終帶領團隊開發專用的 SSL 加解密晶片卡,安裝在伺服器內部之後,順利解決此連線速度過慢的問題。
洪士灝說,硬體資安包含兩個層面,前面提到的硬體資安是指產品生產過程爭完全符合資安規範。第二個意義,則是指軟硬體相互搭配的資安硬體設備。軟硬體之間相互搭配創造的價值,從過去到現在都沒有改變過,例如近幾年興起的同態加密技術,尚且沒有成為主流關鍵在於運算過程複雜,以至於資料處理速度變得非常慢。但是若能比照過去 SSL 加解密封包一樣,運用用硬體加速晶片解決此類問題,就可能變成一個規模不小的產業。
事實上,臺灣已經有資通訊業者推出加值型的交換器,如 智邦推出內建 ASIC 晶片的交換器,讓產品除扮演交換器之用外,也能作為其他用途使用。類似的產品包括 Nvidia/Mellanox 推出的具有處理機功能的智慧網卡晶片,也能夠在這個重視網路安全的時代扮演重要的角色,而軟體是其中的關鍵技術。
如果能夠善用臺灣硬體設計與製造的優勢,進一步涵蓋與發展軟體技術來提供高價值的系統產品和服務,相信成功的機會頗大。例如洪士灝帶領的研究團隊就涉獵不少這類型的學術論文,多數均來自產學合作的成果。以台灣人才的學術能力和產業基礎而言,臺灣絕對有發展資安產業的潛力,只是應該要從自身競爭優勢出發,若能參考洪士灝的建議,以及洪士灝指導的學生團隊創新應用模式,將有助於跳脫紅海市場,進而擴大在國際市場上的佔有率。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
