建立供應鏈資安防護 唯有聯防才能戰勝駭客
近年全球資安事件頻傳,屢屢可見駭客精心策劃 APT 勒索軟體攻擊、攻應鏈攻擊,讓各行各業防不勝防。台灣資安主管聯盟會長金慶柏認為,未來任何企業都難以獨善其身,必須攜手聯防,才可望將傷害降到最低。
文/明雲青
眾所皆知,近年來資安攻擊事件越演越烈,不僅駭客採取的攻擊手法持續進化,教人猝不及防,而且無論各行各業、不管大中小型組織,皆有可能淪為駭客覬覦標的,顯見攻擊範圍日益廣闊。在此之中,長期支撐台灣經濟發展的高科技製造產業,堪稱受駭頻率頗高的主要族群之一,且一直以來皆須由個別企業獨自對抗攻擊者,所以相較於金融或醫療等等已逐步形成領域 ISAC 與資安聯防體系的垂直領域,算是相對艱辛。
於是乎,為了讓高科技製造業也有情資分享、聯合防禦的機制,使得相關企業不再單打獨鬥、隻身涉險,2021 年催生「高科技資安聯盟」。
[ 參與 CIO Taiwan 年度盛事 2023 CIO 大調查,就從填寫問卷開始!(survey.cio.com.tw) ]
此外,金管會正式發布施行新版「公開發行公司建立內部控制制度處理準則」,要求列入第一級、第二級的上市櫃公司,須分別於 2022、2023 年底前設置資安長(CISO)與資安專責單位,驅使「台灣資安主管聯盟」應運而生,涵蓋範圍不僅高科技,還另外擴及到了機械、紡織、食品、金融、電信、物流運籌等等行業,期望支援各個產業的資安長、資安團隊,全面提升台灣產業的資安韌性。
綜觀這兩個與資安相關的聯盟,華碩都扮演領頭羊角色,而集團數位安全處資安長金慶柏,分別出任「高科技資安聯盟」的召集人、「台灣資安主管聯盟」會長,成為台灣資安領域的重要人物。
他於今年(2022)下半在「CISO資安學院企業資安日新竹場」參表演說,指出面對變化莫測的攻擊手法,以及越來越多元的入侵管道,唯有藉由產業之間的資安情資分享,方能協助企業將營運風險降至最低。
淪為資安事件苦主 恐付出慘痛代價
金慶柏說,時至今日,不論政府單位或民間企業,儘管防守目標未必相同,但都對資安戒慎恐懼。今年 8 月初,美國眾議院議長裴洛西訪台,引起對岸政府當局不滿,因而針對一些重要公部門的官網發動 DDoS 攻擊,甚至動手竄改公共場域的電子看板系統內容,形同中國大陸對台灣實際發動一次紅隊演練。反觀民間部門,擔心的點就有所不同,生怕因為駭客攻擊導致客戶資料、研發資料遭竊、違反 GDPR、面臨巨大贖金壓力,進而對公司營造成重大衝擊。
美國拜登政府上台至今,簽署了許多資安相關法規,意在改善過去兩年在供應鏈所發生的諸多重大資安案件,有些甚至影響到國安層級,所以包括國家標準暨技術研究院(NIST)、美國網路安全暨基礎設施安全局(CISA),都相繼推出的新標準。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
另一個備受矚目的資安事件,發生在 7 月。肇因於全美三大電信商之一的 T-Mobile,近 5 年內 4 度遭受駭客攻擊、導致數千萬筆大量客戶的個資遭竊,防禦機制一直未見改善,一而再再而三對客戶造成嚴重影響,因此承受集體訴訟,最終以 3.5 億美元與受害戶達成和解,創下了有史以來最大的賠款金額。
在這些資安風暴中,金慶柏認為最值得關注的就是供應鏈資安風險。眾所皆知台灣有許多深具全球市場影響力的電子公司、半導體廠、ICT 製造商,經常承接國內外大型品牌商的訂單,也有為數眾多的上游供應鏈夥伴,所以一旦出現供應鏈攻擊事件,後果肯定不輕。
著眼於此,金管會於去年祭出新規定,不管上市櫃公司本身,乃至集團內子公司、孫公司,假使發生資安事件,都必須做重大訊息公告。另外,台灣曾有若干 OEM/ODM 業者因駭客攻擊而造成資料外洩,其中不乏全球聞名大型品牌的下一代產品設計資料,出了這麼大的事,OEM/ODM 只能自己苦吞所有後果,繳付大筆贖金,使得原本已經不高的毛利更趨慘淡,都如此可憐了,還要面對客戶嚴格對待、天天追著檢視資安改善措施。
供應鏈攻擊興起 聯防需求隨之激增
「更重要的,供應鏈不只涉及硬體,還牽涉到許多軟體,」金慶柏說,學校教資安、教 Coding、教電腦科學,到底有沒有把「基於安全的設計」(Security by Design)概念內嵌在教學內容?坦白說這部份仍做得不夠,都是風險所在。
以美國來看,最大的軟體供應鏈攻擊案例,無疑正是 SolarWinds 事件。這意謂著駭客戰術越來越靈活,假使目標是公部門,直接打、打不進來,就轉個彎從供應鏈下手。這點很值得台灣公部門留意,係因他們始終面臨來自海峽對岸的巨大挑戰。
對於企業、尤其是大型企業而言,亦同樣需要留意供應鏈攻擊,也不容小覬「勒索軟體即服務」(RaaS)的發展。現今駭客世界已形成上中下游的專業分工架構,有人專門寫勒索病毒程式、有人專門找目標對象…等等。既然如此,防守方也應當共同合作,大家不分彼此,不吝分享自己好的、不好的資安防護經驗,這樣才能幫助其他人儘可能做到趨吉避凶,就算遭遇攻擊,也能把傷害降至最低。
落實 SSDLC 概念,及早修復所有潛在漏洞
因應層出不窮的供應鏈攻擊,華碩集團特別成立資訊安全委員會,橫跨所有一級部門,而所有一級主管也順勢成為委員。談及委員會的使命,首先要確保華碩集團的資安;其次要促進華碩產品安全,不管筆電、手機、伺服器…等等產品,乃至於相關硬體、韌體、應用軟體甚或延伸至供應鏈,皆須具有最高的資安強度,讓客戶可以用得安心;再者委員會將比照金控概念,一併確保所有的集團子公司、海外分公司整體性的資安水平。
金慶柏接著說,現階段不同部門產品線的相關工程師,都被嚴格要求須遵循安全軟體開發生命週期(SSDLC)。他進一步解釋,現今高達八成以上的 Programmer 撰寫程式的過程都會用到許多開源軟體,因此需要利用靜態分析、動態分析等等不同工具,確保這些開源軟體元件的合法性、合規性且無安全漏洞,以確保程式在上線之前,所有潛藏的弱點都被檢驗出來、修改完畢。在此之前,華碩集團缺乏好的系統、好的文化,來形塑 SSDLC 管控機制,期望從現在開始逐步建構這條防線,從容因應軟體供應鏈攻擊態勢。
他回顧 1964 年只有 IBM Mainframe 時,未曾聽過什麼駭客攻擊或病毒感染。如今網際網路高度普及,所有企業無論規模是大、中或小型,都需要借助Web 應用服務來拓展應用版圖,換言之現在沒有任何人可以自外於網際網路、Web,連帶也無法自外於駭客與病毒的威脅。
這也算是一種歷史共業。從前為公司撰寫程式或開發產品,總是希望做得越快越好,上線越早越好,這樣才能 Time to Market、Time to Value。在此過程中,大家也不可避免受到「周二修補程式日」(Patch Tuesday)的影響,長時間下來持續不斷地修補軟體弱點,有些甚至是非常嚴重的零日漏洞;所以軟體大廠應該帶頭落實 SSDLC、改善產品的安全體質,只因為後續的影響層面實在太廣太大。
他並分享華碩資安委員會做法。每個月開會一次,每次兩小時,包含董事長、兩位 CEO 等三個董事會成員都會參加,且坐足兩小時;代表董事會非常重視資安,也有助於提升一級單位之間協調討論的順暢性,高效率地制定每一個資安防護決策。
落實教育訓練及測驗 強化員工的資安意識
金慶柏透露,他曾和國安高層人員對話,對方表示最擔心對岸駭客潛伏過久,反而讓我方更不容易抓到,希望他們三不五時發動一些小案子,不要隱藏 2、3 年都悶不吭聲。對岸駭客所圖的,自然是想源源不斷偷走台灣的資訊,如同烏俄戰爭,在實體戰爭未開打前、資訊戰爭便已提前開打,因此台灣公私部門應以烏俄戰爭為借鏡,對於資訊安全保持最大的警覺和警惕。
據統計,現今已有多達 552 種不同的駭客攻擊招數,同時也可區分為 14 個不同的攻擊階段,既有戰術、也有技術。這也意謂著,你我面對的挑戰,只會隨著時間的推移越來越多、越來越複雜。
政府每 4 年都會釋出完善的資安計畫,因此假使有些企業不曉得如何部署資安,其實不妨善用政府資源,得到想要的答案。而金慶柏在去年 12 月、今年 7 月兩度參加政院資安會報,把民間的想法、痛點傳達給政府單位,期望政府給予協助。以華碩為例,在海外頻頻碰到有人偽冒華碩網站,導致不少消費者受騙上當,甚至在俄羅斯還有許多偽冒的華碩維修網站,造成消費者送修的筆電或手機猶如石沈大海,甚至很多人的私密照片或資料也被一併竊取;為此華碩會動員當地法務人員、配合總部法務人員,思考如何解決問題,過程中多次得力於財團法人台灣網路資訊中心(TWNIC),甚或法務部調查局、國際刑警的協助,及時下架這些偽冒網站。
去年 7 月成立高科技資安聯盟,擁有瑞昱半導體、日月光控股、台達電子、和碩聯合科技、緯創資通、緯穎科技、英業達、啟碁科技、合勤科技、華碩等10家會員,範圍從上游 IC 設計、封測,到下游的電子組裝,甚至已包含電子五哥裡頭的三哥。當初欲成立此聯盟時,金慶柏向政府報告,旨出政府已羅列 8 大關鍵基礎設施,舉凡水、電、瓦斯、醫院、銀行都被涵括在內,但對台灣經驗舉足輕重的高科技產業卻不在其中,因而需求自助自救、成立此聯盟,希冀對整個高科技產業、整個供應鏈產生資安領航的作用;畢竟危機就是轉機、契機與商機,端看各個公司能否痛定思痛,在高層主管支持下,把亟待改善的資安或產品安全調整到理想狀態,甚至形成企業文化。
許多 CISO 經常憂慮自己能否承受那麼多攻擊,但事實上,最大資安破口未必是駭客、反倒可能是員工。所以在華碩,新人進來一定要上資安課,還必須通過考試;此外每年也會針對全球員工推出線上資安課程,上完課後也需要通過測試,就連董事長也不例外,期望大幅強化每位同仁的資安意識。
總括而論,單靠每家企業孤軍奮戰,不足以對抗專業分工的駭客集團,唯有透過資安聯防架構,讓不同企業相互幫忙,甚或與政府部門形成公私協作,藉由不斷的情資交換,以及不斷地強化彼此的信任管道,透過大家追求卓越、安全同行,才能建構台灣產業的最大數位韌性。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
