文章目錄
- 1. 首屆沙崙資安新秀大賽:大專資安人才齊聚一堂
- 2. 臺灣產業資安韌性須提升,臺灣資安產業要發展
- 3. 沙崙資安基地協助產業驗測產品並授予證書
- 4. 資安攻擊層出不窮,分析威脅、了解趨勢為重中之重
- 5. 分享產業資安SIG推動經驗及藍圖,帶領企業提升資安等級
- 6. 物聯網資安標準推動成果發表會帶來最新資安資訊
- 7. 領域型資安解決方案,暢談企業導入資安產品的實務經驗
- 8. 紅隊演練經驗傳承,助企業提升資安韌性
- 9. 供應鏈資安風險與防護產業論壇,暢談全球關注的重大資安題議
- 10. HITCON CTF 2022 新展望、駭客文化與社群傳承
- 11. 資安健檢重要性不言而喻
- 12. 臺灣資安產業成長飛快,掌握新的資安認證架構才能跟上國際
- 13. 資安技術深入探討,強化警覺、降低攻擊成功率
南臺灣最大的資安盛會-2022 年資安 Day-資安嘉年華,於 2022 年 11 月 30 日至 12 月 1 日,在臺南沙崙智慧暨資安科技研發大樓盛大展開。
本次活動由數位發展部數位產業署主辦,號召全臺灣資安相關領域的專家與業界人士共襄盛舉,提倡產業資安的重要性以及提升產業資安韌性,並帶動資安產業的成長茁壯。
本屆活動為期兩天,特別選在南臺灣最大規模也最先進的臺南沙崙智慧暨資安科技研發大樓舉辦。同時這也是臺灣第一座資安演訓實證場域,提供產品檢測與攻防演訓服務,並有資安培訓課程與活動,孕育新才。兩天時間內,有資安主題論壇、產業資安藍圖分享、技術專題演講、物聯網資安標準推動成果發表會、資安長參訪活動等精彩內容,打造南臺灣最專業、最具規模的資安盛會。
首屆沙崙資安新秀大賽:大專資安人才齊聚一堂
沙崙資安基地為求快速回應資安產業對資安人才的需求,以及鼓勵大專校院學生以資安為題進行專題實作,培育符合產業需求的資安人才,期待未來能投入資安服務相關領域,沙崙資安基地於今年暑假辦理首屆沙崙資安新秀大賽。
一個月內,有全台 17 所大專院校,推出 33 支隊伍發表 33 個研究專題,共計 79 位學生參加。歷經初賽、初審、決賽、複審,遴選出優秀的資安新秀。獲勝的隊伍,將會獲得沙崙基地活動第一手消息、優先參加沙崙基地實作工作坊或課程,還可以免費登記使用沙崙基地空間及設備機台。
資安 Day 活動一開場就是「資安新秀快講」時間,邀請 2022 第一屆沙崙資安新秀大賽的兩隊得獎隊伍上台發表感言。
由國立中山大學資訊工程系黃英哲教授指導,黃彥揚、許正岡、李哲瑋三名同學組成「特洛伊獵手」隊伍,希望提供偵測硬體木馬的軟體並能有效防範其可能造成的威脅,完善供應鏈從前端、後端到應用端的硬體木馬防護。
黃彥揚同學說到:「本身對硬體設計有興趣,大三下學期加入教授實驗室,參與在硬體研發時將資安防護的軟體寫進去,就此踏入資安相關領域。在參與專題過程中加深對資安的興趣,現申請中山大學資工所繼續深造等待放榜中,期待上榜並於未來就近使用沙崙資安基地的培訓資源及硬體驗測環境,讓研究產出更能幫助提升產品資安。」
另一組隊伍「哩哪來臺東請你斟酌看」,由國立臺東大學資訊工程系王忍成教授指導,隊員有陳冠霖、郭冠廷、楊景翔等同學。陳冠霖代表發言:「因為對資安議題有興趣,自己寫了一個程式關注資安相關訊息和比賽,也因此報名了首屆資安新秀大賽。參與專題過程中,加深自身對資安的興趣,這幾天才公布已甄選上成大研究所,還拿著得獎合照去請教授擔任研究指導教授。未來也將持續在資安領域努力,希望在成大就讀期間,可以來沙崙資安基地使用資源讓研究更豐富。」
資安新秀快講結束後,緊接著由數位產業署林俊秀副署長頒發資安新秀「沙崙金鑰匙」,象徵資安新秀開啟臺灣資安未來,更傳遞沙崙資安基地成為資安人才後盾的心意。
臺灣產業資安韌性須提升,臺灣資安產業要發展
頒發完資安新秀沙崙金鑰匙後,本屆活動主辦單位數位發展部的李懷仁次長,也透過視訊方式分享對於臺灣資安產業與產業資安的想法:「數位發展部是臺灣數位轉型的窗口,我們的責任之一是協助產業提升資安韌性、推動資安產業發展。我們希望臺灣本土的資安產業可以更加茁壯,在提升產業資安韌性的過程中扮演最重要的角色。為期兩天的資安嘉年華,是臺灣資安圈重要活動之一,也希望本活動能成為產業資安、資安產業的交流平台。透過這個難得的交流機會,期望各位資安產業的先進,能夠理解資安產業的能量,同時讓資安產業的夥伴們也能理解產業的資安需求,帶動資安產業發展。」
李次長也提到資安人才培育的重要性,表示資安產業的發展與產業資安的推動關鍵點,在於資安人才。有好的資安人才,我們才能持續前進,這也是我們在沙崙設立資安基地的最重要任務。前面兩位資安新秀同學的分享,十分呼應沙崙資安基地的精神,此基地的最重要任務之一就是培訓人才,讓這些對資安有興趣有熱忱的青年朋友們,善用沙崙基地提供的課程、空間、場域進行實際研究與專題施作。
除此之外,數位部也會舉辦線上線下的資安課程,像是資安基地一樓就有攻防演訓、產品驗測實戰場域,裡頭有水電基礎設施、智慧製造、半導體設備等場域,還有攻防演練的劇本,提供資安廠商的資安產品做驗測、攻防演練,同時也是產業培養資安人才的實作場所。
呼應蔡英文總統不斷強調的:「臺灣是全球供應鏈的重要一環。」李次長也觀察到,疫情期間,世界大廠們紛紛提高了對於供應鏈的資安要求。為了讓臺灣產業界理解資安的重要性,數位發展部在這一兩年推行了三大重點:
- 產業資安強化推動工作小組(SIG):數位發展部截至目前為止已經跟 10 家公協會成立 SIG,帶動至少 120 家會員參與資安成熟度評鑑,大大提升產業資安意識。
- 強化中堅企業對資安的重視,以及資服業者的資安健檢服務:截至目前為止已經協助 30 家以上的企業參與成熟度評鑑。
- 紅隊演練服務:已經推動 10 家以上企業參與紅隊演練,找出企業的潛在資安風險。
李次長最後說到,數位發展部已與臺灣半導體協會推出產業資安標準,並建立首個世界半導體設備資安標準 SEMI E187。此外,也建立了國產資安服務機構能量登錄機制,已有超過 120 家資安業者通過,讓產業更容易找尋國產資安方案,也鼓勵本土資安廠商開發資安解決方案,並盡可能與產業連結。
沙崙資安基地協助產業驗測產品並授予證書
開幕式的尾聲,由數位發展部數位產業署林俊秀副署長進行沙崙產品驗測證書的授證儀式。數位產業署為了推動資安領域產品的整合實測,鼓勵資安企業運用沙崙資安基地的資源進行產品驗測,今年一共有 12 家廠商參與沙崙基地的驗測服務,累積完成了 22 項資安產品的實測。
授證儀式邀請到 8 間企業代表,分別隸屬於關鍵基礎設施的四零四科技、瑞擎數位;智慧製造的研杰科技、艾訊、眾至資訊;智慧綠能的中華電信;新興主題-物聯網的鴻璟科技;新興主題-半導體設備的華電聯網。
此外,典禮也同步頒發了物聯網資安產品認證獎座,有空氣品質微型感測裝置生產公司的經昌汽車電子工業,以及生產網路攝影機的上敦企業、馥鴻科技、利凌企業、昇銳電子。
資安攻擊層出不窮,分析威脅、了解趨勢為重中之重
緊接在開幕式之後,主辦單位安排了資安威脅分析與建議報告的主題演講,分別邀請到資安長聯誼會金融業會長張家生分享關於「資安治理困境與應對」、臺灣資安主管聯盟會長金慶柏分享「產業資安的機會與挑戰」、資安應用服務聯盟會長洪偉淦分享「資安威脅趨勢分析」、中華資安國際總經理洪進福分享「綜觀產業資安防禦對策」等主題。
洪偉淦會長提到:「有別於以往資安技術或產業經濟分析的報告,本年度資安服務應用聯盟透過平台邀請廠商交流分享,整理了國際及臺灣各 10 則產業資安事件進行分析,並請資安專家提供企業因應建議,是一份以綜合技術與產業實務情境的資安個案分析報告,提供國內產業進行資安防護的參考。我們提出的《產業資安威脅分析與戰略報告》包含三部分—國際資安情資回饋、產業情資應用數據分析、資安威脅分析與產業推升建議。」
分享產業資安SIG推動經驗及藍圖,帶領企業提升資安等級
在本屆活動中,共有電子設備、工具機、醫療、航太等產業代表,分享資安評級輔導經驗,解析產業資安藍圖,引領產業資安提升方向。
以醫療產業來說,邀請到臺灣智慧聯網健康照護協進會劉立秘書長分享醫療領域資安成熟度評級的未來發展;潤穗生醫林顯祥經理分享 醫療院所資安的推動成果;成大產業永續發展中心林志學計畫主持人分享產業資安 SIG 南部服務團輔導成果;數位醫療創新應用聯盟陳信龍顧問分享數位醫療資安藍圖及推動成果。
航太產業部分,則透過紅隊演練個案成果、藍隊經驗暨產業資安藍圖兩方面進行分享。紅隊演練個案成果邀請到的是漢翔航空工業方一定處長、安碁蔡馨儀資安研究員進行分享;藍隊經驗暨產業資安藍圖則邀請到漢翔航空工業曾耀緯資訊工程師、果核數位科技許程豐顧問分享。
此外還有工具機產業資安 SIG 的分享,邀請到臺灣區工具機暨零組件工業同業公會黃瑞庭助理秘書長,及勤業眾信聯合會計師事務所白哲豪協理分享他們協助推動工具機產業的資安與發展狀況。
有鑑於臺灣扮演世界半導體產業龍頭角色,大會也特別安排了半導體產業設備資安論壇暨資安藍圖成果發表會,邀請到華電聯網孫嘉瑜產品經理,分享「建構智慧製造工廠的數位防禦韌性」;必維國際林上智首席資安專家則針對半導體設備資安標準驗證方式,提供專業說明與建議。同時還有睿控網安劉大川首席解決方案架構師,以「OT 零信任-智慧工廠最佳資安防禦實務」為題,強調工業 5.0 的資安重要性;中華資安國際劉叡鑑識科經理,提供建議,助企業建構半導體供應鏈安全網。
物聯網資安標準推動成果發表會帶來最新資安資訊
成果發表會在 資安 Day 的第二天登場,公告發表年度三項資安新標準:人臉辨識裝置、地震儀、水位計。並透過門禁大廠參與計畫的輔導歷程分享,宣導物聯網設備之安全驗證標章,以提升公部門、金融機構、資通訊產業界及廣大消費者使用物聯網設備應有之資安防護意識,促進我國物聯網與資安產業蓬勃發展。
在發表會中,由資策會資安所賴怡伶資深經理,就新物聯網資安標準進行解說。賴經理表示,新的標準問世,仰賴的是實驗室以及相關產業的幫助下才得以完成。自去年起,就陸續推出門禁系統資安產品,今年新增人臉辨識裝置的新標準,讓門禁系統更加完備。除此之外,還有地震儀、水位計等關乎民生安全的新標準。
必維國際林上智首席資安專家則接著分享,與相關企業合作導入資安標準的經驗與成果,並根據重點條文,提醒企業要注意何種資安制度規範。
同時,大會也邀請到合作廠商發表證言,分別有嘉因資訊、漢軍科技、西門子、商合系統等等。嘉因資訊蔡爾榮總經理表示:「過去公司生產的產品做加密,但沒想過我們的加密等級有沒有符合國家對安全的要求。因為有這個認證,我們被要求要詳細列出加密的技術與演算法,也因而有機會可以逐步修正目前加密機制的弱點。過去也會覺得產品賣給客戶,萬一中毒了,是客戶的責任。但現在我們發現,生產商更要負起責任,所以我們加入了程式碼簽章、驗證,並將資安事件獨立儲存。同時我們也加入了漏洞揭露機制,客戶使用我們產品出現資安問題時,可以有管道通報。此外,我們也跟客戶說明我們的產品週期、最後更新時間,好讓客戶有所準備。」
漢軍科技田啟平經理分享接受資安標準輔導的心得:「過去我們在資訊安全著墨不多,但近幾年看到資安攻擊增加,我們深知網路這個開放環境,需要確保我們的產品資安沒有疑慮。感謝數位發展部的鼓勵與補助,降低我們強化資安的成本。輔導的過程中,經過林上智首席資安專家的不厭其煩解說,我們更加理解強化門禁系統資安的方法。雖然實作上還是有遇到問題,但透過輔導,我們知道加密有很多方法,幫助我們強化門禁系統的安全度。」
西門子陳晉德經理表示:「西門子身為全球資安合作聯盟 Charter of Trust 的一分子,與各個公司合作的時候,都會優先考慮資安問題。同時我們也有漏洞揭密機制,任何人都可以到我們設立的網站回報問題,同時我們也會在第一時間發送漏洞相關資訊。我們知道沒有 100% 的系統,所以讓客戶知道漏洞的存在是非常重要的。很感謝數位發展部的補助與輔導,讓我們有機會可以參與這個計劃,也期待我們可以早日通過取得認證標章。」
商合系統陳明田協理分享:「我們的客戶絕大多數都是政府機關,所以從 2019 年起,就不斷收到合作機關的要求,希望我們跟上資安的腳步。很感謝安防公會與數位發展部的推廣,讓我們有機會搭上資安列車。這次我們送審三個產品,很感謝林上智顧問的輔導,過程真的不容易,但我們會持續努力加強資安,符合資訊安全的要求。」
領域型資安解決方案,暢談企業導入資安產品的實務經驗
今年數位產業署推動資安場域實證服務,促成產業領頭廠商與資安廠商成為商業合作夥伴,這些導入資安服務的企業包括半導體製造廠商、軟體開發廠商、網通設備製造廠商以及智慧卡製造廠商等等,由匯智安全科技、池安科技與瑞擎數位三家資安廠商協助導入自家資安產品。透過這樣的合作,打造出具備資安強化的領域解決方案,提升產品服務品質。
在活動第一天下午的「領域型資安解決方案主題論壇」裡面,由前述三家資安廠商分享今年參與資安場域實證服務的經驗與介紹相關的資安產品,匯智安全科技帶來企業零信任檔案加解密安全系統,瑞擎數位帶來工控網路安全自動化防禦機制,池安科技帶來零信任端對端安全連線暨多因素身份認證服務。透過分享資安解決方案,擴散產業資安強化做法,協助資安業者有機會接觸更多相同領域的企業用戶。
紅隊演練經驗傳承,助企業提升資安韌性
除了帶領產業描繪資安藍圖,根據統計,本年度共有 10 家由公協會 SIG推薦的中堅企業導入紅隊演練,並呼應唐鳳部長多次公開演說強調:臺灣要培養「紅隊」能量,新創及資安公司平時就要健檢並進行擬真攻防模擬。尤其唐鳳部長所說的:「在攻擊中成長,叫做韌性」,更是臺灣每一間企業都應牢記在心的重點。
本屆大會以主題論壇形式,由各紅隊演練資安業者,以各產業個案分析,分享企業資安風險和建議。分別邀請到三甲科技魏國瑞營運總監,以電子業個案為例,分享紅隊演練的經驗;研華科技陳建光資深經理、安華聯網詹英綺合規規劃師,則從紅隊演練的經驗,進一步分享工控系統資安防護的策略;再由戴夫寇爾翁浩正執行長,統整該公司針對紅隊演練的成果與心得。
供應鏈資安風險與防護產業論壇,暢談全球關注的重大資安題議
在活動第二天,由來自思科、聯達資訊、曜祥網技、Fortinet、Akamai、叡揚資訊、睿控網安的資安專家,分享供應鏈資安風險與企業應該如何進行防護。本場論壇的講者來自國內與國際大廠,匯集了國內與國際觀點,帶大家從不同的視野來看供應鏈資安,分享的內容包括資安韌性、物聯網自動化安全、OT資安、勒索軟體攻擊等等。
HITCON CTF 2022 新展望、駭客文化與社群傳承
HITCON 一直是台灣駭客文化的中心,至今 18 年已培養許多台灣駭客,並建立獨特的駭客文化,已經舉辦 8 年的 HITCON CTF 也是世界級的活動之一,在活動第二天上午,由台灣駭客協會理事代表Alan Lee與 TSJ 戰隊成員黃熙傑帶來演講,回顧 HITCON CTF 過往經驗以及今年度的辦理成果,並探討台灣駭客文化的經驗與社群傳承。
資安健檢重要性不言而喻
產業的資訊安全層級到何等程度,需要透過資安健檢才能確認。若能因此掌握企業的資安漏洞,並即時修補,就能有效降低資安外洩疑慮。
如同數位發展部李懷仁次長在開幕式提到,不僅協助公協會成立 SIG,並邀請企業參與資安評鑑。根據數位發展部提供的資料顯示,已經完成 210 家重點產業資安健檢服務,不僅協助企業掌握資安防護現況、促進落實資安管理,還能避免成為產業資安破口。同時更可藉此擴大國內資安市場需求,促進資安產業發展,並提升採用國內資安產品或服務意願。
大會邀請到大同大學黃國軒博士分享產業共通性資安風險及防護現況分析,並請來資安健檢團隊中的三間企業及其代表人發表關於當今產業資安現況以及改善對策,包含智慧資安陳勇君副總經理、眾至資訊王建忠副總經理、登豐數位黃建笙總經理。
臺灣資安產業成長飛快,掌握新的資安認證架構才能跟上國際
為了讓國內資安業者更加清楚目前國內外的資安產業市場發展狀況,本屆大會特別安排相關議程,介紹臺灣資安產業現況與發展趨勢。工研院 ISTI 徐富桂資深研究員表示:「自 2017 年開始,臺灣資安產業每年平均成長率 11.84%,高於全球平均 9%。雖然 2021 年臺灣產業因 Q2 國內疫情影響資安服務專案進行,加上網路安全硬體生產因缺料影響出貨,影響 2021 年資安產業成長率僅 9.3%,低於全球的 14%,產業規模來到 603.5 億。不過在 Q4 後出貨大增,使 2022 年產業產值達 688 億以上。且經預估,2025 年產值將逼近千億大關。」
由此可見,資安產業的發展前景一片看好。然而產業不只要扎根本土,更要放眼國際。另一個議程安排介紹「EUCC 歐盟資安認證架構」,邀請到臺灣資通產業標準協會許建昌執行秘書進行說明:「歐盟於 2019 年通過新的資安法案 (Cybersecurity Act),目前有三個資安認證方案正在制定:第一為規範 ICT 資通訊產品的 EUCC;第二為 5G 產品與服務規範 EU5G;第三為雲端服務規範 EUCS。其中 EUCC 已於 2021 年完成第 1.1.1 版,目前等待歐盟執委會審核通過後實施,將適用於整體歐盟單一市場的 ICT 產品認證。如果國內廠商有意進軍歐洲,務必關注此三個資安認證方案,持續提升我國 ICT 產品與服務進入歐盟市場競爭力。」
資安技術深入探討,強化警覺、降低攻擊成功率
在資安技術探討上,本屆大會安排資策會資安所多位專家就「標準」、「技術」、「服務」三大領域進行主題演講,內容涵蓋晶片安全、CMMC、雲端健診等。
相關議程包含了「隔空抓鑰-旁通道攻擊檢測」,資策會資安所廖建維技術經理透過常見的幾種旁通道攻擊技術,說明目前實行這幾種攻擊時所需要的先備條件與困難點,並進一步分析現有的技術是如何解決這些困難與其優劣,最後將透過加密訊號定位技術,來演示自動化達成低門檻的旁通道攻擊過程,呈現旁通道攻擊檢測的重要性。
以及「變種惡意軟體偵測與攻擊狙殺鏈獵捕平台」,資策會資安所許晉源組長就近年勒索軟體入侵關鍵基礎設施為例,點出企業缺乏結合情資與 AI 輔助之 APT 攻擊鏈識別技術。說明運用端點主機日誌偵測可疑事件與攻擊行為序列,透過 AI 技術主動剖繪駭客攻擊軌跡,以及 MITRE ATT&CK 技術規則,精準偵測 APT 攻擊,協助組織事前識別駭客攻擊與提早因應威脅,達到超前部署的效果。
最後是「WhosSpeak 雲端健診服務與 ICTD 工控資安攻防評測」。資策會資安所黃鼎傑組長以陌生協定 WhosSpeak 詐騙辨識,基於國際組織 MITRE ATT&CK ICS2 評測活動的攻擊手法,介紹在工控網路通訊中,針對這種攻擊手段對應研發之資安防禦技術,分析辨識危險 IT 通訊協定、常見 OT 通訊協定及主機名稱等陌生協定,以提高資安防護警覺,及早採取應變措施。
資安好,臺灣產業才能更好。2022 年資安 Day-資安嘉年華,聚焦資安產業現況與發展、產業資安的再提升,濃縮為兩日的精彩活動。期望從沙崙資安基地,從南臺灣擴及全臺,喚醒企業對資安的意識,也激發業界更多火花。
除了豐富多元的主題演講與論壇,在資安 Day-資安嘉年華現場還有20家資安廠商設立攤位展出臺灣的資安解決方案,多家企業資安長參訪沙崙資安服務基地,以及現場有趣的集點抽獎活動,請看T客邦另一篇報導:南臺灣最大資安盛會「資安Day-資安嘉年華」現場直擊!增進資安知識、媒合資安服務商機還有大獎抱回家。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!