新世代资安 3 大挑战：供应链安全、跨域联防与思维转型

面对后疫情时代之数位经济浪潮，物联网 IoT、AI、5G 技术快速发展，强韧安全的数位应用已成为当下重要的显学。TWNIC 财团法人台湾网络资讯中心及 TWCERT/CC 台湾电脑网络危机处理暨协调中心于 11 月 3 日线上、线下举办“2021 台湾资安通报应变年会”。TWNIC 李育杰董事长开场时提到，近来资安事件已从企业办公室资讯设备延展到区域的基础建设场域、通讯环境与工控设备等，其影响层面，已扩大到企业组织、国家层级的安全。

供应链资安与韧性

2021 年接连发生 SolarWinds 及 Kaseya 等重大供应链攻击事件，NCC 孙雅丽委员表示，“供应链的可视性很重要，供应链涵盖很多层，里面藏有许多盲点。如一台主机里，一定有元件是跟别人买的。你相信你的供应商，但是你相信你的供应商的供应商吗？”。

因此，要如何确保供应商产品是安全的，NCC 有 3 个创新作为：

1. 制定“关键电信基础设施资通设备资通安全检测技术规范”

NCC 指定防火墙、交换器、路由器须作实机测试与资料备查。在实机共同测试的项目中，强调系统弱点及漏洞检测。

2. 通传事业资通设备资安漏洞通报系统

电信商需要定期盘点有哪些资通设备，清单要上传至 C-ISAC；由 C-ISAC 自动通知电信业业者 CVE 待修补资讯。

3. 成立国家通讯领域软件安全实验室（NCCSC）

为我国 5G 网络业者、应用服务开发者和 IoT 制造商提供、协助或咨询安全软件设计及开发的服务与专业培训。

而为了减少供应链资安风险的核⼼作为，鸿海研究院执⾏⻑兼资安所所⻑李维斌也提出 5 点：

1. 了解⾃我的准备情况/成熟度
2. 慎选供应商，采购流程不能只有价格标
3. 提升企业组织的网络韧性
4. 测试事件应变计划
5. 考虑投资建立数位鉴识能⼒

日月光集团（高雄厂）总经理室暨资讯中心副总经理李政杰特别提到，半导体协会目前针对设备类跟未来应用类，正在制定资安标准。重点还是在供应链上，可以帮助供应商对于设备的资安防护设计，能有标准可循。

▲ 图说：本次参与年会嘉宾合照。由右至左为台湾网络资讯中心丁绮萍副首席执行官、荷兰在台办事处创新科技处杨智凯资深创新与科技事务官、美国在台协会经济组 Dannielle Andrews 组长、NCC 孙雅丽委员与邓惟中委员、行政院资通安全处林春吟副处长、台湾网络资讯中心黄胜雄首席执行官、调查局张尤仁副处长、NCC 郑明宗处长。（Source：法兰克福展览）

对抗勒索要“联防”

2021 年台湾高科技业纷纷中了“勒索软件”的箭，再次凸显资安是企业营运持续管理（BCM）及营运持续计划（BCP）里的三大安全之一。

华硕资安长金庆柏表示，“民间企业要透过不同工具、自动化设备，先了解自己的弱点，加强防护。此外，加入专业资安的联盟组织，如 TWCERT/CC、高科技产业资安联盟，可以事先掌握情资，了解攻击手法，联合防御。”威联通技术长龚化中认为备份跟加密是防御勒索攻击之必要。日月光则从预防、防御、复原等三个层次防御勒索攻击。

其实不只台湾，同样是制造大国的日本、印度、泰国，也遭受许多的勒索攻击。与谈代表日本 JPCERT、印度 CERT-In、泰国 ThaiCERT 以该国经验建议不要支付赎金，但应该第一时间通知警方以及客户，做好第一时间应对。他们提醒即便付了赎金，大多数案例只有 50-60% 的资料被复原。同时不要直接与骇客谈判，找第三方谈判员进行协调、资安保险等是建议可以考虑的作法。

▲图说：科技业资安高峰座谈会。由右至左为国家资通安全会报技术服务中心吴启文主任、日月光集团（高雄厂）李政杰总经理室暨资讯中心副总经理、华硕电脑金庆柏资安长、威联通龚化中技术长。（Source：法兰克福展览）

资安思维也要“转型”

本次年会几个被提出的数字：骇客攻击的工具至少有 552 招、单一企业平均每月遭受 9.2 万次攻击、 75% 的中⼩企业缺乏专业⼈员解决 IT 安全问题…等都点出资安的现实面：网络威胁可以降低、可以管理、可以复原，但无法灭绝。企业⼼态必须从‘如果被骇客攻击’转向‘当被骇客攻击时。’

资安思维以往着重“事前”，但是应该留一部分的资源在“事中与事后”。奥义智慧创办人邱铭彰解释，“事中、事后很需要人力，跟事前预防是不同的能量。”他建议企业量化潜在威胁与现况，尤其是内部端点跟 AD 安全。并用 MITRE ATT&CK 制订三个被攻击像定情境，才进行资安投资与配置。

行政院国家资通安全会报技术服务中心主任吴启文总结道：“资安防御越来越困难。大家应采用新的思维，零信任网络架构，如何从身份鉴别、设备鉴别、信任转移加强资安防御。-也在谈主动式防御，在骇客攻击前先做到情资掌握，化被动为主动。”

（首图图说：TWNIC 李育杰董事长于开场时提到，资安防护已不再仅仅是-或专家的责任，每个人都肩负着这项使命。图片来源：法兰克福展览；资料来源：法兰克福展览）