资策会产业情报研究所 (MIC) 资深产业分析师兼产品经理童启晟预言,随着云计算、万物联网、5G 的快速发展,未来 IT (信息科技)、OT (运营科技)、CT (通信科技) 结合人工智能 (AI) 分析机制应用在各种场域,包括制造、金融、医疗、零售、交通、能源等关键基础设施的信息安全产品及服务,乃商机所在;但网络的无所不在,也让信息安全风险急速扩大。
童启晟乐见,新技术与新场景分别带动信息安全产业的下一波成长。1970~1990 年代,从信息化到后来的企业电子化、再到今天的万物联网和 5G,技术基本上没有太大变化,但仍有技术随之兴起。这些新技术搭载在原有技术框架上,会产生一些应用场域 (新场景);这对黑客来说,这就是一个绝佳的试验设备。攻防之间,这些新技术和新场景就是带动信息安全产业成长的力量,在 AIOT 促使云台 (Cloud) 和网络 (Cyber) 深度融合的同时,智慧科技与应用亦将加速信息安全技术的深度融合;继网络、计算、存储之后,网络安全已成第四大 IT 基础设施。
图1:新技术与新场景将带动信息安全产业下一波成长
资料来源:台湾资策会MIC (2020/05)
云信息安全威胁增,"托管安全服务"需求大
从产业宏观角度来说,并购是企业跨域、跨业结合与转型升级的一个速效手段;通信大厂博通 (Broadcom) 吃下赛门铁克 (Symantec) 企业安全部门、法国航空航天公司Thales SA 买下全球最大 SIM 卡厂商金雅拓 (Gemalto) 皆是指标案例。就 2019 年被并购方的信息安全次产业观察:信息安全服务供货商占 30%、身份与存取管理占 22%、网络与端点安全占 15%、反恶意软件占 11%,可反应出产业趋势。有趣的是,这些并购案并非由传统信息安全军火商主导、而是由私募股权公司进行,且信息安全已成新兴投资目标,国内投信业者亦针对信息安全发行股票型基金 (ETF)。
表1:2019 十大信息安全并购案
资料来源:台湾资策会MIC (2020/05)
童启晟总结信息安全有七大发展方向:云信息安全、数据外泄、深伪技术 (Deepfake)、5G 信息安全、工控信息安全、勒索软件 (Ransomware) 和宅办公信息安全 (WFH Security)。首先,将工作负载移转到云台,正在转变企业组织对于"托管安全服务"(MSS) 的消费模式,AWS、Google、Microsoft、Oracle 和 Rackspace 等云服务大厂相继开始增强其 MSS 产品。以软件即服务 (SaaS) 形式提供的 MSS 产品将有越来越多的市场需求,包括:身份与存取管理 (IAM)、安全邮件管理、分布式阻断服务 (DDoS)、事件检测和响应,以及信息安全信息与事件管理 (SIEM)。
童启晟分析,云台信息安全主要问题是:数据的遗失与泄漏,包括不适当的权限控管所造成的未授权存取、不安全的应用程序编程接口 (API) 及云台错误配置等,连带使需求端的云威胁持续增加,促使云台信息安全产品在五年内可能成长三倍!身为供给端的军火商当然不会错过这个大好形势,伺机寻求外援、截长补短:2019 年 10 月,趋势科技 (Trend Micro) 以 7,000 万美元收购云台安全新创 Cloud Confomity;今年 2月,惠普 (HPE) 买下云安全新创公司 Scytale。其次,资料外泄也成为归纳重点,且由单点外扩至整个打击面。
表2:历年十大资料外泄事件
资料来源:台湾资策会MIC (2020/05)
"信息安全合规"成为未来 5G 市场决战关键
网络犯罪集团窃取数据的目的不外乎:制作伪卡、进行诈骗、冒用身份、恐吓取财等。前不久视频软件 Zoom 爆出 53 万笔帐密流入暗网 (黑市),受害者遍及摩根大通、花旗银行及学校等机构;万豪酒店 (Marriott) 员工帐密遭骇,有 520 万笔客户信息可能因此外泄……,皆曾引发信息安全恐慌。另一个几可乱真、防不胜防的是深伪技术,收集目标人物的公开影片或音频,利用 AI 学习、模仿声音,或假冒信件格式欺骗企业进行转账皆属此类。童启晟揭密,Deepfake 影片可经由脸部模糊度、不规则眨眼频率来辨识 (Deepfake 影中人几乎不眨眼)。
童启晟指出,AI 对于信息安全就像一把双面刃,虽有人以之作恶,但也有信息安全公司用 AI 进行诈骗分析、优化防御策略。另一方面,为支撑多元化业务,5G 网络大量使用软件定义网络 (SDN)、网络功能虚拟化 (NFV)、网络切片 (Networking Slicing)、多接取边缘计算 (MEC) 等新技术,使网通设备漏洞成为 5G 服务的不稳定变量;业者尤其关心"数据在地化"议题,因为各区域法规不尽相同且罚则相当重,"信息安全合规"已然成为未来 5G 市场决战关键。面对 5G 多元技术发展,厂商应针对不同市场需求调整策略、进行布局。
例如,欧盟《一般数据保护法规》(GDPR)、《网络与信息系统安全指令》(NIS Directive)、《欧盟网络安全法案》(EU Cybersecurity Act) 等信息安全监管措施;美国加州的《万物联网设备的信息隐私法案》、《加州消费者隐私法案》以及今年 3 月白宫新颁布的《美国保护 5G 安全国家战略》和《保护 5G 安全国家战略》。与此同时,工业 4.0 让封闭式工控环境逐渐开放,与网络的连接频率也提高,顿成黑客觊觎目标。近年全球工控信息安全事件频传,手法也更为刁钻,德国炼钢厂、伊朗核能设施、乌克兰电网、越南航空站、美国水厂和捷运系统都曾惨遭毒手。
信息安全转型=防御复原力,开发系统之初就得拟定架构
童启晟建议,OT 信息安全有三大策略:隔离管制 (Segmentation)、可视监控 (Visibility) 和关键保护 (Secure Mission-Critical Assets);勒索软件的威胁亦不可轻忽,它们不再只是将电脑数据加密以获取赎金,也开始向家庭物联网下手。在肺炎疫情爆发后,因为生活方式的改变,信息安全防护商机更加涌现,防疫与防骇将并驾齐驱、同等重要,应从维运管理、应用服务、设备设备和基础架构多管齐下。最后谈到企业信息安全转型策略的布局思维,童启晟主张聪明的企业信息安全准则是"零信任"(Zero Trust)——预期被黑客攻击并制订因应计划、而非事后才被动亡羊补牢。
信息安全转型的地位等同"防御的复原力",必须量身订做、风险校准程序与投资,让技术面和管理面相辅相成,制定企业持续运营计划 (BCP),即所谓的"信息安全左移"(Security Shift)——开发系统之初,就要把整个架构拟好。未来整个信息安全产业会强调"无边界安全性"。从这次疫情就能体会:数字边境越来越模糊,建立对信息安全的基本认识和意识,将是日后企业数字边境防御的关键;因为人往往是信息安全最脆弱的一环,而对未来的不确定性,将是信息安全最大威胁。台湾资策会信息安全所创新通信安全中心主任林志信补充,5G 深入垂直领域后,信息安全的重要性更有增无减。
首当其冲的是,若外销产品有安全漏洞会被开罚,网通设备在外销前必须经过安全检测、甚至要出具报告才能避免受罚;其次,智慧工厂、自驾车等关键场域,更是容不得停机风险;再者,5G 不再是纯硬件解决方案,开源软件的广泛应用,也可能成为信息安全弱点。在 5G 实践万物相连后,信息安全威胁恐从谋财进阶为"骇命"。林志信表示,就行动网络架构演进来看,4G 为降低成本,已开始尝试将部署在外的基地台轻量化、将重装计算资源集中在云中心的分离作法;5G 进一步导入虚拟化网络,尽量用软件解决、便于更新,开放式服务器继之而起。
图3:5G信息安全挑战
资料来源:台湾资策会MIC (2020/05)
5G 信息安全三面向:设备端、网络端、API 介接专网
林志信摘要,5G 信息安全涵盖三个面向:设备端、网络端和 API 介接专网。设备端须符合 3GPP 及个别产业的信息安全规范;网络端可能有系统面的安全疑虑,包括核心网设置及 API 规范;开放式无线接取网络 (RAN) 的质量保证。5G 导入 SDN/NFV,与异质接取网络之新型网络技术架构,IoT 设备间亦有多种接入方式,若遭到恶意软件感染更加难以追踪、且易产生信息安全破口。早在 4G 时代,就曾出现在合法的手机与基地台之间伪设一个假基地台,诱使手机连到假基地台后,利用上传真实信息、以假手机去跟真的基地台联机,形成"中间人攻击"(MITM)。
此类攻击多半是冲着特定对象而来,以明文传送的 SIM 卡 id 信息将被一览无遗;所幸,最重要的国际移动用户辨识码 (IMSI) 因加密而不至于让人全盘掌握,惟仍存在以下风险:发送网址的译文遭到窜改,误导用户至其他恶意网站、植入木马。有鉴于此,5G 补强措施包括:
1.在 SIM 卡多加入一把运营商的公钥,即使有假基地台存在,也无法获知 IMSI 信息;
2.密钥架构强化,5G 核心网与终端之间多一个边缘设备 (Edge),会有许多开放接口,故 5G 多设一个AKA (认证和密钥协议) 作为保护层;
3.数据传输加密签章,4G 只有做加密、没有签章,而 5G 两者兼具。
林志信说明,行业法规对网络系统有多方规范,例如,工控传输信令的封包必须能分析到网络第七层 (应用层),统整 5G 信息安全解决方案有两大主轴:1.事前组件安全检测,包括 3GPP 组件安全需求验证、NFV 虚拟环境检测、5G 网络功能函式库弱点检测;2.专网维运中的信息安全侦防平台,必须了解网络状态、实时监控、查核是否照原定蓝图在运作,有两大议题:一是怎么确保组件是安全的?二是如何持续监控网络系统?不只核心网、还包括终端设备。因为终端联网设备多采用同系统,一旦出现漏洞、被植入恶意软件,扩散速度更为惊人。
图4:5G信息安全议题
資料来源:台湾资策会MIC (2020/05)
金融机构:每天都在应战信息安全威胁
林志信特别提到,核心网因为有 MEC 能力,可上架一些 APP,数据有被不法管理者收集的风险,管理不可不慎。不同应用有不同要求,常见的威胁类型有:伪冒身份、数据窜改、抵赖、信息泄漏、服务阻断、权限提升、横向扩散。在评估风险等级后,据以制定管理方法、预测剩余风险并判断是否需要额外管理机制。金融体系向来是黑客的头号目标之一,台新金控信息长暨信息安全长孙一仕透露,其间甚至不乏"国家级黑客"踪迹,他们的攻击手法非常多样、且可用资源非常多,为金融业带来莫大压力;今年,忽悠人的"诈骗型"的勒索病毒又有增加之势。
黑客入侵手法相当多,邮件、网页、虚拟专用网 (VPN) 皆是途径,尤其是企业控制员工帐密的网络服务器一旦被骇,很容易被取得高权限、在企业内部散播病毒或发动假交易且通常潜伏很久。云计算也是金融业所关注的技术焦点,以达到两个目的:减降及运营灵活度,在短时间内扩大运营效能,但信息安全是不容妥协的先决条件。企业物联网也成为金融机构挑战:预估今年 IoT 设备将达 200 亿个,却无特定安全框架或法规来规范信息安全事项及数据的安全性;而这些设备多是简单设计且广布各地,供货商本身又缺乏定期补丁、解决漏洞的资源和能力。
孙一仕描述,业界目前的作法是:定期检视相关的设备信息安全漏洞,同时以隔离网段的方式将物联网设备跟正规运营网络切分——先前就发生过金融机构的录音设备,因为网段关系形成信息安全破口。为因应潜藏的信息安全风险,金融机构会采取以下几项措施以防范:首先是进行"红蓝军演练"——红军是指金融业安排的外部专业信息安全机构,蓝军乃银行本身,由红军对蓝军发起生产环境上的"有限度攻击"(在不影响正常运营下),以便及早找出潜在的信息安全漏洞并加以填补;其次是针对国内外曾发生的 ATM 威胁,进行实地演练,确认是否已有防护措施。
图5:金融信息安全风险
资料来源:台新金控信息长暨信息安全长孙一仕;笔者整理
完整信息安全防护体系&完备处理流程作业
紧接是"渗透测试"(Penetration Test, PT),以黑客思维模拟可能的攻击环境,尝试找出潜藏的信息安全漏洞,有别于"红蓝军演练"由外而内攻坚,渗透测试着重模拟已成功进入内部的黑客,意欲何为?下一个攻防要点是"高级可持续威胁"(APT)。现在的 ATM 攻击已非用单一手法、在特定时间点进行,有些攻击会长达 3~6 个月、耐心寻找破口。曾有成功取得最高权限的黑客一面制造勒索病毒的"假象",让银行徒耗心力在排除勒索病毒的工作,一面又声东击西、大肆进行假交易将存款转出;金融机构服务通路广、客户群庞大,对抗 APT 是重要一环。
最后一项是 DDoS 攻击——最简单的即是以"殭尸电脑"对特定对象的网站发出异常大量存取要求而瘫痪服务。过去几年有不少国内机构曾身受其害,需借助流量清洗 (Clean Pipe) 解决,但有时间和带宽限制;所以,金融机构本身也要进行 DDoS 演练,以便攻击发生时能及时因应。孙一仕呼吁,面对这么多可能风险,要有完整信息安全防护体系。以辨识、防护、侦测、响应、复原等不同阶段为横轴,"防范信息安全风险的环节"为纵轴——包括:用户、数据、网络、应用程序及设备,信息安全技术 vs. 人员投入和处理能力的权重占比,会有阶段性的差异。
然而,不管在哪个阶段,都要有完备的处理流程。信息安全威胁对金融机构而言,每天都在发生,事到临头能否快速响应就非常重要。孙一仕建议:1.成立信息安全应变小组,成员应涵盖不同部门的专业,甚至连对外关系都需进来;2.成员从一开始就要了解自己的任务、各司其职,方可有条不紊地迎战;3.订定信息安全应变的标准作业流程 (SOP),成员才不会无所适从,且要安排信息安全灾害的定期演练,检视原有 SOP 是否需修正;4.建立信息安全监控中心,从多面向监控信息安全威胁,及早示警、降低损失。一言以蔽之,了解、面对、因应,是与身处风险环境的生存之道。