對資安產業而言,產學合作絕對是帶動產業向上成長的不二法門,藉由學界優秀人才與豐沛研發能量,幫助業界推出創新且符合市場需求的產品,進而帶動市場成長形成一個正向循環。
為了讓資安產業能夠有更多機會與校園優秀人才互動,經濟部工業局成立資通訊安全產業推動計畫,針對行動資安、雲端安全、個資安全與雲端安全等主題向校園資安高手廣發英雄帖,最終共有3隊高手脫穎而出,包括國立清華大學資訊安全實驗室分別與全景軟體與華碩雲端執行的「雲端儲存服務之快速模糊關鍵字文件密文搜尋平台」、國立政治大學軟體安全實驗室與宏碁eDC合作執行的「Virtualization Introspection System」、國立台灣大學Performance, Application, and Security Lab與趨勢科技合作執行的「Android系統上個人私密惡意洩漏之偵測與保護」。
經濟部工業局委託工研院執行資通訊安全產業推動計畫特地舉行「資安產學會作技術成果發表會」,資通訊安全產業推動計畫主持人黃維中表示,本次成果發表會目的是協助將產學合作成果推廣到業界,更感謝宏碁eDC,全景軟體、華碩雲端與趨勢科技提供獎金來鼓勵學界研發,希望能藉此機會強化資安產業研發能量。
台大、政大、清大 用創意吸引業界目光
首先來看國立台灣大學Performance, Application, and Security Lab與趨勢科技合作執行的「Android系統上個人私密惡意洩漏之偵測與保護」。隨著行動裝置越來越普及,用來竊取手機資料的惡意應用程式也快速增加,而使用者在下載手機應用程式時,Google雖然會跳出警告視窗,告訴你這個應用程式使用了哪些權限,卻不會說明這個APP是怎麼使用這些權限,這樣的訊息對大多數使用者而言沒有任何幫助,因此,台大團隊希望研究一個有效的小工具,幫助智慧型手機使用者判斷APP是否為惡意,並確保個人隱私資料不會被惡意洩漏出去。
台大團隊將此機制命名為APE,一個可以自動偵測惡意程式的機制。他們使用Taintdroid這套動態追蹤機制來偵測資料洩漏,並另外設計一個自動輸入產生器(input generator),改良傳統機制Android Monkey的盲點,藉此強化自動化偵測的效果,最後還提供Activity Call Graph給使用者做進一步分析。
接著登場的是國立政治大學軟體安全實驗室與宏碁eDC合作執行的「Virtualization Introspection System」。在雲端運算時代,資訊安全威脅仍是最主要的問題,而政大團隊所研發的Virtualization Introspection System(以下簡稱VIS),主要是部署在實體主機上,可以直接監控KVM與Guest OS的運作狀態,並且與OpenStack、OpenNebula、RHEV、Xen等雲端中介管理軟體整合,保護雲端內實體主機不被Cloudburst這樣的行為攻擊。
此外,VIS還能依照不同類行的攻擊行為做不同的處置,像是遇到cloudburs攻擊就立即切斷虛擬主機的運作,不讓攻擊者有機會觸發攻擊,但若攻擊者只是在做滲透測試的話,則將該虛擬主機移轉到沙箱環境中,讓攻擊者不會發現VIS己經知道他正在攻擊,以便找出攻擊背後相關資訊。
最後則為國立清華大學資訊安全實驗室分別與全景軟體與華碩雲端執行的「雲端儲存服務之快速模糊關鍵字文件密文搜尋平台」,雲端儲存服務的使用便利性,讓越來越多企業選擇將資料存放在雲端,以降低自建資料儲存空間的管理與硬體維護成本,然而這些企業資料可能內含商業機密,如何確保其安全性成為企業最頭痛的課題。
清大研發團隊認為,確保雲端資料安全最直接的方法就是,使用者先將檔案加密後再上傳到雲端,但這個做法卻會造成日後檔案搜尋上的困難,使用者如果想要進行關鍵字的搜尋,則必須先將許多檔案下載至電腦中並解密後,才能開始搜尋想要的檔案,一但文件量增加這樣的操作將會變得很不方便,因此,清大團隊 建立一個在文件被加密的情況下還能進行多種關鍵字搜尋的平台Parser。
該平台的主要架構是由數個伺服器組成,透過ZenLoadBalancer與使用者端做連結,當使用者在加密前,Parser會擷取每一個文字作為關鍵字並進行加密存放,當使用者要搜尋檔案時,只須輸入關鍵字再由Parser進行比對,由於伺服器端只是透過SQL以及FTP來提供儲存項目,而在Client端則是提供使用者加密檔案,因此伺服器端無法取得使用者的金鑰及解密使用者的文件。
因應巨量資料
在2013年RSA會議上,專家一致認為將巨量資料技術應用在資安分析上,將可幫助企業建立更佳的情勢判斷能力,台灣科技大學科技管理所助理教授陳曉慧指出,資料是一種資源,原則上應該是自由且免費使用,但是基於所有權、資料內容保護、競爭利益維護、契約約定等因素,所以才會受到使用限制,企業在蒐集巨量資料的同時,必須清楚法律界限在哪裡,才能避免引起爭議。
全景軟體處長陳俊良指出,在建置巨量資料系統時,應先考慮資料的機敏程度與相對應的安全措施,而不是所有巨量資料都一視同仁、享有同等級的安全保護機制,如此一來勢必會影響作業效率,現今巨量資料在安全設計上的思惟是,將使用者行為納入考量,風險值越高的使用者,容許犯錯的機會就越小,舉例來說,高風險的客戶只有2次輸入密碼的機會,一旦錯誤就直接鎖住帳號。
宏碁電子化資訊管理中心產品經理蘇怡琪則認為,傳統資安機制都會看Log或Alert,但在巨量資料思惟下,這些機制只能看到資安事件冰山下的一角,真正要突顯問題全貌,就得站在掌控網硌行為模式的思惟,才能找出非正常的連線行為或是未知威脅,如:網路頻寬不足,是真的不夠還是有人在濫用頻寬。
華碩雲端技術長林純忠表示,拜網路、社群媒體、數位內容成長所賜,大家都想了解使用者的行為模式,所以數位資料才會快速成長,透過巨量資料分析,可以幫助企業更了解用戶的習慣和喜好,進而反應在營收上,因此,巨量資料分析的重點不在儲存了多少資料,而是如何分析資料,並用以促進營收成長。
趨勢科技研發資深經理陳志昇則從個資法角度來談巨量資料的保護,他指出,巨量資料安全威脅有資料外洩、遺失等,針對比較敏感性的資料如:身份證字號、生日…等,最好不要放在巨量資料平台下,而是另外獨立存放在資料庫中,再透過各種形式與巨量資料平台內的資料串連。
最後,IBM大中華軟體研發中心軟體工程師曾煥逸認為,巨量資料畢竟還是資料,自然需要嚴加保護,尤其個資法通過後,資料保護議題變得更重要,企業有責任保護它而不只是想著從裡面挖掘出黃金,而巨量資料與SIEM技術的結合,可以幫助企業快速準確地搜集資料。舉例來說,網路銀行的交易量很大,SIEM只能做到監控所有交易量、不可能逐筆去分析交易背後的IP來源(因為Loading太大),只能借助網路設備的預警機制,針對可疑現象由IT人員逐筆分析,但在結合巨量資料平台技術後,由巨量資料做DNS反查、找出該筆交易的原始IP位置,再回饋給SIEM平台找出攻擊來源的IP。 (經濟部工業局廣告)
