前陣子,因服貿議題吵得沸沸揚揚的資訊安全議題,讓民眾憂心台灣的資訊安全防護能力到底夠不夠?台灣學生隊伍HITCON217過去未曾參加CTF形式的網路攻防競賽,卻能以壓倒性勝利的姿態,得到百度盃網路安全技術對抗賽(BCTF)冠軍,除了以慣用的「台灣之光」一詞稱呼得獎戰隊之外,對台灣而言,最重要的幾個關鍵包括:第一,是讓民眾看到台灣有一群資安人才,在兩岸網路攻防較勁時毫不遜色。第二,中國正在積極培育高階資安人才,台灣得加緊腳步。第三,資安防護並非阻擋攻擊就好,用軟體思維才能找出問題的根本。
百度盃主辦單位藍蓮花戰隊,讓台灣看見中國正積極培育資安人才。
過去很少人關注網路攻防競賽,問起此次參與比賽的Alan,到底贏這場比賽對台灣的重要性是什麼?Alan說,「這場比賽很符合真實的網路攻防戰,資訊安全跟國家安全、國力有關,若不是我們參賽,大家都不會意識到保護資訊安全及資安人才的重要。」
啟示一:台灣不缺人才,缺整合運用舞台
百度盃是台灣資安人才難得跟中國資安人才技術交流的機會,也是資安人才彼此較勁技術的重要平臺,在這個競局中,臺灣資安人才的實力究竟如何?Alan指出,「我們有人才但缺乏整合!」做資訊安全不能不懂駭客技巧,還要懂心理戰,網路攻防競賽是很好的訓練機會。
此外,最重要的是台灣要提供舞台讓資安人才發揮,資訊力才會變強。他所指的「舞台」,就是希望帶動台灣網路攻防競賽的風氣,讓高階資安技術得以有切磋、發揮的場域,間接也導引資安人才不要「誤入歧途」,去做網路惡意攻擊或進入黑產當詐騙集團。
趨勢科技台灣暨香港區總經理洪偉淦進一步指出,「台灣的人才真的很不錯,技術能力不是問題,跟一流資安公司比不會差太多。」趨勢科技的研發團隊有800人,也曾在中國設立研發團隊,他觀察台灣人才的成長比大陸快很多。
高階資安人才有哪些特質?洪偉淦以他對公司員工觀察說明,這群人工作是為了心情,完全沒辦法按正常上下班的時間工作,因為他們只要遇到有熱情的主題,往往是不眠不休找到問題,找到解答也會很有成就感。端視企業主能否理解他們的工作模式,並給予發展空間。
啟示二:積極培育高階資安人才,中國企圖心強
Alan認為,台灣有技術,也有人才。真正的問題是台灣到底關不關注?台灣戰隊拿下百度盃冠軍,如果大家夠關注資安網路攻防技術的重要性,這個領域才能自由發展。 以
啟示三:用軟體思維參透設計架構才能解決問題
Alan解釋,資安防護是很重要的軟體工程,遇到網路攻擊時,並不只是「阻擋」或把漏洞補起來就好了,這樣只是讓傷害延後發生,並不能真正解決問題。換言之,要用軟體思維來面對網路攻擊,他說,「你面對的是智商高的人,也要具有同樣的高智商。」因為往往第二波的網路攻擊都是攻擊同一個漏洞,資安人應該要去思考「為什麼會產生這個漏洞?」從設計的架構看透問題,才能真正解決問題。
資訊安全公司每天都在處理來自世界各地的各種網路攻擊。洪偉淦也提醒,當台灣不斷朝E化、資訊化進展的同時,也要注意有多少心思放在資訊安全上?台灣在IT產業鏈中的位置很重要,但往往只用速成方法做出產品,其實許多軟體、系統都很脆弱。他說,「台灣被網路攻擊的情況比一般人想像的還嚴重。」然而,從政府、企業到一般個人對資訊安全的認知都很薄弱。
照片來源:Alan提供
