為期三天的2019年台灣資安大會今(19)日在台北世貿中心開幕,除了總統蔡英文親自到場致詞,強調資安對國家安全的重要性,主辦單位iThome也邀請IBM Security特別顧問,國際知名資安大師Bruce Schneier以及Cisco首席工程師Sunil Amin到場,提供全球資安趨勢的最新分析。
Schneier針對物聯網時代的資安防範,提供與傳統思維相悖的新認知。在過去,人們需要防護的設備只有電腦,但現在所有物聯網的設備就像是一個個微型電腦,未來不只電腦、手機會中毒,連冰箱、門鎖都能被入侵。物聯網設備越發精緻、複雜,駭客的攻擊形式也更加五花八門。Schneier表示,這種複雜性,就是資安防護的最大敵人。
從純粹電腦攻擊到危及人身安全,網路攻擊趨向多元化
物聯網的複雜,使攻擊的情境變得多樣化。Schneier以過去幾年在美國發生的駭客攻擊事件為例,有公司的監視系統遭到入侵進而受害的、有從外包的供應鏈鑽入內部系統的,甚至有一間受駭客攻擊的拉斯維加斯賭場,其導火線是賭場內的一個智慧魚缸。攻擊模式的進化時程也不斷縮短,從過去的五年,減少到6個月,使資安人員越來越措手不及。
Schneier說,過去人們可能覺得網路攻擊只是電腦當機,但現在的攻擊很可能危及人身安全。他舉例說,如果駭客闖入醫院病歷系統,竄改病患的血型,那很可能造成很大的生命危險。智慧溫度調節器遭駭,對台灣這種熱帶國家來說可能不是大問題,但對北歐等寒帶國家,是很大的危機。
然而,人們對這些設備的安全意識卻還是很不足。例如在使用上,電腦和手機如果遇到新的惡意軟體威脅,開發者就會寫出補丁程式,讓大眾下載安裝、加強防護。但物聯網設施則不然,少有軟體更新的防護,這也使威脅性大大提高。
資安人才短缺,2021年全球將缺少180萬名資安專家
此外,Amin也強調現在越來越多攻擊並不是出自於金錢誘惑,而是有其社會及政治上的目的。很著名的例子就是攻擊2018年里約奧運的Olympic Destroyer惡意軟體,一度癱瘓奧運官網,使人們無法印出奧運門票。
Amin也分享他所觀察的三大趨勢。第一,駭客從攻擊公司電腦變成鎖定個別員工的電腦。第二,從公司數據中心變成從邊緣的私人雲端入侵。第三,資安人才短缺。Amin表示,到了2021年,全球可能有高達180萬名資安人才空缺。這些趨勢不僅代表駭客技術演進到可以從終端電腦一路侵入內部網路,使攻擊更加難以被察覺,資安技術的高速演進,也使得新進人才的門檻變得非常高,這些都是未來全球資安上的重大風險。
Schneier表示,在這種嚴峻的情勢下,資安防護的責任也漸漸落在每個人的肩上。Schneier強調,科技設備的製造商,應該要以製造國安設備的心態來看待設備的資安水準。此外,他認為各國政府要儘快設立相關法規來共同防範,並呼籲科技人貢獻長才,進一步與政府合作。