在全球最具規模的資訊安全會展場內,資安是年產值數以十億美元計算、高度進化、以全球為場域的產業。但美國國務卿都要來發表重要政策演說,更確認資安攻防,已是現今國家間實力競逐最激烈的地緣政治戰場。
在台北,六月上旬舉行的Computex 2024凸顯全球電腦資通產業與應用籠罩在AI大潮下。
若要用同樣視角探索資訊安全領域,現況如何?
資安產業已歷經質變
五月上旬在舊金山舉行的 RSA Conference 2024年會,像是透明具象的櫥窗,即時又透切呈現資訊安全領域的巨觀實況。
那幾天穿梭會場、展場間,發現除了AI浪潮已然來到之外,整個資訊安全場域、產業正歷經質變,不但捲入國際政治角力的暴風眼、多年來資安攻防不斷升級、以至籠罩在「逆-逆全球化」的大潮流下,連番洗禮,快速演進。
布林肯主題演說,凸顯資安重要性
今年的RSAC 2024年會,美國國務卿布林肯親臨會場,發表Keynote主題演講,充分彰顯資安攻防已成為國家間角力競爭的最主要無煙硝戰場。連年來參訪資安年會,這是首次看到美國國務卿如此位階的高官踏入會場。
過去,這裡純是資安專業人士與相關業者的場子。而今,不僅僅是布林肯,包括國土安全部、司法部、商務部等等多位相關聯邦部會高階官員與會,直接昭告地緣政治、國家安全等主題已與資安課題深度融合。
布林肯以科技如何形塑外交政策為主題,在演說中強調拜登政府已經列出包括半導體、量子電腦、資安、AI、電池、合成生物科技(synthetic biology)等等多項科技為「基礎科技」(Foundational Technology),美國不僅要以舉國之力全速升級,還要與盟國密切統合協作,其中當然包括嚴密管控對不友好國家的技術交流。
中國網攻威脅「零時差」
如果持續留意美國政府的科技產業舉措,布林肯的演講內容並不令人意外。但他會在五月當時正忙於穿梭中東以哈戰場、北京高層會談等國際熱點的數日中間,特意抽時間親臨 RSAC 2024這個科技會場,反而更令人印象深刻。
或許是拜登政府要強調美國面臨資安問題的嚴重,或許是總統大選接近要拉攏科技業的急迫感,或許是要聚攏公私部門對資訊安全的共識,或許是以上多重因素的總和考量,不論如何,很明顯地,今日的資安議題的意義已不再是單純的資訊安全而已。
就在RSAC年會的幾個月前,包括紐約時報等多家美國主流媒體先後報導,詳述一位微軟的軟體工程師在行行列列、密密麻麻的軟體程式碼中看到奇怪的碼符。歷經上報示警,微軟安靜地往下追索之後,追出植入者極可能是按華東地區的作息節奏運作。
如果不是這位軟體工程師無意間發現,這極可能是往後一個跨越太平洋直通微軟軟體核心的零時差(zero day)漏洞,不為人所知,卻極度危險。
詐財、勒索...商場成資安防護最前線
美國政府將資安提升到國家安全戰略層次的宣示,固然凸顯資安挑戰的急迫與嚴峻,但與國家安全最為相關的資安案件多是間諜、機密竊取等行為,並非今日資安犯罪的最大宗,在資安人員眼中,針對企業機構的詐財、勒索等與商業利益密切掛鉤的犯行最令他們頭痛。
根據Google Cloud雲端部門負責人Kevin Mandia在會中揭露的資料,Google目前已確認的各種零時差漏洞中,直接可歸類為間諜工具的約48種,而其它包括財務、系統控制權攫取、侵入行動裝置或瀏覽器、潛入特定企業機構等等不同目的的零時差漏洞工具則共近150種,遠超過純間諜工具。
近年來,企業界與公部門等機構正遭逢歷來最嚴峻的連番資安攻擊,令居於防受方的公部門與企業界極度辛苦、疲於奔命。
在歷經多年與惡意罪犯的攻方駭客周旋後,居於守方的資安人員技能已高度進化。依據身居面對駭客攻擊第一線的Google所掌握資料,2011年,勒索軟體植入後要經過416天(統計上的中數)才被發現,到了 2023年,植入10天後即會發現。而且當年94%的案件要靠企業外的專業人士找出,今天則是54%是由企業內部的資安人員發現。
這樣的數據固然反應守方戰力高度進化,但同時攻方的進步更快更大,所造成的傷害與所擷取到的利益也更駭人。
2023年全球贖金高達110美元
根據Google在會中公布的數字,2023年全球的公私機構總計付給勒索軟體攻擊者110億美元的「贖金」,打破記錄。其中,單是娛樂業的MGM集團一家企業就在2023年9月據報導付出1億美金,才讓綁架其網站的駭客解鎖離去。
走入2024年,醫療業者United Health Care也在公布第一季營業利潤達到高水平的79億美元營業額好消息當下,在報告中提到付給勒索業者一筆8.7億美金支出。
在勒索軟體案件大幅增加的今日,一旦成功植入的勒索軟體啟動,企業營運系統癱瘓,企業負責人被迫面對堅持抵抗或屈服付錢的兩難煎熬。一位知名企業負責人在面對媒體詢問時坦承,一生要求自己堅持原則的他不得不點頭趕快付錢、讓癱瘓的系統回復營運,是他「人生中所下達最艱難的決定」。
正如近來的所有科技產業相關會展,AI必是最夯的話題。RSAC更是如此。AI佔據議程中的絕大多數議題,每場與AI有關的討論都吸引與會者的高度興趣,大排長龍。但在會場空氣中迴盪如此認知:AI固然可以增加守方的防守戰力,但它也必然一如既往,讓攻方駭客罪犯的戰力更為加深、加廣,發揮更大的加持效果。
Google Cloud雲端部門負責人Kevin Mandia就直言,資安會呈現目前這種攻方強、守方忙的困局,根本原因是現有的全球資安防禦與執法體制對資安罪犯絲毫起不了嚇阻的作用,更別談要將犯行者繩之以法與嚴懲。如今這個駭客攻擊產業每年產生數以十億美元計算的「產值」,而且攻擊者所面對被逮、受罰的風險相對極低,難怪攻方越來越積極、膽子越來越大,毫不退縮。
資安防護網嚇阻力低、防護力不足,是當保護網要覆蓋全球、而攻擊者變異步伐益發快速的必然結果。如果資安攻防是一個產業(而它的確看似穩固確立的產業),這是個擴及全球的產業。
跨區濫攻,已成資安界常態
近年來,全球的科技產業在地緣政治競爭大浪下開始急步要往去全球化的方向走去,但資安場域卻是逆著此去全球化的風向,形成全球佈局、跨區濫攻的場景。
在美國的大大小小企業收到意欲滲透的釣魚誘餌電子郵件,極可能來自非洲奈及利亞;在亞洲收到的求愛釣餌邀約,最終擷取身份個資或金錢,在地球另一端利用進行更具破壞力的詐騙;而不論勒索軟體要求贖金、或是偷盜消費者或企業的個資與金錢的出擊,都要求在地球的另一端交付,晚近虛擬貨幣的出現,更讓資安案件的追索具高度挑戰。
如不看守方,看攻方,不論是俄、中、北韓、伊朗等美國眼中的不友好國家,或是美國為首的西方陣營軍方或國安相關單位的攻擊團隊,絞盡腦汁發動持續升級資安戰對壘,都是以全球為戰場的遠距戰鬥。雖然無聲響,它們的鬥爭激烈密度絕不遜於眼前正進行的烏俄或中東熱戰。
難怪全球經濟論壇(WEF)會將資訊安全視為全球面臨最嚴峻的挑戰,另一個同樣等級的危機,是全球暖化,氣候變遷。
責任編輯:李先泰
