[專欄] <%:data.title%>

專題 <%:data.title%>

<%:~nl2br(data.summary)%>

<%:data.subtitle%>

<%:data.subtitle%>

#<%:prop.issue%>

<%:~formatDate(prop.online_date, 'YYYY MMM DD')%>

<%:prop.title%>
<%props prop.kols%>
<%:prop.realname%>
<%/props%>
<%if prop.column_id != 0 %> <%/if%> <%if prop.topic_id != 0 %> <%/if%>
<%:prop.realname%> <%:prop.realname%>
<%:prop.realname%>

<%:prop.realname%>

<%:prop.intro%>

add
新會員

<%:prop.email%>

add
數位轉型、元宇宙正熱,2023 年網路資安該關注什麼?

ISSUE #076

數位轉型、元宇宙正熱,2023 年網路資安該關注什麼?

2022-12-21 10:30:00

企業數位轉型成必然,5G、元宇宙等新興科技應用越來越普遍,也讓資安威脅變得更無所不在。揮別資安事件頻生的 2022 年,企業該如何面對 2023 年更加劇的組織化資安攻擊?

#2023資安攻擊持續成長 #元宇宙成為新攻擊面向 #企業資安韌性不能等

陳卓君

陳卓君 / 副總編輯

採訪寫作

張育寧

張育寧 / 總編輯

審訂

圖片來源 - Shakti Shekhawat, Pixabay

questionquestion

發生什麼事?

遠距工作、線上消費等模式成為疫後新常態,數位化的新興科技,促成更多新商業模式。2022 年初世界經濟論壇發布的全球網路安全調查指出,有多達 87% 的企業管理高層計畫提高組織的網路韌性。然而回顧這一年,地緣政治的催化、管理者與實際落實的差異,仍讓資安面臨巨大的挑戰。

  • Check Point Research(CPR)指出,2022 年第三季度全球資安攻擊與前一年同期相比,增加了 28%,平均全球每個組織每週有超過 1,130 次的攻擊,與 2021 年的急劇增長相比,已趨於穩定,可能歸因於企業和政府增加網路安全投資,以應對風險。
  • 就產業而言,根據 KPMG 發布的「2022 台灣企業資安曝險大調查」,金融業在網路防護表現仍最佳,但面臨高度挑戰;有超過五成的供應鏈核心產業,如原物料、運輸業等企業落在整體排名末段班,顯現網路防護亟待加強。
    • 多數企業輕忽社群媒體衍生的網路攻擊:企業的社群媒體專頁、員工社群帳號,都容易暴露公司聯絡資訊,增加駭客發動魚叉式精準社交工程成功率。
    • 就人力配置而言,各產業資安人員能量均嚴重不足,僅電子商務及金融業因在強烈的用戶需求與主管機關的法規要求下,較其他產業投入較多資安人力。
  • 根據 Palo Alto Networks 九月發布的「What’s Next in Cyber Survey」,幾乎所有亞太地區的受訪者都承認,過去一年中,平均經歷過 11 件網路安全和數據洩露事件,只有四成的受訪者表示他們的董事會對網路風險的認識,有隨加速數位化戰略而增加。


2023 年資安挑戰為何?

Palo Alto Networks Fortinet 皆在近期公布 2023 年的全球資安威脅預測,不僅攻擊的範疇更廣,也更擅於藉由長期偵查蒐集被害對象情資,形塑完整的「攻擊藍圖」。主要的威脅趨勢如下:

  • 5G、雲端供應鏈、元宇宙等技術應用領域增長,成為網路攻擊新面向。
    • 5G 加速應用雖提升了雲端的敏捷性,但也同時讓 5G 核心暴露在雲端的安全漏洞下,攻擊可能來自任何地方。
    • 隨著企業採用雲端運算普及化,雲端原生架構中的軟體套件更新,成了攻擊滲透於組織網路的機會,進而擾亂企業運作。
    • 藉由 AR 等技術打造的虛實整合的元宇宙,為企業與使用者帶來全新體驗。但若用戶個資或生物辨識資料落入攻擊者手上,將衍生出數位錢包、虛擬貨幣被盜被搶的犯罪行為。
  • 惡意攻擊成為商品化,加速、加深潛在資安威脅。
    • 勒索軟體、偵查、洗錢、惡意軟體等商品化、服務化,讓網路犯罪成為一種商業模式,在暴利驅使下,可預期未來這類的攻擊將更具破壞力。


未來該如何?

數位轉型已是企業必走之路,面對數位化隨之而來的資安威脅,企業如何加強資安韌性?

  • 訂定結合「資安」與「網路」角度的網路安全策略。
    • Palo Alto Networks 台灣區總經理尤惠生建議,企業應該從「零信任原則」出發,加上具有高可視性、控制性和效率的網路安全效能,增加資安韌性。
  • 導入並驗證資安國際標準,降低資安曝險。
    • KPMG 安侯建業副總經理林大馗建議,企業導入及驗證資安國際標準,採用縱深防禦策略,防範日益升溫的社群媒體風險。
  • 採取人工智慧驅動的自動化資安防護,補足資安人才的缺口。
    • Fortinet 北亞區技術協理劉乙指出,結合機器學習、人工智慧技術,自動化判讀資安威脅、自動化修復,可大幅減少人力需求。

除了上述的建議,企業在 2023 年還會面臨哪些資安威脅?該如何做好準備?一同透過《旭時報》與資安專家的訪談來了解。

深度對談

question
近年來疫情加速數位轉型,看到哪些資安趨勢?

共 2 則對談

陳鴻翔

陳鴻翔

Fortinet 北亞區總經理

在疫情的推波助瀾下,數位轉型已經變成必要。因為數位化轉型、數位服務的應用變得更大量,大家生活工作都與網路息息相關,過去沒法突破的現在都能突破,很多地方有漏洞,因此成為更多資安攻擊和破壞的目標,從末端、到伺服器、雲端等。跟著企業數位轉型而來的,就是資安需求,現在更強調 cybersecurity(網路安全)。網路安全從過去的防火牆、防毒,到入侵偵測,到現在從端點設備到雲端、存取端,可能被攻擊的面向變得無所不在,走向「零信任」。因此企業在思考資安布建時,要變得更全面性,不再只思考單一防護如防火牆等。

2022-12-19 16:03:35
尤惠生

尤惠生

Palo Alto Networks 台灣區總經理

從今年所發生的各種資安事件中,可以印證到我們在 2021 年所提出的 2022 年的資安趨勢預測,包括比特幣的迅速崛起,讓加密或幣成為網路攻擊者加強其非法行為的工具;日常的物聯網裝置如手機、汽車等,模糊了現實和虛擬世界間的界線,都存在駭客可以利用的漏洞,使得數據洩露和其他網路攻擊更具影響力。此外,API 中的任何安全配置錯誤,都會被網路犯罪份子利用來存取個人數據、操縱交易或關閉關鍵服務的入口,成為數位詐欺和資安漏洞。

2022-12-20 10:44:53
question
就您們的觀察,在 2023 年需要關注的關鍵網路安全趨勢為何?

共 2 則對談

蕭松瀛

蕭松瀛

Palo Alto Networks 台灣區技術總監

我們認為有五個最主要的關鍵趨勢,第一,支持各產業的垂直化服務和工業物聯網、智慧工廠、智慧城市等 5G應用,將提高漏洞風險。現代 5G 交換基礎是建立在雲架構上,雖然雲端提供了更大的敏捷性、可擴展性和性能,但它也會使 5G 核心暴露在雲端的安全漏洞之下。大規模的攻擊可能來自任何地方,甚至來自營運商自己的內網。

第二個趨勢,則是需要確保連網醫療設備的安全性。在疫情期間,科技廣泛應用於對抗疫情,包括連網健康掃描、遠距醫療等,數位化實現了新的醫療能力,同時保留在系統上的機敏數據對網路犯罪分子具有吸引力,容易使醫療業成為網路威脅者高度關注的目標。設備離病人越近,就越有可能影響病人的安全,威脅者也越有可能將其做為武器...

2022-12-19 16:06:47
question
當資安布局變得更全面化、更複雜,要如何降低資安管理上的負擔?

共 1 則對談

陳鴻翔

陳鴻翔

Fortinet 北亞區總經理

複雜就意味著很多地方容易被忽略,當布局過於複雜,每個防護變成各自獨立、沒有相互整合,即使布建了最好的資安防護,還是可能被侵入破壞,當發生問題時,也很難去處理。因此整合性變得很重要,從端點設備、到雲端、存取端等,都需要整合性的考量。但很多企業過去已經投資很多不同的資安防禦,面臨該如何整合的挑戰。建議可分區塊、逐漸收攏,把現有的環境整合在一起。

2022-12-19 16:17:43
question
資安人才缺乏,面對現在國家等級的資安攻擊,在資安佈局上該怎麼做?

共 2 則對談

陳鴻翔

陳鴻翔

Fortinet 北亞區總經理

當資安攻擊越來越多,駭客也變成 AI 化,已經不可能用人工處理,因此機器學習、人工智慧驅動的自動化都會是趨勢,也可以補足資安人才缺乏的問題。

2022-12-19 16:18:27
劉乙

劉乙

Fortinet 北亞區技術協理

我們在談到自動化,大概可以區分兩個面向,一種是傳統的自動化,例如生產流程自動化,這是上一代的自動化。下一代的自動化是要結合機器學習、人工智慧,這塊才是趨勢。過去我們在做 threat hunting (網路威脅獵捕)的時候,都是靠人工慢慢看,但是現在有機器學習的系統,先把可能的惡意軟體、惡意腳本放入,讓系統來判讀是否為某一種資安威脅,例如 Rensenware 勒索軟體。若判讀分數較高,就進一步讓資安人員來看這個問題,這可以大幅減少人力需求。而且透過機器學習技術,可以學習多種資安威脅軟體,例如 Resenware、Wiper等,藉由人員介入後,機器學習的判讀會越來越準。未來當判讀出的資安威脅分數很高時,甚至不需要人員介入,系統就可以直接判定是威脅。自動找到資安威脅後,下一步就是自動 Recovery(修復),也就是我們談的韌性

2022-12-19 16:20:03
question
在資安人才培育上,您們採取什麼樣的策略?

共 1 則對談

劉乙

劉乙

Fortinet 北亞區技術協理

在美國我們其實跟很多大專院校合作,一開始是提供講師,後來提供我們的培訓教材,例如 virtual machine。在台灣,我們跟微智安聯一同做的虛實整合「次世代資安人才試鍊場」Fortinet Cyber Range,可評量人員實務技術能力,提升資訊人員職能。另外與台灣科技大學機械系教授李維楨合作,把 Fortinet 產品導入台科大工業 4.0 中心,做出符合 IEC 62443 資安要求的示範場域,我們也提供教材來培育資安人才。

2022-12-19 16:21:00
question
您們如何針對不同產業所需的資安防護,提供相對應解決方案?是採取策略夥伴方式嗎?

共 1 則對談

劉乙

劉乙

Fortinet 北亞區技術協理

我們過去的確也有採用尋找策略夥伴的方式,來提供更全面的資安防護解決方案。但是當客戶遇到問題、有功能漏洞時,該怎麼找出真正的問題所在?是哪一方要來解決?所以現在可以觀察到,用策略夥伴的方式來提供資安解決方案其實越來越遠了,現在有可能的策略夥伴合作,是針對該產業特定所需的,我們會有合作的夥伴。例如醫療產業我們有合作夥伴,它了解所有醫療設備的協定,這對現在的我們來說還不是強項。藉由他們的專業知識,我們來做阻擋、policy (原則)設定。

2022-12-19 16:21:43

此次與談人

陳鴻翔

陳鴻翔

Fortinet 北亞區總經理

劉乙

劉乙

Fortinet 北亞區技術協理

尤惠生

尤惠生

Palo Alto Networks 台灣區總經理

蕭松瀛

蕭松瀛

Palo Alto Networks 台灣區技術總監

延伸閱讀

你有「駭客思維」嗎?上億次資安攻擊等同「資訊戰」?

你有「駭客思維」嗎?上億次資安攻擊等同「資訊戰」?

裴洛西訪台,媒體上發布「網站每分鐘達 1.7 億次攻擊」、「電子看板遭入侵」,數字跟畫面看了令人緊張,但這些攻擊其實沒有想像中恐怖。大眾對「資訊戰」有什麼誤解?企業和個人如何避免成為資安破口?

2022-11-29 11:30:00

為何地緣局勢緊張,更凸顯製造業資安的重要性?

為何地緣局勢緊張,更凸顯製造業資安的重要性?

供應鏈一旦陷入混亂,將強烈衝擊人們的生活。從已發生的疫情到俄烏戰爭,到未來因地緣政治緊張引起的軍事封鎖,都可能讓供應鏈陷入混亂的狀況雪上加霜,成了駭客攻擊的最佳時機。製造業真的準備好應對這類資安攻擊了嗎?

2022-11-25 10:30:00

Twitter 資安吹哨、俄烏戰爭,ESG 公司治理有對策嗎?

Twitter 資安吹哨、俄烏戰爭,ESG 公司治理有對策嗎?

在資訊流通快速的時代,大眾已不只拿「放大鏡」檢視企業的一舉一動,而是用「顯微鏡」關注企業經營是否符合誠信原則。企業該如何實踐 ESG 中的根本 –「公司治理」?

2022-10-05 11:30:00

奧義智慧以 AI 強化台日企業資安,解決人才稀缺窘境

奧義智慧以 AI 強化台日企業資安,解決人才稀缺窘境

隨著資安事件頻傳、法規一聲令下,促使各行各業都必須設置資安部門,近五年來資安人才的需求至少成長 1.5 倍,產業出現搶人大戰。奧義智慧如何利用 AI 科技快速、自動化的優勢,強化企業資安防禦,同時解決資安人才稀缺的窘況?

2022-10-19 11:30:00

社交工程攻擊輪番襲來,企業備戰好了嗎?

社交工程攻擊輪番襲來,企業備戰好了嗎?

Netflix犯罪紀錄片《Tinder 大騙徒》再度讓社交工程(Social Engineering)詐騙的討論浮上檯面。當被攻擊的對象是企業,面對動輒上億元的災損風險,企業準備好了嗎?

2022-04-12 10:00:00

時間標記

EPEPISODE #旭沙龍-張育寧時間

EP #
邀請已成功寄出