HITCON總召蔡松廷指出,台灣是受到資安攻擊很嚴重的國家,HITCON在社群經營非常有經驗,但要改善資安環境的話,只有社群的力量不夠,所以即使 舉辦企業場虧錢,也希望能讓更多人了解資安,今年更首次邀請行政院副院長張善政演講,希望政府、企業及社群未來能更緊密合作。
(圖說:HITCON社群場滿座。圖片來源:取自HITCON臉書。)
HITCON社群場總召集人翁浩正表示,邁入11屆的HITCON年會,從2005年的100名參與者,增加至1千名資安人員參與,會中也有來自10個國家的參與者與會。社群場更以物聯網資安為題,舉辦IoT Wargame,每位參與者都拿到一個特製的設備「HITCON nano」,了解嵌入式設備安全的重要,今年也舉辦「Hack2Own」駭客松競賽。這次最大的亮點是,去年獲得DEF CON世界冠軍的PPP戰隊,其中的天才白帽駭客geohot(George Francis Hotz)也應邀來台,向資安界分享他自己所開發的找漏洞工具。
(圖說:HITCON社群場的名牌巧思。圖片來源:取自HITCON臉書。)
到底政府和企業遇到資安威脅時,應該怎麼辦?
1、開放資料反而更安全
26日的「HITCON專家企業資安防禦招式座談會」邀五位資安專家分享,台北市資訊局局長李維斌說,政府的資安預算只占1%,預算十分不足,先前北市府發生駭客攻擊偷資料的事件,台北市長柯文哲了解駭客所偷的資料後,發現這些都是公開在網路上的資料,等於駭客做白工,「柯文哲就指示能開放的政府資料就全都開放出來,反而因此也讓政府資安比較好管理,因為駭客沒什麼好偷的!」
2、改變心態,擁抱白帽駭客
翁浩正指出,企業內部發生資安事件的時候,企業往往是各部門互推責任,但資安部門往往夾在中間,又沒有權限處理,或是有白帽駭客主動提醒企業的漏洞,企業的反應往往是緊張、害怕,怕對方要來勒索。他說,「把駭客當成你的朋友,擁抱白帽駭客,他們可以幫助你處理漏洞!」例如,近期LINE也提出漏洞獎勵計畫,鼓勵資安研究人員回報漏洞,他認為這才是正向循環。
(圖說:HITCON企業場,五位專家談企業如何面對資安威脅。圖片來源:HITCON提供。)
3、了解最新的攻擊手法
台灣駭客年會總召蔡松廷說,Hacking Team最重要的意義是告訴大家資訊戰的時代已經來臨,可以把它想成數位的軍火商,就是提供武器的廠商。在資訊戰裡面,要如何取得優勢和領先?就要購買比別人好的武器。如何在有限預算和資源下,應付資訊戰?他指出,其實中國的兵法可以參考,當人數和資源少的時候,不一定會居劣勢,最重要的是要了解自己。
此外,也要了解敵人,知道他們如何入侵、手上擁有的0day是哪一個、手法為何、利用你網站的哪個漏洞?了解夠多的話,比較容易防禦攻擊,趕快去修補漏洞。HITCON年會會定期揭露最新的手法和漏洞,持續追蹤這些訊息,就知道最新被攻擊的領域、手法和技術在哪裡,比較容易知道要如何布署安全策略。
4、鼓勵企業做漏洞獎勵計畫
帶隊參加網路攻防競賽的HITCON領隊李倫銓說,企業漏洞計畫裡贊助最多錢的企業,大約是每個漏洞五萬美元,讓研究員協助找漏洞,現在越來越多有熱情的研究員和高階資安人向企業送出漏洞通報,但卻找不到通報的管道,打客服電話通常沒有反應,或是企業進而懷疑他們,讓他們通報的熱情化為烏有,這會降低研究員的熱情。
李倫銓說,然而就算企業提高資安預算,也比不過地下黑心產業。知名的黑產像是Hacking team跟別人買每個漏洞的金額可達10萬美元,他們再轉賣漏洞的金額可高達好幾千萬。相比之下,黑產的金額大得多,這些資安人會選擇把漏洞送去哪裡呢?也許企業沒辦法給這麼高的回饋,但至少一定要有通報機制和獎金,這才是解決問題的根本,才能真的打破黑產的結構。
5、別只分內外網,要更細緻區隔網段
台灣威瑞特技術長邱銘彰(Birdman)也說,「企業或資安公司介入經濟活動,是對抗和破壞黑產最好的方法之一。」此外,邱銘彰認為,企業過去保護資安,用隔離內網和外網的方式,但是只分內外網太粗糙,而且對管理員工來說也是不人道的做法,因為員工還是會用手機上網,也有資料交換的需求,到最後反而形成某一台伺服器變成資料交換的集中地。
邱銘彰建議應該更細緻、漸層式的區隔網段,讓每個網段有不同的層級和責任,例如網管要遙控別人電腦只能用實體線接到某台電腦才能使用,這樣才能讓員工更遵守政策,更符合人性,真正做好資安管理。
- 本文轉載自數位時代
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!