網路犯罪、資料洩漏與盜竊已是企業面臨最大的風險之一,隨著網路攻擊的頻率逐年增加,尋找新的方法和技術來減少損失、改善效率、增加數位治理及合規性,將是所有機關、企業在新的年度尋找的方向,也是加強產業競爭力時必須思考的問題。
面對資訊竊取與網路攻擊的風險,我們可從世界經濟論壇WEF連續三年將網路犯罪與資料洩漏與盜竊列為年度十大關鍵風險議題,即可窺見一二。這也帶動人們對資通安全危險的認知,以及國際資安產業的迅猛發展。
依市調單位Gartner評估,2004年全球網路安全市場總額僅為35億美元,但到了2019年,已超過1,248億美元。從攻擊事件來看,受駭的產業也從以往的政府機構、金融企業,擴展到關鍵基礎設施營運商、高科技製造業、醫療產業、智慧製造業及與終端使用者息息相關的IoT設備等。
針對2020年資通訊安全的全球發展趨勢,工研院提出臺灣資安產業最關鍵的六大趨勢:「身份認證與零信任網路存取技術」、「混合雲應用安全」、「資安技術API融合」、「AI技術應用於資安」、「物聯網安全」、「白帽駭客協防」。
趨勢一、身份認證與零信任網路存取技術
多年來,多因子身份驗證(MFA)一直是持續發展的趨勢。這些因子包括:個人所掌握的某些訊息(如密碼或個人資訊)、個人擁有的某些東西(如某種安全加密證件)或生物特徵(如視網膜或指紋之類)。2020年MFA將成為身份認證的基礎,而且將更偏重整合生物特徵與硬體加密的方向發展。另外,從2019年層出不窮的個人隱私、企業機敏資料洩漏事件來看,2020年新趨勢將回到最基本的「零信任(Zero Trust)」,朝向網路存取方式的多樣化,對於應用程式執行、資料存取、網路使用等權限的控管日趨嚴格。傳統基於網路權限來管理的機制將會不再受信任,亦即傳統「城堡+護城河」模式,依「內網、外網」來設定安全存取權限機制將不再有效。未來將由資料為中心的微邊界來進行,亦即使用者必須有新型態的身份證驗證機制(同時驗證使用者與使用設備均安全可信賴),再依照服務、應用程式及資料的不同取用權限來管制取用的安全策略,每個使用者因為不同的設備、甚至對於應用程式也有不同的存取權限,唯有各因子都對應才可使用。有研究報告指出,在2023年約有40%的公司將淘汰目前使用的VPN技術,改採零信任網路存取技術。「零信任Zero Trust」成為未來安全存取的必然發展,搭配實體、安全的硬體密鑰取代不安全的人工密碼也已箭在弦上。
趨勢二、混合雲應用 部署強力防護網
在2019年各大資安展會上,以RSAC 2019安全大會為例,統計有42%廠商推出與雲端安全有關的產品,尤以混合雲成為廠商部署新產品線的重點。因為類似GDPR的法令要求,混合雲在資料安全性及合規性上更符合企業的需求。據企業雲端調查公司VansonBourne發布的「2019年度全球企業雲指數調查和研究報告(Enterprise Cloud Index 2019)」指出,全球企業正在積極投資混合雲架構,85%受訪者規劃在未來五年內選擇混合雲做為理想的IT營運模式;超過四分之一(28%)的受訪者認為混合雲模式最為安全。
2020年預計會有愈來愈多的移動工作者,採用跨區域的合作工作流程,雲端工作部署已是必然趨勢。但對於終端用戶和公司而言,這些便利並非沒有風險,尤其是隨著使用者因個人和企業目的,交替使用其個人和工作設備,將大幅提高企業風險。
依據RSA研究報告《2019網絡犯罪的現狀白皮書》顯示,欺詐交易有70%來自於個人移動設備。因此,個人自備裝置(BYOD)及混合雲安全的相關應用仍將是今年的重大議題。
趨勢三、企業打群架 完善API介面
隨著資安問題的日益複雜,目前國際大型雲端服務平台如AWS、AZURE、Google GCP都開始布局自己的雲端資通安全功能及服務,但也會利用「通用雲端存取安全代理程式(CASB)」將其他廠商的資安解決方案,整合在雲服務中。因此,資安廠商完善企業自己的應用程式介面(API),及善用雲端平台或是技術同業的API共同合作,也是未來重要趨勢。從這幾年的趨勢看來,已出現打群架的模式,尤其是資安大廠改以投資併購的生態打法,以多產品線、儘量擴大覆蓋面的整體解決方案來進行。而無法採用併購的中等規模廠商則以產品互通的API方式,便於其他資安廠商進行整合,或至少讓一般企業用戶採購其資安產品後,易於整合在現有的管理工具之中,也是未來趨勢。
趨勢四、仰賴AI技術應用 當務之急
前些年已有不少公司著手於網路安全的自動化,例如:收集有關資通訊系統組件的數據,將數據用於監控和分析。或是追蹤組織中的所有軟體和硬體等數位資產,並協助檢查、更新這些數位資產的修補程式,保持最新狀態。然而,使用自動化的操作只能減輕網路安全團隊的負擔,並非完美的解決方案,因為自動化工具需要熟練且知識豐富的人員來進行操作。因此採用AI來增強網絡安全已成為組織的當務之急。
依據Capgemini Research的研究分析,認為人工智慧將重塑網路安全產業,調查也顯示接近五分之一的組織在2019年已使用AI。預估未來採用率會加速飛升,2020年將有三分之二組織計劃將採用AI相關技術進行資安防護。
目前AI的學習能力、統整能力、分析能力應用在資安的惡意軟體檢測、入侵檢測、情資分析、弱點分析,以及物聯網的用戶與機器行為分析等已有不錯成效。未來更在資安的自動化部署、設備的防護編排、自動化響應(SOAR)等,可望有效發揮功能。未來趨勢上將出現愈來愈多的應用,但相對AI應用也有潛在的資安問題,如資料被污染、演算法被竄改、隱私權等都是新興的題目。目前國際仍未有好的解決方案,這也將是產業可投入的新機會。
趨勢五、控管IoT設備 確保物聯網安全
物聯網安全必然是這幾年最主要的資安議題,首先就是IoT設備在傳統IT環境下的可視性不足,導致安全風險的問題。不論使用的是無線的連網技術、還是雲端加上AI識別技術、或是專屬的工控網路硬體,首先要將IoT設備可控可管,以提供足夠的可視性及資料的可控性。尤其是在5G網路環境下,接入網路的物聯網設備將更具多元性,如何增加複合式網路下物聯網設備的可視性,在2020年全球5G陸續推出的情形下,將更形急迫。
此外,隨著物聯網設備的多樣化,如何在硬體與作業系統、應用執行環境作業下,以崁入式系統解決安全疑慮,將是另一個重要議題。包括從設備開發流程導入Dev-Sec-Ops、到出廠前的認驗證,都是2020年的關注重點。在IoT設備在連線的部份,因設備位置及使用限制下,趨向使用無線傳輸,卻也引起開放式無線傳輸的安全問題。此外,在IoT設備於雲端應用程序的安全,尤其以建置在區域網路之外的IoT設備,採用雲端存取安全代理程式(CASB)與雲端環境整合,也是目前新興物聯網解決方案公司的主要發展方向。
趨勢六、化敵為友 揪白帽駭客協防
近年來,企業為了讓產品及本身的服務更安全,透過漏洞回報獎勵計畫(Bug Bounty),希望藉由全球的白帽駭客一起協助找出系統未知的漏洞或弱點,減少被駭的可能,包括Google、微軟、Facebook、LINE等各大公司皆有這一類計畫推出。
尤其是開發給一般大眾使用的服務或是物聯網設備,由於操作環境的多樣性,往往造成在工程師完全設想不到的應用情境下出現漏洞,反而成為致命弱點。因此,除了Google、Microsoft已利用駭客社團協助進行軟體、系統的安全抓漏,2019年Apple更在DEFCON會場宣布將投入一百萬美元於iOS的漏洞獎勵。可預見未來利用外部資源的漏洞舉報,已成為改善產品安全的重要工作。
建議、AI資安融合API 須加倍努力
據工研院產科國際所統計,2019年臺灣資安產業表現較2018年成長12.3%,產值達到新臺幣493.4億元,產業參與廠商數目也提高到324家,產業總投入人口約8,800人。尤其在國內需求方面,因政府持續推動資安政策,及國內指標廠商受駭影響,帶動國內對於資安服務的需求成長。
展望未來,針對2020年國際發展的六大趨勢,雖然臺灣資安產業的特色上,未必能馬上追趕上國際大廠,但在「身份認證與零信任網路存取技術」、「AI資安應用」、「資安技術API融合」、「物聯網安全」及「白帽駭客漏洞回報獎勵計畫」等技術發展趨勢上,臺灣應有可發揮之處。目前國內廠商已逐漸推出身份認證、物聯網安全等硬體解決方案的相關產品,此外,在Bug Bounty發展上,2019年臺灣也在政府及其他廠商、單位的合作下已有初步成果,2020必然有更好的發展。至於在AI資安及API融合方面還要更努力,但仍是值得臺灣廠商開發的方向。
(本文由工研院產業科技國際策略發展所經理徐富桂授權轉載)