在2021年5月12日,美國總統拜登下達行政命令,公布多項國家網路安全策略,期望改善該國的資安現況,當中最受關注的焦點之一,就是推動美國聯邦政府網路安全現代化,要求導入零信任架構的網路安全策略。 此外,像是SIEM/SOAR這類設備,將可幫助提供情資資訊,而特權存取管理也能與ZTA整合,以提供更好的控制決策。 例如,原本的身分識別與存取管理(IAM),在ZTA中仍需要提供身分鑑別與存取控制資訊,次世代防火牆(NGFW)可做為PEP,但通常還要加入對於裝置安全的考量,而入侵偵測與防禦系統(IDP/IPS)也能與ZTA整合。 因此,從這些原則所關注的焦點來看,簡而言之,就是識別可存取資源、連線安全、妥善存取控制、考量存取者狀態、了解資源狀態,以及監控裝置與資源風險,持續蒐集資訊與改善。
目前國內廠商及研究團隊許多針對 PUF 的努力正在進行,除了矽智財知名大廠力旺開發的 NeoPUF 技術,成功大學電機系張順志教授進行的研究也是其中之一。 自 2013 年開始,PUF 已經開始逐漸受到重視,只是就像所有的密碼學應用一樣,儘管 PUF 技術存在著這些驚人特性,駭客攻擊手法也仍在持續演化中。 國外一些研究已經證明,透過機器學習,AI 技術還是可能預測出密鑰並獲取數據,因此針對 PUF 技術的改良研發也仍在持續進步中。
查士朝: 通訊行人頭老闆遭圍毆致死 4惡煞判賠555萬元
桃園大溪至新北土城捷運頂埔站「9103」公路客運路線逾行駛40年,今年不敵虧損停駛,為持續服務大溪民眾,桃園市政府交通局... 楊明忠和在地漁民對話後,將漁民的故事和對七股情感,以虱目魚、豆仔魚、烏魚、石斑、台灣鯛等隱喻七股人雖各自打拚,但也為了共同理念群聚一起,創作《洄游-回流》。 基隆市政府發言人余治明今天上午與基隆市警察局第一分局召開記者會,指陳男13日晚間8點多在忠四路又與計程車司機發生行車糾紛,再次出言恐嚇,警方送辦後檢方聲押獲准,市府指出,基隆市警察局維護治安不分晝夜,將陳男繩之以法。
查士朝解釋,駭客入侵辦公電腦後,會透過 VPN 連線潛入企業內部網路,再透過橫向攻擊尋找管理員權限,竊取公司機密文件。 其次,居家連網也是資安一大議題,查士朝指出,一般人不一定會常更新居家無線網路設備,但如果無線網路設備久未更新,安全協定可能出現漏洞,成為駭客攻擊一大破口。 但是,存取控制有其不確定性,因此重點將放在身分驗證、授權與限縮信任區域,而且,需要盡可能減少身分驗證機制的時間延遲,保持可用性,並盡可能讓存取規則更精細,讓每次資源存取請求的操作,只提供所需的最小權限。
查士朝: 相關參與
為了能快速定位用戶位置以確保通訊服務能被送達,電信商會將數個基地台覆蓋區域組成一個追蹤區域(tracking area),並且如果有訊息傳送到閒置中的手機時,基地台會要求手機回傳臨時識別碼。 駭客在不知道用戶位置與身分識別碼的情況下,可以頻繁地撥打電話給鄰近追蹤區域內的裝置再迅速掛斷。 用戶手機可能根本不會跳出通知,但駭客卻可以利用追蹤區域的基地台呼叫訊息,在短時間內定位出用戶的大略位置,甚至進一步可以癱瘓與綁架目標用戶手機服務。
查士朝坦言,資訊安全部門的功能會和很多部門的功能重疊,以防火牆的設定為例,雖然防火牆算是資安設備,但設備的設定通常會由資訊部門設定,資安部門則是「決定資安政策要怎麼設定」。 鍾東錦指出,苗栗縣有許多美好的傳統和文化,但有關智慧城市推動方面,目前落後六都,在充滿挑戰的新時代,智慧城市的建設是未來重要的發展方向,因此他競選政見提出推動國際智慧城市的目標,期望未來讓苗栗鄉親擁有跟一線城市一樣的繁榮與驕傲。 鍾東錦指出,苗栗有許多美好的傳統和文化,但智慧城市推動目前落後六都,在充滿挑戰的新時代,智慧城市的建設是未來重要的發展方向,因此他競選政見提出推動國際智慧城市的目標,期望未來苗栗民眾擁有跟一線城市一樣的繁榮與驕傲。 整體而言,包括要識別企業中的攻擊者,識別企業擁有的資產,接著要清查的部分,是關鍵流程並評估相關風險,之後再來制定ZTA策略與選擇ZTA解決方案。 至於接下來兩章的內容,分別是探討ZTA的相關威脅,以及ZTA與美國既有聯邦指引的關連,包括美國政府在各方面提出的資安框架,以及法規要求等。 查士朝表示,因此ZTA不只是依照管理者設定的政策去判斷可否放行,政策引擎還要考量到多方外部資訊,做到即時調整控制權限。
查士朝: 資料來源
查士朝以自身曾經擔任企業獨立董事的經驗指出關鍵,他說,對董事會成員或管理階層而言,希望聽到資安長報告最重要的事情就是:了解企業本身,是否遭到什麼樣重大的資安風險;另外就是,需要了解企業是否已經遭駭,而目前資安事件的處理狀況為何。 查士朝表示,應該會有許多了解業務運作的人,和業務單位與資訊部門一起進行風險管理的工作,建立與推動資訊安全管理制度,規畫資訊安全教育訓練,以確保人員能夠執行資安責任。 設立資安長除了法規的要求外,公司是否獲利也會影響資安長的「底氣」。 查士朝指出,倘若公司不怎麼賺錢,即便設有專職的資安長,整個公司可能是「校長兼撞鐘」,對於資安長而言,除了負責政策制定,其他從網路、防毒到桌機,可能都是資安長一肩挑起。
至於,其他資安檢查成果或是重要工作事項報告,則能夠以比較短的篇幅進行相關報告。 苗栗縣政府上午啟動智慧城市策略推動會議,引進專業團隊協助縣府各局處進行智慧城市的規畫,並運用數位及AI科技推動縣內發展,朝智慧醫療、交通、農業、觀光、行政等5大方向挺進,以提升城市競爭力及生活品質,並達成縣長鍾東錦建構國際智慧城市的競選政見,全案預計明年6月辦成果發表。 苗栗縣政府發展智慧城市,昨天開會決定朝醫療、交通、農業、觀光和行政5大方向努力,也將引進專業團隊協助局處規畫政策,提升城市競爭力及生活品質。 縣長鍾東錦表示,苗栗有許多美好的傳統與文化,但智慧城市建設是未來重要發展方向,雖然目前落後六都,仍期望有朝一日與一線城市同樣繁榮。 查士朝建議,若要有較好的防護可以參考國內金融業常見作法設置「VPI(虛擬桌面)」,員工連線回公司都必須經過線上檢查,合格後才能連線到虛擬桌面,且虛擬桌面同步紀錄員工操作內容,防範資料外流,但這取決於企業對於資安重視、資源投入程度。
查士朝: 駭客終結者 2.0 登場!打破舊有資安概念,零信任架構 (ZTA) 引領資安新風潮
要解釋什麼是 PUF,就得先理解物聯網(Internet of Things , IoT)的概念。 簡單來說,物聯網就是讓設備裝上感測器、軟體及技術來相互連接傳輸資料所形成的網路,是很多產業智慧化的基礎,然而很容易就可以想像這種便利性同時也帶來更高的資安風險,由於物聯網設備涵蓋的領域相當廣泛,駭客從許多層面都可以發動攻擊。 林宗男對此呼籲政府應正視 new eID 缺乏法源依據的問題,更要從資訊安全的角度,重新審慎評估全面換發數位身分證的必要性。 就如同 CNN 報導,全世界每天產生超過 100 萬個惡意程式,網路數位世界危機四伏;但值得注意的是,這個數據還是 2015 查士朝2023 年的統計,現在恐怕有增無減。 研究團隊以先發制人策略,杜絕惡意程式伸出魔爪,利用 CNN(Convolutional Neural Networks,卷積神經網路)模型[2]訓練 AI ,偵測是否有惡意程式潛伏在使用者電腦 Windows 或手機 Android 系統蠢蠢欲動。 高科技製造業是帶動臺灣經濟發展的重要產業,而傳統製造業則是臺灣產業發展的命脈,查士朝表示,不管是哪一種製造業的資訊部門,因為不是公司主要賺錢來源,都是要花錢的成本單位,資訊單位相對弱勢,往往都是要配合工廠需求而生;而毛利相對低的企業,在面對各種資安事件發生時,只能做到立即處理和因應。
這是因為,採用ZTA的每個過程,也就是降低組織業務功能風險的過程。 以ZTA部署生命週期而言,首先要做到評估,這方面包含了系統清單、使用者清單,以及企業流程審查。 也就是一開始就要對資產、主體與業務流程,有詳細的瞭解,否則,一旦無法掌握企業現況,企業將無法確定需要那些新流程系統。 查士朝認為,要理解這些部署方式,其實可從在家工作的角度去思考,例如,透過下列3種狀況來比較差異,包括:(1)完全隔離的工作環境、(2)在辦公室工作、(3)異地分區辦公。 另一方面,在此章節中,NIST還說明了一些較為技術性的內容,包含ZTA的3項必要技術,4種ZTA部署方式,以及政策引擎在考量多方與外部資訊時,所建議的可信任演算法、風險評分機制,同時,還有ZTA網路環境的需求。
查士朝: 抓出惡意程式的 AI 網路安全系統
國立臺灣大學資訊管理博士,專精於資訊安全技術與相關的管理議題,具有 CISSP、CSSLP、CISM、CKS 查士朝 等數十張國際知名資訊安全認證。 目前是臺灣科技大學資訊管理系主任,也是資通安全研究與教學中心主任。 近年來從事隱私與個人資料保護技術研究,並主持資訊管理系的隱私與風險管理實驗室。 同時也是行動資安聯盟協助經濟部工業局,在推動智慧型手機應用程式與物聯網設備安全機制的審查委員。 目前的研究興趣在於程式開發與物聯網安全,並在國際重要期刊與會議上發表多篇論文。
在產業界亟需資安長高階人才的同時,臺灣科技大學資管系教授查士朝觀察指出,資安長的高度與眼界,和公司規模及營運有正相關,要學會確認資安需求以及做好資源分配,成為稱職資安長應該具備的技能。 委託團隊簡報指出,苗栗推動智慧城市有改善交通、縮小財政缺口、推廣樂齡教育、整合農業與觀光產業、將智慧科技運用於農漁貨供應鍊等方向,部分策略會參考其他縣市做法,以交通為例,解決轄內壅塞路段、路口問題就可中彰投聯合交通協控計畫建置多元服務平台。 面對無差別式的社交攻擊,民眾最好的防範方法是不要輕易點擊陌生連結,並維持手機、筆電等裝置系統更新至最新版本。 透過企業與使用者雙方加強資安防範,才可能避免多樣化資安威脅造成的損失。 查士朝認為,若有心人士要竊密,各式手法防不勝防,居家辦公環境下,包含螢幕錄影、側錄等都是可能方法,建議重要的機密資料要限制公司內部存取,減少相關風險。 然而國內 97% 為中小企業,以毛利率 1% 計算,「花 1 萬塊等於要賺 100 萬」,中小企業多難以支應大量財力投入資安防護;對此,查士朝建議,企業可以先盤點重要資料、系統並集中管理,將資源優先用於維護相關系統,確保資料安全性。
查士朝: 身分驗證:通訊網路如何識別用戶與提供服務
查士朝建議,對於電商業者而言,善用各種雲端服務資源,可以有效降低該產業的資安投資;如果能夠有足夠的記錄檔(Log),一旦發生資安事件時,就可以通知相關使用者做處理。 但若是面對其他部門的合作,甚至是擴及全公司同仁的合作,他認為,資安長就必須要展現其說服力和影響力,不僅可以做到和其他部門的協同合作,甚至要將資安意識的種子,深植到公司每個人的意識中,讓「資訊安全」成為全員工的事,而不只是資安長或資安部門的事。 他認為,資安風險的擬定如果沒有納入業務單位的意見,往往無法發揮應該有的效果。
但人們常常默許地將關於自身資訊的控制權交給大公司與政府,PGPP 的發明就是希望在這樣的洪流中取回一些對自身隱私的控制權。 雖然個人行蹤隱私與手機識別訊息洩漏會造成龐大的社會成本,但要透過改變現有通訊網絡硬體設計,達到保護個資的目的,也需面臨設備更新成本巨大的挑戰。 因此 PGPP 嘗試從軟體的角度解決問題,讓用戶可以透過 PGPP 保護自己的行蹤隱私。
查士朝: 透過機器學習,分析暗網流量
透過半導體製程中引入的隨機變數,讓晶片在微觀結構上產生些許差異,在變數無法預測及控制的情況下,複製該晶片成為幾乎不可能的事,減少遭人逆向工程或操作的擔憂。 查士朝2023 這樣的隨機性、唯一性及不可複製性,讓 PUF 彷彿成為一種「晶片指紋」的存在,因此自然也變成新世代資安「零信任」(Zero Trust)架構下的熱門選擇。 隨著萬物聯網時代到來,越來越多數據以數位化方式儲存共享,架構安全性也越來越受到重視。 就在今年 5 月,美國賓州大學研究團隊開發出一種基於石墨烯的 PUF(Physically Unclonable Function),能夠有效防範利用 AI 模型的新型攻擊,使加密金鑰更難以被破解。
- 雖然個人行蹤隱私與手機識別訊息洩漏會造成龐大的社會成本,但要透過改變現有通訊網絡硬體設計,達到保護個資的目的,也需面臨設備更新成本巨大的挑戰。
- 同時,有資安稽核人員確認制度的落實、協助改善缺失;也會有資安分析人員,去進行弱點掃描與滲透測試等工作;最後,需要有人員去規畫重大資訊安全投資,或是協助審查資訊投資的安全性。
- 簡單來說,現在IT架構變得複雜,超越了傳統網路邊界安全的作法,因為企業網路邊界並不是單一存在,並且難以識別。
- 查士朝建議,若要有較好的防護可以參考國內金融業常見作法設置「VPI(虛擬桌面)」,員工連線回公司都必須經過線上檢查,合格後才能連線到虛擬桌面,且虛擬桌面同步紀錄員工操作內容,防範資料外流,但這取決於企業對於資安重視、資源投入程度。
市面上探討的ZTA部署方式可分為四種,查士朝特別用簡單的架構圖,來呈現基於資源、限制區域、雲端與微分割的不同部署方式。 此外,為了解決駭客利用追蹤區域基地台呼叫訊息來定位用戶,PGPP 為每個手機隨機客製不同的追蹤區域,而非傳統地由電信商定義出追蹤區域。 如此一來,駭客即便取得追蹤區域編號也無法得知用戶實際所處的位置在哪裡(圖三)。 例如,近年基地台模擬器-IMSI 擷取器(IMSI catchers)或俗稱魟魚逐漸興起,利用手機會自動連接到鄰近最強訊號源(通常是基地台),並提供自身 SUPI/IMSI 以供驗證的特性。 IMSI 擷取器發送強於周圍合法基地台的訊號,藉此取得用戶的識別碼,讓監控者可以辨識與監聽未加密的用戶通訊內容,其實這種作法早已在情報單位與極權國家被廣泛地利用。
查士朝: 內容力 X 科技力 台灣以創意內容勇闖多元宇宙
企業應該要盡可能收集有關資訊資產、網路架構、骨幹,以及通訊的現況,並用這些資訊來增進安全狀態。 首先,企業一開始不要急著花錢,應該要能掌握現況,先知道自己有哪些重要資源需要保護,並對既有的存取原則與安全控制作了解。 簡單來說,初期步驟就是要盤點所有企業資源與存取情境,掌握既有存取控制規則,以及掌握既有安全控制措施。 對於企業該如何導入ZTA,查士朝認為,市場上有提到4種部署方式,包括基於資源、限制區域、雲端與微分割的部署方式。
舉個具體的例子,即便使用者可以憑藉身分認證進入一家企業內,使用這家企業的信任網域做任何活動,而 查士朝 ZTA 就像監視器一樣,會監視著使用者在網域上的一舉一動。 而 PDP 內部則是仰賴所謂的信賴演算法,它會考慮存取要求、主體資料庫及歷史、資產資料庫、資源政策要求、威脅情資與紀錄來做訓練,當然現今的 ZTA 架構會依照各個企業或機關的需求而有客製化的調整。 同時,對於ZTA導入策略,查士朝列出4大關鍵作為提醒,包括:盤點使用者與資源、妥善部署資源、檢視權限並落實存取控制,以及掌握資源與使用者狀態。 他並表示,如果企業想要以最快方式完成這些動作,將重要資源集中是關鍵,並在前方設置相關次世代防火牆,做到資源動態配置與加強存取控制,這些是最基本要做到的部分。
查士朝: 台灣武廟志工協會頒200萬獎助學金 332名學子受惠
公務機關的保守,加上對產業界對資安人才薪資的躍升,這也讓《資通安全法》實施後,公務機關近千名資安人力缺口,一直處於無法補足的狀態。 面對今年(2022年)底,臺灣有111家上市櫃公司必須要設立資安長及專責單位,這麼急迫的高階人才需求,也讓資安長(CISO)這個角色一時供不應求。 台東家扶表示,行政院日前宣布為落實教育平權,自明年起定額減免私立大專學雜費,對公私立大專經濟弱勢學生加碼補助等措施,此政策確實能減輕經濟弱勢家庭的學費負擔,但台東只有一所大學,家扶扶助的大專生有8成以上均至外縣市求學,隨著物價上漲在外地求學的學生一樣得面臨沉重的經濟壓力。 桃園科技園區去年配合經濟部推動能源政策,專案同意3家燃燒SRF(廢棄物重組固體燃料棒)的電廠進駐,居民憂心衝擊環境與生活... 公所說,十份並推出親子悠遊、漫步漁村及生態帶路等三條遊程地圖,歡迎遊客前來漫遊藝術部落,體驗漁村產業文化、認識生態、品嘗當地料理。 高雄市教育局副局長黃盟惠頒獎時表示,祖父母節活動不僅讓孩子從小培養敬老、親老的品格,也更加重視家庭世代關係,落實家庭核心價值、倫理及品德教育,藉以喚起各界對親情、孝道與敬老尊賢倫理的重視,珍惜與家人的相聚時光。
以賓州大學團隊 5 月公布在《 Nature Electronics 》的最新研究為例,工程科學與力學助理教授 Saptarshi Das 就進一步結合了石墨烯(Graphene)的諸多特性,開發出一種新型低功耗、可擴展及可重構的 PUF,在面對 AI 攻擊時也能保持顯著彈性不易被入侵。 他也說,其他資安長需要向董事會報告的事情,則包括:是否有其他可能造成資安隱憂的事件,或者是希望董事會同意重大的資安投資項目。 但如果是資訊部門在組織中相對弱勢,很多時候都是由業務單位主動提出需求,資安長此時關注的部分,應該偏重:確認資安需求不會因為業務單位的要求而消失。 儀式由三位就讀國小、高中及大專的同學穿著瑪利歐造型的服飾,象徵性的跳擊磚牆,並邀請與會來賓拿著代表各項能力及學習資源的星星、蘑菇與金幣手板上台,象徵在孩童學習的路上,家扶中心與社會大眾始終能及時地提供不同階段所需的學習資源與支持,以行動陪伴朝夢想前進。 由於邁向ZTA並非一蹴可幾,因此NIST在這份標準文件的最後(第七章),特別提供了導入ZTA的步驟建議,讓企業對於ZTA的導入更有方法。 而在這PEP的背後,將會藉由控制層所相應的政策決策點(PDP)來判斷,而PDP內部本身包含兩部分,分別是負責演算的政策引擎(PE),以及負責策略執行的政策管理(PA)。
查士朝: 相關新聞
「我們在不知不覺間同意讓手機變相成為行蹤跟監裝置,但直到今天我們對現況仍然沒有其他選擇-使用手機等於同意接受跟監。」PGPP 研究者 Barath 查士朝 Raghavan 表示。 另一位研究者 Paul Schmitt 則進一步指出,現有通訊網絡的問題在於身分驗證與提供通訊服務使用的透過相同的管道進行。 不僅讓電信商能利用這些敏感資訊尋求商業利益,也讓駭客有機會從外部透過技術取得使用者的敏感資訊。 查士朝 新冠肺炎疫情在國際間蔓延接近兩年,疫情前期政府推出「電子圍籬」系統,透過手機監測居家隔離者是否違規外出,卻也衍生出人民隱私遭到侵犯的討論。 即使關閉 GPS,日常手機在與周邊基地台交換數據的過程中,就需要提供裝置身分識別與位置資訊。
「解決問題的關鍵在於,如果要希望保持匿名性,又要怎麼讓通訊網絡驗證你是合法的使用者?」Barath Raghavan 說。 為了將身分驗證與網路服務的過程拆開,PGPP 使用了加密標記(Token)與代理伺服器的概念。 而所有用戶第一次連接到基地台時,使用的是一樣的 SUPI/IMSI,讓使用者連結到代理伺服器的驗證畫面(PGPP-GW),並以加密代幣進行驗證。 過程中電信商與駭客只能看到所有用戶都使用同樣的 SUPI/IMSI 與 IP 查士朝 位置進行連網,如此一來,身分識別資訊與基地台資訊就能夠完成分離(圖二)。
但 5G 訊號使用更高的頻段,提供高傳輸速率與低延遲服務的同時,也伴隨通訊距離、覆蓋範圍較 4G 小的限制。 為了確保通訊服務便需要提高基地台密度,等於變相讓電信商與駭客能更準確定位使用者的位置。 他指出,如果這個產業對資安長的要求是,必須完成一些資安稽核項目或做資安檢查時,資訊長兼任資安長就不見得適合,因為這些項目可能都是資訊部門開發或部署的,考量其資安稽核或資安檢查的獨立性,資安長獨立於資訊長之外或許是比較好的選擇。 不過,他強調,資訊安全的工作一定是要資訊部門配合,因此,資訊長和資安長一定要能合作才行。 資安從原本不受重視,到現在,已經成為必須跟董事會報告的重要事項之一。
