這也讓優秀資安人才的培育與招募,成為今年各界都更重視與關注的焦點。 目前平均一家企業已經有3.5位資安人力,但根據我們年初的調查,每家大型企業今年平均還要招募2.3人,希望能將資安團隊擴編到5.8人的規模,隨著企業數位化越深,資安挑戰和風險日益增加,企業現有資安人力明顯不足,得要多補6成人手才夠用。 根據iThome最新發布的2021年資安大調查,企業對資安人才的需求力度連年提升,今年有3成1的企業都要招募資安人才,每10家企業就有3家開出相關職缺。 資安實務導師(Mentor)制度,結合國內業界與學界師資,以師徒制的方式傳授資安實務技術與資安競賽經驗,培育我國具資安技術實務能力的人才與國際級資安競賽種子選手。 對於O-RAN缺陷的攻擊,鄭欣明總結研究的成果指出,應對攻擊的方法,可從前端協定的設計著手,運用密碼學方法確保認證及傳輸保密性,這是值得研究的課題,甚至能將研究設計規格向O-RAN聯盟提報,有機會發展為規格。 至於流程方面的威脅,這類威脅影響正常的網路運作流程,包括來自內部惡意UE使用者裝置發動攻擊,造成DNS放大攻擊,還有從外部網路針對IoT裝置的惡意攻擊,目的為接管IoT裝置。
除了台科大校園場景都呈現出來外,校園動物也紛紛出籠,像是走到台科大著名的烏龜池都可以看到烏龜在游泳。 鄭欣明說,希望台科大麥塊是一個凝聚台科大的地方,不論是學生、新生、教職員、校友,都可以隨時回學校看看校園,在這邊也能有一些互動,未來也會在這邊辦一些活動,像是新生導覽、藏寶遊戲等。 從無到有打造的過程中遇到不少困難,像是校園建築資料的精確性不好掌握,小到每個道路的寬度,各建築物的組合,建築好拚起來卻出現問題等,因此團隊花不少時間在量測和摸索,最後建設出校園近20棟建築物,校內的圖書館、貝殼聽也能進去走走。 此外,校園動物也紛紛出籠,像是走到台科大著名的烏龜池,都可以看到烏龜在游泳。
鄭欣明: 鄭欣明
其中,少部分表現優異的學員,更有機會獲得導師一對一的進階指導,若受到業界導師青睞,也有機會直接獲得實習或是正職的工作機會,接軌企業來學以致用。 劉俊鴻點明,由於供應量不足,資安工程師在市場上屬於待價而沽的狀態,薪水更有商議空間;但對企業來說,平均3~4家公司要搶一個人,容易面臨找不到人才的處境。 榮成今年首度增列獨董及審計委員會,以強化公司治理與經營管理,本屆董事會成員共9位,新任4位董事中有3位獨立董事,分別為台灣大學財務金融學系教授邱顯比、至德投資(股)有限公司董事長吳志偉及桃園航勤(股)公司總經理吳治富;另一位新任法人代表董事為私募基金卓毅資本執行長、素有併購金童之稱的郭明鑑 。 臺灣科技大學資管系特聘教授吳宗成是AIS3可以順利執行的關鍵人物,臺灣也有許多資安創業家和資安專家都受教於吳宗成。 身為Web玩家,黃志仁坦言,在這場以binary為主軸的競賽中,貢獻有限,但僅有的Web的出題卻頗有新意,第一次對flutter撰寫的網頁有所認識;而參賽的附加價值則是,因為Web題目不多,無形之間也提升逆向分析的經驗值。
鄭欣明表示,針對鎖定流程的威脅,解決方法可透過xApp,對O-RAN的惡意流量進行偵測,或是利用MEC從閘道器阻擋來自外面網際網路的攻擊。 研究團隊展示透過xApp偵測從惡意UE裝置發動的攻擊,偵測判斷O-RAN的惡意流量,自動阻斷惡意攻擊。 鄭欣明2023 另方面,由於RAN是最靠近使用者端的電信設備,RAN的功能切分及軟體化,搭配AI,讓RAN能根據使用者情形作最佳化,以提供更好的效能,舉例來說,利用AI學習,當手機使用者收訊不好之時,由AI控制基地臺配置多少資源給該使用者。 鄭欣明指出 ,原本基地臺寫死的演算法,透過AI能夠即時控管,轉為以數據驅動的智慧控制,以數據決定如何控制。
鄭欣明: 透過韌體虛擬化實現物聯網 EDR
根據報導,由於該公司的IT系統遭到攻擊,所以他們閉了控制系統來防止損害擴大,而這項作法卻導致營運停擺。 接著,駭客利用核心網路做為跳板,發送不當的Modbus/TCP指令到連接某個溫控閥門的可程式化邏輯控制器(PLC)。 如此就能干擾控制閥門的運作,使得煉鋼廠某個流程環節的溫度設定超標。 鄭欣明2023 這樣就可以干擾製造流程,但駭客能做的還不只這樣,他們還可以對核心網路動手腳來造成更大範圍的損害。
- 要對抗這類攻擊,很重要的就是能隨時監控整套系統並快速偵測任何變更。
- 所以,對駭客而言,該系統有多種可能的攻擊手段,例如竊取資訊或造成破壞。
- 隨著駭客攻擊日益複雜且精密,從內部採取一些措施來防範這些風險將更加重要。
- 同時,主辦方也將高中職資安授課課程,設計成教材,提供6個課程模組給教師使用,讓老師在經過培訓與研習後,也能教授初階資安課程,持續擴大體制內的資安教育能量。
圖3顯示此一攻擊情境的示意圖,駭客的目標是要破壞製造流程,駭客可攻擊核心網路主機伺服器的漏洞來進入核心網路。 接下來,看一下一種可能的實際攻擊情境:藉由Modbus/TCP挾持來關閉警示。 台科大校長顏家鈺說,很開心在虛擬世界中也有台科大的校園環境,虛擬的台科大校園環境維妙維肖,成為讓大家認識台科大的另一個管道,期待未來在此也能有各式活動讓大家互相交流。 透過選單樣式的調整、圖片的縮放比例、文字的放大及段落的排版對應來給使用者最佳的瀏覽體驗,所以不用擔心有手機版網站兩個後台的問題,而視覺效果也是透過我們前端設計師優秀的空間比例設計,不會因為畫面變大變小而影響到整體視覺的美感。 繼總統之後,副總統也在資安大會第2天到場,展現政府全力協助國內資安產業發展的決心,也在現場參觀部分廠商,瞭解我國資安防護技術發展。
鄭欣明: 相關連結
表1中的前三種手法(MQTT挾持、Modbus/TCP挾持、PLC韌體重設)是藉由篡改核心網路內的使用者資料來造成實體損害,這是我們研究發現的六種攻擊手法當中特別需要注意的三種。 第四和第五種手法(「DNS挾持」與「遠端桌面攻擊」),不會直接導致實體損害,但可用來竊取機密資訊或提升權限。 SIM卡是IT系統管理員必須管理的一種新的資產,因為這是行動通訊系統特有的資產。 未來,隨著5G專網越來越普及,可預料的是企業為了節省成本,很可能會使用一般通用伺服器來當成核心網路主機。 所以在此次的模擬工廠實驗當中,同樣也使用一般的x86伺服器來當成核心網路的主機。
鄭欣明表示,借調公文日期到2026年7月31日,面對手邊負責的AIS3與CCoE(資安卓越中心)的專案,他指出,可能會因為有角色扮演衝突的問題,都會由其他老師接手;其他AIS3下半年活動只剩臺灣資安大會以及EOF大活動,雖然會換專案主持人,但在專案助理都非常嫻熟的情況下,問題不大。 而資安卓越中心資安人才培育的部份,則由臺大圖資系助理教授鄭瑋接手;至於網路威脅實驗室原本就是陽明交通大學資工系教授黃俊穎主責,也不會因為他的借調而有太大的問題。 透過開放的架構與介面,O-RAN被設計來將既有的封閉電信網路轉型成建立下世代智慧、彈性、客製化且開放的電信網路,但是其引入的新型網路元件與開放介面,大幅提升了被攻擊的可能性與潛在的資安威脅。
鄭欣明: 臺灣科技大學
所以,企業在使用這些套件時也應像使用外部下載的程式碼那樣小心謹慎,務必搜尋一下程式庫的作者,並且檢查一下內容來確定裡面沒有惡意程式碼。 由於建置5G專網時,必須與系統整合商密切合作,因此企業(設備持有人)必須主動要求系統廠商與系統整合商要在容器環境當中建置一些資安措施。 近期許多企業都在嘗試進行一些概念驗證(PoC),目的是希望未來能全面打造其5G專網。 由於這些5G專網所採用的是一般通用伺服器與開放原始碼軟體,因此這樣的網路基礎架構在建置時如果沒有仔細考慮到資安問題,很可能含有嚴重的漏洞。 假使生產線與行動通訊系統之間又存在著錯綜複雜的交互連結,那就會很難套用修補更新,因為企業很可能會為了維持生產線運作而犧牲資安。 麥塊是最近非常受歡迎的遊戲,國立臺灣科技大學資工系團隊利用暑假,打造出麥塊虛擬校園了,校內近20棟建築物已經打造完成,提供虛擬校園巡禮,學生可看到校園景物、烏龜游泳,還可在裡面尋寶、打殭屍,甚至炸掉學校。
正如先前提到的,核心網路是所有資訊處理的基礎,因此對製造流程的機密性、一致性與可用性有直接的影響(參見圖4)。 鄭欣明 所以,對駭客而言,該系統有多種可能的攻擊手段,例如竊取資訊或造成破壞。 但是,駭客可以利用核心網路為跳板來攔截來自感測器的封包,並篡改其中的溫度值,讓溫度落在正常範圍內。
鄭欣明: 只要家裡出現「這些徵兆」,代表你即將否極泰來,好運將至!
要對抗這類攻擊,很重要的就是能隨時監控整套系統並快速偵測任何變更。 鄭欣明2023 因此,建置一套能夠涵蓋各個層面(包括IT、OT及CT)的XDR將有助於大幅降低企業風險。 5G專網與其他網路基礎架構一樣,一旦建置完成並開始運轉之後,就無法輕易改變或翻新。 此一基礎架構對駭客的吸引力在於:他們可經由此處暗中深入到其他網路,而且有充分的時間讓他們完成最終目標。 駭客隨時準備投入大量資源來駭入這套系統,因此企業一旦遭到攻擊,很可能就會遭受嚴重破壞。 換言之,若能了解駭客為何會花費力氣去攻擊核心網路,就能設計出有效的防禦。
台科大也宣布「麥塊校園」成形,幾乎呈現所有校園場景,不只能提供虛擬校園巡禮,還可在裡面尋寶、打殭屍,甚至炸掉學校。 鄭欣明 參與打造的台科大資工系博士生洪晟峯說,平常觀察校園沒那麼仔細,如大樓層數、教室窗戶樹等,透過這次打造,更加了解學校細微處,也更有歸屬感;資工系學生李汭璇也說,最難部分是台科大帆船大樓,有別其他方陣建物,需採橢圓斜面且不規格的形狀,花了最多的時間。 曾龍指出,在指導學生技術時,除了豐富的課程內容,更重要的是教學方法,不是只操作給學生看,還得讓學生實作與提問,這些實務教戰的環節,更是教科書上看不到的內容。 老師們也鼓勵學生積極參與各種研討會,並在研討會後,試著實作聽過的內容,來精進資安實力。
鄭欣明: 數位發展部資通安全署副署長敲定,臺科大資工系教授鄭欣明接任副署長一職
由於開放基礎架構將是未來的潮流,因此企業有必要特別防範核心網路主機本身遭到漏洞攻擊。 這是企業在建構5G專網的核心網路時需要特別注意的問題,因為Linux作業系統的使用者和系統漏洞越來越多。 為了進一步提拔高階資安技術人才,教育部資安人才培育計畫,從2016年開始,推動高階資安人才培訓課程「臺灣好厲駭」。 與AIS3不同,臺灣好厲駭目標培育的是更高階的資安技術人才,因此在師資上,不只集合國內產學界頂尖師資,更透過資安實務導師(Mentor)制度,以師徒制的方式來教學,目標要培育具有資安實務技術能力的學生,以及國際級資安競賽的種子選手。 他表示,O-RAN面臨來自開放性的威脅,在於設計規格上缺乏資安考量,O-RAN聯盟在介面在設計時,考量是以能夠運作為主,然而開放架構容易受到攻擊,開放環境的威脅所對應的是信任度問題,由於O-RAN缺乏驗證機制,CU無法認證DU,DU無法認證CU,雖然聯盟已設立相關的資安工作小組,但現在才要加進去。
動態分析一直以來是有效的安全檢測技術,然而面對多元物聯網硬體架構與週邊設備,自動化的韌體模擬成為動態檢測必須要解決的一大挑戰。 本次課程將聚焦如何透過在學術界開源的相關韌體重置技術(如 Firmadyne, FirmAE 等)將商用的物聯網韌體於虛擬的物聯網系統上運行。 最後我們會介接開源的漏洞檢測技術對於已經模擬成功的物聯網設備做動態檢測與分析。 所以,如果無法即時掌握系統當前的狀態,或可能遭遇的威脅,就無法掌握攻擊可能的損害範圍。 許多製造業都面臨了相同的問題:隨著系統越來越複雜,網路攻擊的手法也變得複雜。
鄭欣明: CYBERSEC 2021 臺灣資安大會
再者,他也坦言,此次比賽也讓他可以透過參賽者的角度,學習到許多出題技巧,了解到主辦方出什麼的題目可能只是在浪費時間,未來如果有機會舉辦CTF比賽時,針對出題內容就可以避免出這樣會浪費時間的題目。 他在現場觀察這些跨世代、跨團隊的參賽選手,雖然中間有一些成員彼此並不認識,但相處起來都很自然、專注度也不輸老大哥;其中,有些曾有打CTF比賽經驗的選手有默契,會依照專長分配題目,新生代選手剛開始默契還沒培養起來,但看著其他團隊的互動模式,也有所成長和學習。 今年,美國大型輸油管營運商Colonial Pipeline因遭到駭客攻擊而停止營運五天。
新世界還捐贈了 300 萬平方英尺土地,以幫助緩解香港社會住房短缺的問題。 李漢銘指出,過去四年,在前任國安會諮詢委員李德財帶領下,落實「資安即國安」的國家資安政策,在組織面上,則有2016年8月成立行政院資通安全管理處;法規面則是2018年通過「資通安全管理法」,2019年元旦實施;防禦面則是在2017年正式成第四軍種的立資通電軍。 隨著疫情趨緩、各國邊境陸續解封,預計在今年8月11日~14日於美國拉斯維加斯舉辦DEF CON CTF(駭客搶旗攻防賽)也即將舉辦實體比賽。 因此,於5月28日~5月30日舉辦的CTF線上資格賽,臺灣聯隊戰隊順利取得預賽第二名的資格,也確認可以於八月和資格賽前十五名,以及去年DEF CON CTF第一名隊伍Katzebin,總計16隊網路好手現場較勁。
鄭欣明: 資安實務導師(mentor)制度~臺灣好厲駭
這些5G專網的漏洞也許不一定會嚗露在網際網路上被駭客利用進行攻擊,但必須切記的一點是,隨著5G專網的基礎架構越來越開放,這些漏洞與攻擊手法就會隨著廣泛流傳。 企業務必了解一點,當採用開放式硬體和軟體來建構5G專網的核心網路(CN)與無線存取網路(RAN),那就會跟開放式IT環境一樣面臨到系統漏洞的風險。 發起人台科大資工系教授鄭欣明表示,看到台大有專屬的麥塊覺得很有趣,因而號召台科大資工系同學們自發性參與,有些同學們沒有玩過麥塊遊戲,也踴躍地熱情投入,最後組成了八個人的團隊,在一個半月的時間內打造出台科大麥塊。 鄭欣明 團隊成員之一、台科大資工系博士班學生洪晟峯分享,平常自己多數的時間都待在校園生活,但觀察的沒那麼仔細,比如說以前不會留意這棟大樓有幾層樓、甚至一間大樓一間教室有幾間窗戶。 透過打造麥塊,讓自己了解學校更多地方,更留意細微之處,對學校更有歸屬感。
根據歷年的錄取人數統計,從2016年44位報名錄取33人,完成結訓有23人,到去年98人報名錄取了66人,加上61位舊生,參與課程的人數已經有顯著成長。 曾龍指出,在這些錄取者之中,少部分的學生更能獲得導師一對一的進階指導,但進階指導的資格,取決於學生是否積極自學、能否了解自己想要精進的方向及其技術程度,並非有意願就能參加。 臺灣好厲駭實務導師制度負責人曾龍指出,沒有產學界的師資,就不會有師徒制的課程誕生,當前資安人才豐沛的教育能量,來自於各界導師的無私奉獻。 除了辦理暑期課程之外,AIS3主辦團隊也辦理了初階CTF比賽「My First CTF」,在每年5、6月舉行,針對讓高中職生與資安初學者來推廣,期許學生能燃起對資安的學習熱忱,4年來更已經累積了超過500位學生參加。 表現優異者更能獲得參加全球資安營隊(Globe Cybersecurity Camp,GCC)的機會。 比如戴夫寇爾執行長翁浩正,就分享了資安技能樹的重要性,鼓勵資安新鮮人要找到自己擅長的技能並深入學習,作為自己立足的資本。
