编按:近年,供应链资安风险不断增加,且社交工程攻击越演越烈。加上 2022 年底,像 ChatGPT 这样的 AI 工具走入了大众眼帘,但也成为一把双刃剑,已有骇客利用 ChatGPT 来自动撰写网路钓鱼邮件。2023 年,企业应当如何制定相关策略?
戴夫寇尔(DEVCORE)执行长翁浩正 Allen Own 在接受《TechOrange》 Podcast 节目〈全新一周〉专访时指出,除了将资安意识融入到企业体制内,还必须随着外界的变化,不断学习资安新知,让自己变得更强大。
翁浩正在节目中谈论:
1. 2023 年资安重点趋势
2. 企业如何因应「供应链资安风险」与「社交工程攻击」
3. 台湾资安优势
以下为节目专访逐字稿。
《全新一周》主持人戴季全(以下简称「戴」)
戴:哈罗!各位听众朋友大家好,我是戴季全,欢迎回到全新一周。
我们今天邀请到的特别来宾是大家熟悉的好朋友,也是我们资安圈的一把手,我们今天邀请到的是 DEVCORE 的 Allen,就是戴夫寇尔执行长翁浩正,Allen 你好!
戴夫寇尔(DEVCORE)执行长翁浩正 Allen Own(以下简称「翁」)
翁:大家好,季全好,各位听众朋友大家好,我是 DEVCORE 的执行长 Allen。
戴:首先我要先恭喜 Allen 跟 DEVCORE,就是 DEVCORE 现在其实满十周岁了对不对?
翁:是,没错。
戴:好,这是第一个要恭喜 DEVCORE 跟 Allen,第二个是 DEVCORE 不久之前就拿下了全球白帽骇客的第二座冠军,这个比赛叫做 Pwn2Own。
翁:是,Pwn2Own 竞赛。
戴:那 Allen 是不是可以跟大家介绍一下 Pwn2Own 竞赛,我知道是一个很有趣的比赛,是不是可以跟听众朋友介绍一下,这个比赛的形式,以及为什麽这比赛这麽受全球白帽骇客推崇?
翁:其实 Pwn2Own 竞赛算是资安研究人员的一个最高殿堂,原因是因为,它是由 ZDI 这间公司所举办,那它现在已经变趋势(科技)的一部分了。
那这比赛的有趣点是,它每年会公开一系列的目标,例如说是手机、物联网的设备装置,甚至说可能有些更大型的,像是电动车等等,都会是目标之内。
它里面会定义说,如果──因为它是个比赛──如果说有团队拿下成绩还不错,像是我如果有挖到漏洞然後控制它的话,那我可以把这个设备拿走。
那它也会有一个总积分,它会定义说谁是 Master of Pwn,就是说谁才是骇客大师的这种名誉,所以说资安研究人员都在想说,我是不是可以去在这个时间之内,挖掘到越多漏洞,去展现我们团队的能量。
戴:所以 Pwn2Own 那个「Own」的源起是不是说,我只要骇进去那台,那台就是我的?
翁:对,我只要能够拿下它了、我真的能够控制它,那我就可以把它带走(带回家)。
戴:所以它如果是一台,可能比赛中都出现过,这比赛中有出现过特斯拉汽车。
翁:有,有出现过车子。
戴:所以只要能够攻下那台车,那台车就可以带回家;(攻下)手机,手机就可以带回家;(攻下)笔电,笔电就可以带回家。
翁:没错。
戴夫寇尔(DEVCORE)执行长翁浩正 Allen Own 与《全新一周》主持人戴季全
资安已走入「VUCA 时代」,必须随着外在环境,变得更强大!
戴:好,再次恭喜 DEVCORE 拿下台湾史上第二座冠军。
现在 2023 年其实才刚开始没多久,但其实我们看新闻还有大家日常生活,都非常强烈地不管是诈骗,还是工厂被勒索,或不管是晶片商还是代工制造厂被恶意勒索、恶意攻击,这个新闻不管是台面上、台面下都听到这样的事件。
我想要先帮全新一周的听众朋友请教 Allen,如果你要为 2023 年选一个资安重点的关键字,你觉得台湾的企业主以及资安长们,应该要知道,或者是根据这个关键字来规划和执行什麽样的一个重点?这个关键字会是什麽?
翁:我觉得我要给出一个很不一样的答案了,我觉得我们不需要更多关键字,因为其实每年大家都知道资安很重要,资安的议题一直出现,那每年一直在谈新的东西,所以我觉得所有的企业、所有的民众,对於资安已经没有人觉得它不重要,但是大家反而是疲於奔命:今天有一个新的东西出来,我是不是要学习它?学习它会怎麽做、学习它要怎麽样去做防御。甚至说当我做完 A 之後,B 又跑出来了、C 在後面等着我,所以我永远不知道究竟要做到什麽境界才够。所以我觉得我们不需要更多关键字,我们要的是了解现在的情况是什麽。
我觉得有一个军事的用词还不错,分享给各位,我觉得现在这个时代,我只能用混乱来形容,因为攻击超级多,而且这攻击的层级不光是民众会被骇,整个到国家、网军,都有攻击行为,所以说军事用词有一个字叫「VUCA」,我觉得很能够体现资安情况。
通常它是在讲管理学,例如说现在这时代它是有易变性、不确定性、复杂性、模糊性,今天攻击的手法不断变化,包含说攻击者的技术不断演进,再加上我们使用的技术,用来建构系统的技术或框架也不断地在改变,所以一直在变。
再来是不确定性,我不知道到底敌人在哪边,他什麽时候会攻击、用什麽样的手法、攻击哪一些目标,这是完全不知道的。再加上攻击的手法相当复杂,它可能是要串连 A、B、C 三种漏洞才可以达到攻击的行为,那所以对防御来说是更加复杂、困难的,这整个是敌暗我明,再加上资讯的不对称,所以说整个对於防御者来说是很模糊的。
那怎麽样去因应 VUCA 这个世代呢?我觉得重点在於说,我们要开放心态,譬如说我今天知道外界不断变化,那这个变化大家可能会觉得很心慌、很不安,但我们应该要开放它,我们只要知道说我们持续地学习,其实就可以去因应这样的攻击行为,就好像我们在疫情的时代,我们今天知道可能在两、三年前,害怕说我们在外面就会染疫、生病等等,但我们现在知道说,其实它就是一个过程。
今天外面有各种疾病,我知道我只要把我身体的健康、体质改好,那其实我就可以因应外界的变化,进而达到我的强化,所以我觉得心态面是比任何关键字来得更重要,那当然现在很多人在谈资安心态要做内化,例如说我们今天要把资安融入到企业文化里面,甚至有人说叫资安的 DNA,但我也呼吁说其实我们在讲内化的同时呢,外化也很重要。
我们今天在学习的时候,我们今天在把一些资安的概念融入到我们的体制里面,但同时外界也不断在变化,所以我们要把资安作为在不断学习当中,我们也要融入外面的变化,来让我们变得更强大,所以这是我觉得现代大家在做资安应该要注意的事情。
戴:好,我稍微做个小结,也就是说其实这几年下来,你提出来的建议,从 2023 年开始,其实已经不是什麽资安要去重点防御的范畴了。
其实反而 V、U、C、A 这四个字缩写的军事用语,反而是说我们面对资讯安全的威胁,我们要有正确的态度,这个态度包含开放的态度,要知道说这个威胁有各种不确定性、各种不对称,然後手法层出不穷,所以心态上面我们就不是头痛医头、脚痛医脚,而是要先有个开放的态度,知道说资讯安全的威胁可能从四面八方而来,可能会一直不停地推陈出新,所以我们要持续学习,除了内化之外,还要向外了解现况是什麽,有什麽新的可能性或新的事件正在发生,这才是个正确的态度跟心态。
翁:没错,完全就是这样子。
「人」是资安最大的缺口!将每个员工的权限最小化,成为核心观念
戴:好,我把讨论的轴线拉到两个,聚焦到两个比较实务面:就是根据 KPMG 2022 年的「台湾企业资安曝险调查报告」,它指出其实社群网路攻击是最容易被忽略的,包含企业的员工,他们在社群媒体上的大量使用,曝露出来的社交工具攻击风险,已经变成最重要的问题。
员工、工作者可能不经意地就在社群上,留下电子商务邮件,或者是变成骇客攻击的启动点,那当然这後面,前後左右非常多,包含电商、旅游等等,众多产业中其实以金融业情况最严重,因为诈骗说穿了其实就是要骗钱。
就变成说金融相关产业,它最常透过社群媒体去发布这些新的讯息,那用户因为对社群媒体的依赖,很容易轻忽社群媒体这个环节。你怎麽看现在社群媒体网路攻击,以及社交工程攻击的样态?
翁:我喜欢在谈一个现象的时候,从它源头开始谈起。为什麽说社群媒体/网路攻击跟社交工程的攻击会这麽多?原因是因为人是最大的资安缺口,其实在做任何骇客攻击的时候,当然有些团队会选择去进攻网站,但是在国外更多的是,它是不是可以利用人的缺陷来去诈骗、欺骗他?
举例来说,与其我去花数个月去研发一个世界顶级的漏洞去攻击某一个系统,不如我花几个小时,写一个文情并茂、可信度很高的诈骗信,去把员工的帐号诈骗走?
所以说人是最大的缺口,也因为这样子,任何社群平台,或只要跟人有多互动的媒介都会被利用来攻击。
我们也发现到说,假设我们来谈攻击的形式,像是 Cellopoint 全球反垃圾邮件中心它有一个统计说,全球前三大的社交工程形式当中,最常见的是帐号密码的更新邮件,举例来说,它会发一个诈骗信给用户说,你的帐号、密码要更新,那用户可能就会没注意到,他可能就点了,点了之後就会导向一个恶意网站,输入原本的帐号、密码而被骗走;这也是我们很常都会收到的。
再来像我们在 Facebook 上面会看到有假的贴文,或者说有人会假冒成朋友去传讯息,这其实也很多。
比较新一点的像是,最近身边很多朋友都会收到 Telegram,里面会有朋友发讯息来说,叫我们截图,说你的帐号变两个了,你可以截图给我看吗?截图时他就想办法登我的帐号,那就会有个六位数验证码,只要把图片给他,他就会拿到我的验证码去登入,用这样的方式去骗取我的帐号;像这样的形式最近非常多。非常多朋友因为这样而被骗、而受害,这就反映到我们刚刚提到的社群网站、通讯软体,这种跟人有关的其实是很常被攻击的。
那怎麽样去因应像这样的威胁?其实我们都常听到说资安的意识、资安的概念很重要,我们要认知到说这种社群网站、通讯软体是有危险的,把防备心拉高、用这样的认知去抵御:我们会不会被诈骗?
当然企业方面它管得要更多,所以我们通常都会宣导说企业内部要有一些流程,当我们收到哪样类型的邮件时,会注意它的寄件者,或利用邮件平台内建功能去判断它是否为诈骗信件、垃圾信件,因而我们就有一些对应的检查措施,这是我觉得企业都应该要做的。
核心概念是缩小攻击面,所谓攻击面是攻击者,像骇客组织或网军,他们可以介入去做攻击的面积,面积越小,它攻击的成功率就越低、花的成本就越高,所以只要把每个员工的权限最小化,使每个员工只能存取必要文件的话,就算他真的被骗了,他损失的文件也不会那麽多。我觉得这是一个很重要的概念。
戴:之前我们在全新一周有访问到另外一位来宾,他其实也说资安范畴慢慢地限缩在两个领域:一个是技术领域、一个是骗术领域,所以刚刚你讲的很高度共鸣,你讲的资安最大缺口其实不一定是手机、不一定是笔电,其实就是人。你知道光 Telegram 要我截图给他看的,我在这两个月大概就收到 4 个。
翁:真的很多。
戴:这个是属於人的部分,那 KPMG 另外一项报告也指出,其实在这样一个大的趋势浪潮上,除了像你讲的社交工程以人为核心,就是说技术一直推陈出新,但传统上我们所谓的金光党,就是说透过人性或人的弱点去进行骗术,好像本质上都没有太大的变化。
所以的确你刚刚也提出一个很务实的做法或原则,就是缩小被攻击的面,也包含了企业给员工的权限应该要越小越好,不是说要小到他不能工作,而是给予他工作上面合宜、必要的权限就好。
降低「供应链资安风险」这样做:层层防御、盘查再盘查
戴:那另外一个更大的范畴是,现在全球的制造业或供应链,都在快速的数位转型,或甚至智慧转型;根据 KPMG 的另外一项报告指出,企业在 2023 年应该更加关注供应链攻击,也就是关注供应链的安全、上下游的安全。那我想请问 Allen,从你的经验角度来看,供应链目前主要的安全挑战可能包含哪一些?
翁:供应链目前我们常看到的是恶意程式、恶意软体,透过供应链去感染,我们假设以攻击方的观点来看好了:今天要进攻一个企业,当那个企业价值很高,它资安能力一定是比较强的,那我们势必用人的角度去做攻击,那如果还不行的话,就去寻找它的上下游,供应链厂商只要有一个存在重大资安风险的话,其实就可以感染回我们主要想攻击的企业。也有一些数据显示,近两年最严重的勒索软体当中,有七成是透过供应链的弱点去达到攻击、勒索的效果,所以这也代表说供应链的安全挑战非常高。
我们也发现说攻击时会通过技术手段,举例来说我们有很多企业为求开发快速,可能会导入所谓的 DevOps,透过一些大量部署的功能来去加速开发,这类型的机制如果被滥用的话,也变成说我们可以让恶意程式被大量部署,就让攻击变得更便利、更快速。
除了植入恶意程式之外,攻击重点还有窃取系统里面的帐号、密码,或者说窃取原始码,原始码在日後可以做分析,分析原始码当中有哪些地方有弱点,藉以研发出更严密的攻击程式去达成攻击效果。
那刚刚讲了这麽多技术面,我觉得在管理面更困难的是,企业方它无法去确认整个供应链上下游厂商是否安全,所以我们看到很多企业会做厂商管理措施,举例来说,我的上下游厂商可能要通过某些资安标准,或者配合我们去做稽核,或者通过一些资安的验证跟检测,才可以成为我们的供应链厂商,我觉得这都是企业之後越来越大的供应链议题。
戴:如果今天我们的听众朋友是在供应链其中的一环,比较积极的作法其实是搭配刚刚讲的开放心态,一直去学习跟了解现在有哪些新的攻击与潜在威胁,而更积极的作法其实是说,让自己能够及早地去因应跟准备可能会有的资安攻击,那这个做法就包含资安流程上的验证,或者是一些攻防的训练,就是在自己的供应链上下游,能够在自己的客户要求之前就先做好相应的准备。
翁:我可以给一些简单的方针:我们的核心概念是,攻击可能会出现在任何地方,所以企业应该要去想说,如果攻击会发生的话,我们有哪些事情可以先做。
像最近有一个很热门的关键字叫 Zero Trust,今天如果一切都以威胁最大化为出发的话,那我们应该要用最严谨的方式来看待信任,所以说资安防御时要做多层次架构。
举例来说,假设今天要从公司外面进攻到公司最里面的核心主机时,它要经过一层又一层的保护,就是我们传统所谈的纵深防御。纵深当中现在有很多新措施,例如我们刚刚谈到人相关的议题的话,要防止帐号被窃取,我们要使用的像是多因子认证,今天输入完帐号密码之後,还需要一个手机验证码,才可以成功登入我们的帐号。或者说像现在更新的是无密码机制,透过一些生物的辨识来去直接登入我的帐号,这样就不会有密码遭窃取的问题。
流程面之外还有一些更实务面,我们刚刚提到供应链上面很多企业被大量攻击,那也有很多软硬体存在漏洞,而企业方不知道。所以软体的盘点是很必要的,像是说我们企业里面有用哪些硬体、什麽样的厂牌;有用哪些软体,是什麽软体、什麽版本、什麽时候更新的,官方有没有出新的更新?我们安排什麽时候去进行?这个都需要盘点,这个很难靠单一软硬体去达成,都要靠人的机制来去做。
那以企业的方向来看,如何去管理供应商?我们刚才大概有提到一点,我觉得要先了解我们的供应商是谁,像我们在做投资的时候也会看说这个公司是否值得被投资,它的背景、老板是谁、股东的组成等等。一样,我们在看供应商时,它过去所开发的软硬体是否是安全的?过去怎麽样应对资安事件?还有就是以供应来说,我们也可以让它权限最小化,使供应商只能存取必要的网路、主机,也给它最小的权限,而且企业方有权对供应商做稽核,就可以让供应商跟企业本身采取一样等级的资安,这样才能有效保护整个企业。
戴:所以借用你刚刚的概念,像投资会去做 due diligence 查核,今天如果我们要让自己的资安供应链更安全,除了让自己有这样的意识之外,我们对我们的供应商也可以有个资安 DD 的概念,去看他们在资安上面理解到什麽程度,回过头来内部就是硬体、软体、人员,大概分这三个层面来做盘点跟检查。
翁:没错。
「红队演练」就像健康检查,找出企业弱点,再强化资安免疫系统
戴:好,当然最近因为 ChatGPT 让 AI 再度成为大家的目光焦点。
翁:超级热门。
戴:现在甚至已经有骇客利用 ChatGPT 来自动撰写钓鱼邮件,我觉得骇客真的很厉害,当然有很多报告说现在诈骗已经开始 as a service 了,也就是现在连写诈骗钓鱼邮件都懒得写、叫 AI 去写,反正对他来说都是 trial and error 嘛,因为对他来说他还是有成本,他要降低这个成本。
但是我很好奇,随着 AI 新技术的应用爆发,那当然厉害的骇客攻击一定是跟着这些新技术,越多越新的东西、用户就越不熟悉;用户越不熟悉的东西,可以操作的空间就越大。
那其实你们 DEVCORE 也经常呼吁企业要用攻击者的视角来制定、安排风险,或者受冲击的优先次序,不过如我们要让员工具备这种骇客思维,坦白说不是一件容易的事情。
从你们和企业、政府合作的经验里面,你会建议企业如何去深化这种,能够从攻击方或骇客思维的资安策略?
延伸阅读:【企业如何打赢AI 资安大战】ChatGPT 成骇客最爱!NVIDIA 安全长给解方
翁:背後的原因是攻击方跟防御方思维差异非常大,不仅是存在资讯的不对称,也有思维的差异。所以我们这些年不断谈的都是骇客思维。什麽是骇客思维?我们可以换位思考一下,如果说今天各位听众你们是骇客、骇客组织、网军,你们要攻击成功会做哪些事情?反过来看,那就是我们企业防御该做的事情,所以这个核心概念是用攻击方、用骇客方来去思考我们整个防御该怎麽做。
实际上来看,企业可以盘点一下,今天我们有哪些主机、核心系统或交易的主机、存在个资的主机,它应该是骇客最喜欢、最想要攻击的,那哪些主机、哪些机制、哪些帐号可以连线到这些系统?反过来看就会是,这些系统要怎麽样去被保护。
更进一步的是,有没有机会我们扮演骇客/攻击者/网军,实际地攻击一次,那这就是我们不断在说的叫「红队演练」,不断地去演练、直接去做攻击,我们就会知道说我们整个防御的环节、机制、流程、人员是否都有照我们的规划去做好防御。这样的一个演练会是最真实,也可以让企业最明白知道,我们整个优先顺序该怎麽样去做排列,也会有效化解资讯不对称。
还有一个议题蛮重要的是,企业其实资安措施很多,我们可能要买防毒软体、软硬体、防火墙等等都有可能,但我们无法知道这些机制它是否是有效的;所以防御措施的有效性也可以透过攻击的行为、攻击的演练来去验证,进而调整资安预算,有些效果比较差的,可以挪到效果比较好的资安措施上面,对於企业资安长来说是非常有效的。
火热的生成式 AI 为我们带来新资安威胁!你的个人装置将变成骇客的游乐场
你真的不怕自己手机上的浏览行为被公开吗? 《TO》特别企划「别让你的生活成为骇客的游乐场」内容,陪你扞卫自己的隐私 >> 抢先阅读
台湾资安社群量能惊人!台湾资安知识如何形成正循环?
戴:你刚刚在讲的时候,我想到一部周星驰很有名的电影,他在里面讲说贪官奸、清官要更奸,意思就是骇客思维或攻击者的视角,也就是说你不要做坏事,但你要知道攻击你的人他是怎麽想的、他想要从哪边去攻入;我觉得大家也可以做个参考。那另外我要从一个比较大的范围来跟你请教、讨论。
台湾不管是因为政治地缘关系,还是因为台湾本身就是个科技岛,是一个很大的……不管是晶片、很多制造商、高科技厂商等等,台湾要去强健我们整个国家的资安体质。当然我们政府也有说资安即国安,也要推出资安的国家队,就是资安应该要在地产业化。其实资安最核心的就是人跟社群,就是说不管是人才的培育,或人才社群可以透过长期的互动跟累积的经验分享,来去让资安的整体能力往上提升。那你看其他国家的做法,你觉得有哪些国家,比如新加坡或韩国,他们有没有哪些做法是值得台湾人学习的?
翁:刚刚提到社群,我觉得台湾有一个很棒的特色其实就是社群。过去台湾有举办蛮多资安研讨会,像台湾骇客年会 HITCON,这些研讨会我们在过去疫情还没有起来的时候,每年都会有很多国外参展者来参加,他们很讶异这些活动主办方几乎都是上百人的志工来去主办的,而且资安的社群或社团都非常活络,也因为这样,台湾资安人才就会从社群里面开始萌芽,我觉得这是台湾一个蛮好的优势:我们有更高的社群感。
当然我们也有很多需要学习的,像我们知道新加坡在资安上投入非常多,2021 年底时以 OT 为重点修订、调整国家级资安战略,因为他们知道关键基础设施一定是网军等级的骇客,主要攻击的目标。
戴:他们真的是军队。
翁:对,既然说这些会是骇客目标的话,那是不是应该以国家的等级,全国由上而下直接去把整个 OT 相关做好,这就有点像是台湾,我们会喊资安就是国安,如果整个国家很重视资安的话,那其实资安才有机会做得好。
那像美国也是资安大国,白宫有强调说资安不是由单一个机构或部门来负责的;它应该是需要民间跟企业一起合作,才有机会做好,像我们刚刚提到供应链的安全,其实整个国家有很多东西并不是政府全权来去做的,一定也会去委托给厂商,因此厂商它整个供应链也会影响到国安,所以在 2022 年时他们发表国家网路安全声明,有说关键基础设施都是由民间企业经营的,所以说企业要加快脚步来去提升资安防御。
像近期我们在讲很多资安案例的时候,我们也看到说美国有油管事件,这就可以证明说,其实网军在做攻击的时候,有机会影响到整个国家安全,所以说更应该要以整个国家的高度来去呼吁说,政府、民间企业、人民应该要怎麽样去做安全。
我觉得美国白宫有提一点非常好:他直接提议、建议厂商在做产品设计的时候就要考虑到资安,那这是我们不断提的叫作 security by design;如果说在初期就有规划资安的话,在後面就不会说我们要去用补强的方式,用补强的方式一定比较辛苦、效果比较差。所以这些都是我们需要不断学习的,我觉得台湾有在路上。
像刚刚我们提到的像台湾的社群、资安人才产生非常多,但需求更多,那在需求不断增加的情况之下,我觉得整个资安市场有大幅成长,台湾企业资安意识有提升,同时我们也因为整个供应链安全,像之前就有个半导体的资安标准,这就因应到说,我们希望能制定一些整个产业可以应用的资安标准,来去保护整个产业的安全。也是因为这些需求的出发,我们需要从攻击者的角度来去看说,攻击者会做怎样的攻击、我们要怎麽建立应对措施,才可以保护整个产业,这就是我们看到台湾未来的走向。
我们公司不断地在做红队演练、攻击演练,那我们认为红队跟蓝队的合作也是未来重点,我们不会说只是做攻击,然後打完就跑,而是说我们的攻击是帮助企业去训练蓝队、训练他们的防御团队,让他们了解攻击方的思维跟手法,才可以让蓝队变得更强,未来 10 年我们看到台湾这种红蓝合作一定会是更多的。
戴:Ok,也就是说从你刚刚举的新加坡、美国政府例子,他们在整个国家层级的案例,我觉得第一个 takeaway 是:资安不是单一部会的事情。你刚刚在讲的时候,我想一想觉得,也对,因为当我们越来越多电动车、智慧车的时候,其实资安就跟交通安全越来越画上等号。
如果说从 OT、从基础建设、从营运的科技去入侵和攻击,智慧医疗或只要能冠上智慧的产业或垂直事业,都会有资安威胁。当用户觉得越方便,或者数位价值越高的时候,它潜在资安风险就会越高。
另外一个 takeaway 是说,它不管是服务或产品设计,甚至公共事业、基础建设的布建,都要在设计的时候就先考虑到资安防护意识跟做法。像我前阵子就有听说一个案例,摄影机被骇客入侵後,就找资安团队来看可以怎麽改,後来发现不能改,因为它的帐密是写死在晶片里面的,所以在设计的时候并没有像你刚刚讲的,其实从人的角度来讲,常常去更换帐密,就是维护个人资安很好的,虽看似简单却成本很低的作法。
所以大家不要懒惰,你要有这个思维,你要去想骇客他会从人的角度来去诈取你的帐密,是最简单的漏洞,从人去拿到漏洞是最容易的去找出这个漏洞,其实就是看出或找出你的帐密。跟你今天这整集谈下来,我觉得逻辑上的连贯性非常强,也非常清楚。
翁:我觉得有一点更核心的概念,大家可以听听看。我们一直深信,这其实不单单是资安,我们只要相信一件事情会发生,那这就是最好的防御。我们今天相信风险会发生、骇客攻击会越来越多,自然这个意识会在我所有做的事情上面,我们在设定密码的时候,我就想到说密码太简单,可能会被攻击;或者说我用了以前用过的密码,可能已经外泄过,我是不是应该要用新的密码?
有人会说这有点像是被害妄想症,但我觉得并不会只是这样子,因为我只要知道它会发生,我就自然会有个应对方法,意识提高後,自然整个措施、整个企业,甚至整个国家都会变得更安全。
戴:Allen 你刚刚讲这个概念,它其实是跟安全有关的所有事情都应该可以套用,不管是要用 ZTA 零信任架构来去描述,或者说用比较白话文的方式去讲,我们假设会出事,那我们应该要做什麽?这个也跟我们的国防思维在概念上非常一致,就是说我们不是要追求战争,但我们要假设如果发生战争的时候,我们准备好了没?看似有点矛盾,但逻辑是非常通透的,因为你有准备反而就越来越不会发生战争、你有准备反而能够有效降低资安风险,而不是等到资安事件发生後,你再来头痛医头、脚痛医脚,那个代价会非常高。
翁:没错,就是这个样子。
戴:那最後我想再跟你请教,你投入台湾资安领域其实非常早,而且台湾整个资安社群你也都贡献非常多。我知道你们公司是不是在今年会举办 DEVCORE Conference,大概在三月时会举办?
翁:对,没错。
戴:可不可以跟我们听众朋友介绍一下,这个活动内容是什麽,什麽样的人应该要来参加这场活动?
翁:我们最早是在 2019 年时举办第一次的 DEVCORE Conference,最初想法是……我们非常期待把我们在资安攻击方的发现,分享给大家。因为我们一直认为说,越了解攻击者,我们防御就会做得越好。
我们看到台湾当然有很多资安研讨会,有很多很顶尖的、最新的资安研究,但有没有是最贴近真实的、真的会发生的攻击手法、真的会发生的技术,我们想要在这个研讨会把它讲出来。
2019 年我们办的那时候是第一次试办,其实大概有 1000 多位报名,我觉得是非常踊跃。
我们在 2022 年是满 10 周年,我们就在今年 3 月 10 号跟 11 号,我们举办两场,一个是企业场、一个是骇客场。
3 月 10 号的企业场是完全免费的,大家只要填表单,我们审核後就可以让大家来参加;我们谈给企业听的是,当企业要做防御时,有哪些资安策略或该注意的事情,这个是给企业的资安管理层,或者是说资安防护人员来听的一场。
那骇客场的话,基本上我们谈的是技术,我们不会谈太多策略面或企业方的事情,专注谈说我们在这些年来,在红队攻击技术上面有哪些新的发现。
举例来说,企业有哪些最常见,可能包含内部网路的威胁,或者是说我们如何去入侵物联网设备,例如智慧门锁;如果今天门锁被骇了,门会自动开,那这对於每个人来说都是重大议题。又或者说我们在才刚结束的 Pwn2Own 竞赛,我们的研究团队是怎麽样做研究的,有哪些规划跟发现、整个参赛的心路历程,是怎样获得冠军的?所以我们的骇客场,适合对资安技术有兴趣的一些专家,让他们来参加、来听。所以我们分成这两场,就是希望能分别满足管理层跟技术团队。
戴:所以第二天真的是给骇客?
翁:是,那当然我们也深信说知识跟技术是有价的,所以企业场免费、骇客场是会收费的,那也希望说这可以促成台湾知识价值的正循环,也期待未来我们都可以持续举办这样的会议。
戴:好,我相信从社会上,或者政府、企业、个人,其实这些资安事件真的就像我们今天整集聊下来的,就是层出不穷、手法推陈出新,那相关的 DEVCORE Conference 细节资讯,我们会放在节目资讯栏里面,也让感兴趣的听众朋友,可以直接在我们的资讯栏里面看到细节。
⧫ 最让骇客头痛的资安防御机制是什麽?推荐你参加「DEVCORE Conference 2023 – 3/10 企业场」:https://reurl.cc/OVqGW9
你喜欢这个内容吗?收听并关注〈全新一周〉,专属决策者的 Podcast!从正在发生的变化中,找到未来线索,创造全新世界。
别错过近期收听率最高的节目:【专访】把握监视器「去中化」浪潮!简立峰:中美矛盾下的「资安需求」,将成台湾好产业
(责任编辑:游绒绒)