Latest updates‎ > ‎

台灣雲端安全聯盟理事長蔡一郎

引入國外資源 強化台灣資安能量

採訪/施鑫澤、林裕洋 文/林裕洋

為求能在第一時間掌握國際資安發展趨勢,自2008年起陸續承接The Honeynet Project、Cloud Security Alliance以及OWASP台灣分會會長,扮演與國際資安組織間的橋梁。



在駭客攻擊手法不斷進化的下,即便多數企業已建置資安防護架構,但仍然無法有效防堵惡意程式入侵,也成為企業邁向數位轉型的隱憂。為因應資安攻擊手法多元化的趨勢,不少資安公司開始將AI技術融入資安防護設備之中,期盼透過深度學習等方式,強化偵測未知威脅的能力,協助企業保護重要資料與商業流程的安全。
台灣雲端安全聯盟理事長蔡一郎說,傳統資安防護架構從網路安全或是系統安全的角度切入,然而在雲端服務、虛擬化架構等技術發展下,現今資訊服務型態已與以往有極大不同,自然也無法保護企業網路安全。現今市面上已有許多以 AI 資安防禦為訴求的產品,然而若要建置一個以 AI 應用領域為主的資訊系統,應該要在規劃設計階段,就得納入資安防禦的架構,才能有效對抗當下各種新型態攻擊威脅。

引進第一手資安訊息提升台灣資安能量

畢業於國立成功大學電機工程研究所密碼與網路安全實驗室的蔡一郎,目前亦是國立成功大學電腦與通信工程研究所雲端與網路安全實驗室博士候選人,同時擔任The Honeynet Project、Cloud Security Alliance以及OWASP三大國際資安組織台灣分會會長,熱衷於資訊安全相關領域,並服務於國家實驗研究院國家高速網路與計算中心,亦為台灣雲端安全聯盟理事長、中華民國資料保護協會監事、數位經濟暨產業發展協會理事(原為台灣科技化服務協會)、台灣資安聯合發展協會常務監事、台灣數位鑑識發展協會理事以及中華民國資訊安全學會監事。
此外,蔡一郎也長期積極投入與推動國內資訊安全領域關於偵測、分析、資安事件應變與誘捕技術之推廣與研究;擁有RHCE、CCNA、CCAI、CEH、 CHFI、 ACIA、ITIL Foundation、ISO 27001 LAC、ISO 20000 LAC、BS10012 LAC、CSA STAR Auditing等多項國際證照,熟悉資訊安全領域相關技術,涵蓋系統安全、網路安全、管理制度、資訊探勘與數位鑑識等領域,經常於產官學研界擔任相關資訊安全教育訓練課程講師,受邀於國內外資訊安全會議演講,目前已有35本電腦資訊圖書著作。
蔡一郎表示,回顧過去10多年,除本身在工作上的需求外,並藉由參與國際資安會議,進而建立與國際資安組織聯繫與合作管道,背後大部份功勞要歸功資安社群、台灣雲端安全聯盟以及資安團隊的共同努力。我之所以會引進大尺度誘捕網路的建置、惡意程式知識庫、雲端安全認證的導入以及雲端資安攻防平台等技術,主要是想要把前述國際間的資安技術帶進台灣,進而應用在許多資安領域的工作上,期望能夠帶動台灣資安產業的整體技術能力。
台灣資安能量強悍 Honeynet在台灣舉辦2018年會
The Honeynet Project是蔡一郎第一個接觸的國際資安研究組織,2008年因工作上的需求,開始投入研究誘捕系統(Honeypot),也接觸到該組織。當時學術網路採用了許多商業的解決方案,也有導入一些自由軟體的偵測機制,但是對於異常活動的偵測,欠缺了能夠自主調校的彈性,最後終於衍生出利用誘捕系統進行網路異常活動分析的技術,在台灣學術網路(TANet)中部署了大尺度的誘捕網路,此舉也成為資安營運團隊重要的資訊來源之一,也曾經在Honeynet Project的全球年會上發表相關的成果。現今該系統每天收集到的龐大日誌,讓資安團隊能夠利用分析平台發掘出許多異常的活動,並配合資安維運中心(SOC)進行事件的通報,讓異常活動能夠受到重視與控制,順利將讓臺灣學術網路殭屍電腦數量得以大幅降低。
蔡一郎說,The Honeynet Project從1999年成立至今已即將邁入20年,是全球性的非營利資安組織,許多研究人員都非常期待每年一次聚會,希望能夠透過面對面的討論資安技術方式,彼此分享網路安全威脅現況與趨勢。我們在2008年向該單位聯絡關於成立台灣成立分會,花了新多時間跟對方溝通才完成。由於The Honeynet Project的台灣會員人數日增,今年年初在我們邀請下,該組織也同意在台灣舉辦2018全球年會,讓台灣會員能夠取得最新的第一手資訊。

借重CSA資源 健全台灣雲端發展

因應雲端服務時代的來臨,在2009年的RSA USA會議中成立Cloud Security Alliance (CSA, 雲端安全聯盟)正式成立,該單位為全球性的非營利組織,致力於在雲端運算環境下提供最佳的安全方案與產業標準的制定。由於當時並沒有太多與雲端服務相關的標準可以依循,於是CSA設立超過20個以上的研究工作小組,從不同的雲端議題,邀集產業界、研究單位以及政府機關共同參與,共同思考如何建立全球性一致標準,提供用戶和供應商對雲端運算必要的安全需求與資安認知、促進對雲端運算安全最佳做法的獨立研究、發起正確使用雲端運算和雲端安全解決方案的宣傳和教育計畫。
「雲端服務開始蓬勃發展之後,除讓企業享受到以使用量付費的便利性外,卻也帶來新的資訊安全問題。」蔡一郎解釋:「在此前提下與國內幾位產業界的朋友,在2011年共同籌組「台灣雲端安全聯盟」,並且在內政部立案,成為正式的協會組織,除了推動雲端安全聯盟的相關業務之外,也與國內其它幾個主要的協會,共同提昇資通訊技術在資安上的發展。」
台灣雲端安全聯盟將主要的核心工作大致分成五大類,分別為協助台灣發展雲端安全聯盟(CSA)所定義之資訊安全框架,辦理大型國際雲端安全會議,推動台灣雲端服務供應商之雲端安全認證,推動台灣雲端安全人才之培育,以及協助制定與推動國內雲端產業昇級。
共享資安訊息 降低資安事件發生
在新型態攻擊手法問世當下,唯有透過情資分享才能降低資安事件發生的機率。目前全球最大資安社群非 FIRST (Forum of Incident Response and Security Teams)莫屬,該組織由全球各國的 CERT (Computer Emergency Response Team)以及企業的 CSIRT (Computer Security Incident Response Team)共同組織,主要是針對資訊安全事件進行通報與應變,另外也對於網路上發掘的資安威脅進行預警通報,希望透過全球聯防的力量,共同降低資安事件與攻擊威脅對於國家或是企業所帶來的影響。
蔡一郎指出,因為本身任職於國家高速網路與計算中心(簡稱國網中心)發現,由於學術網路安全政策向來較為尊重學術自由,因此有許多資安事件都源自於校園網路之中,為求能掌握資安事件與威脅情資,於是國網中心成立資訊安全維運中心(SOC, Security Operation Center)。為求能在第一時間取得國際最新資安情資,於是我們在2014年成立TWCSIRT(TaiWan Computer Security Incident Response Team,臺灣電腦安全事件應變中心),並且在2015年成為FIRST正式會員。
至於在2017年接觸的OWASP (Open Web Application Security Project),主要是以研究與發佈關於網站應用程式安全為主體,同樣屬於全球性的非營利組織,且每隔一段期間會發佈的 Top 10(前十大)資安威脅,也成為許多程式開發者以及網站管理者會用來檢測的項目。因應行動化時代來臨,該組織近年來啟動的研究計畫,也開始跨足行動應用程式安全等相關的領域,以便因應新興資訊科技出現帶來新的資安問題。

資安法通過 有助強化資安防護力

在資安等於國安的思維下,備受台灣企業關注的「資通安全管理法」已於2018年5月31日在立法院正式三讀通過後,待總統公布後6個月內就會正式施行,其中有三種機關類別將分梯次適用該法的規範。第一波為中央政府和地方政府的公務機關,至於其他提供關鍵基礎設施服務的產業業者,則是在該法案公告後的12個月開始適用資安管理法。至於其他非關鍵基礎設施提供者的公營事業,或者是政府捐助達一定比例的財團法人,則在資安法最後一波的適用對象,則在法案公告後的18個月才生效。
為解決非公務機關發生重大資安事件沒有主動通報的問題,在「資通安全管理法」第21條中規定,除保留沒有落實資通安全維護計畫,相關單位會被處罰10萬到100萬元外,對於資安事件知情不報者,罰鍰將從原先的10萬到100萬元,提高到30萬到500萬元不等。
「平心而論,資通安全管理法通過三讀,對提升台灣整體資安防護立會帶來正面的幫助。」蔡一郎認為:「不可否認,目前資通安全管理法著重在關鍵基礎設施的管理,若要因應日益嚴峻的資安事件,條文仍然有許多要改進之處,但若透過逐步強化管理強度的方式,應能適時兼顧企業實行難度與資安防護能力的雙重考量。」

建立媒合人才平台 可帶動資安產業發展

在行政院規劃的5+2產業創新計畫中,涵蓋過去少見的國防(資安)」產業之一環,根據行政院公佈的資料,將透過科技發展計畫及前瞻基礎建設計畫,挹注4年近110億元之經費投入資安相關工作,達成為加速台灣資安產業發展。期盼透過建立國家資安品牌方式進軍資安產業國際市場,達成「建立全球資安產業創業基地,打造臺灣產業優質安全品牌」之願景,預期在2025年資安投入人口數成長至萬人,資安產值達780億元以上。
在推動策略方式,建立需求導向之資安人才培訓體系、 聚焦利基市場並橋接國際夥伴、建置產品淬煉場域滿足產業進軍國際所需實績、 活絡資安投資市場並全力拓銷國際等目標。其中在人才培訓部分,短期以成立資安研訓院,媒合人才就業為重點工作,中程期望能發展特色資安系所,長期則以打造世界級資安研訓機構為目標。
蔡一郎指出,台灣推動資通安全產業發展是正確的方向,但是最大問題在於很多政策都需要長時間執行,才能得到最後的成果。以資安人才培育為例,現今面臨最大問題在於供需無法銜結,很多企業還是招聘不到所需的員工,未來應該強化在人才媒合部分,讓資安人才被企業所有。                       
Comments