為了加速臺灣資安產業生態鏈,經濟部工業局今年開始推動新興資安產業生態系推動計畫,在工研院的執行之下,於7月底正式公布將推出「資安整合服務平臺」(SecPaas)。他們期望,透過這項機制媒合產業供給與公私部門需求,促進國內自主研發能量,提升企業資安投入意願,同時也透過補貼計畫以創造需求帶動資安產業發展。

關於這項計畫的具體內容,工研院資通所資深專案經理卓傳育,在昨日(7月31日)於臺北舉行的企業資安主動防禦論壇中,剛好也對此說明了更多的細節。

在整個計畫的推動上,工業局主要採取3個手段,包括打造資安強化示範場域,提供安全軟體開發工具服務,以及鼓勵發展自主新興資安解決方案。

關於「資安整合服務平臺」的功能,主要聚焦在4大服務方案,包括:套裝資安風險評估、安全軟體開發工具、客制化滲透測試與新興資安解決方案,用意是希望建構一個資安整合服務平臺。

到底,這些服務方案的實際內容又是如何?現場卓傳育也進一步說明。基本上,每項服務方案都包含了供給方與需求方,藉此幫助臺灣資安產業,以及一般的企業組織。

●服務一:套裝資安風險評估

首先,在「套裝資安風險評估」的方案規畫中,也就是所謂的資安健檢,工業局將輔導40家廠商落實資安健檢,目的是協助缺乏資安人力的中小企業,可以瞭解自己的資安環境與風險,以擬定資安策略並做出改善。

過去這樣的服務要委外,可能需要一筆不小的費用,在此服務之下,將以套餐組合的內容,包含弱點掃描、GCB檢測與網路環境監控等,以平臺協助議價的方式,並以IP位址數量為分界,例如,200個IP位置以下的風險評估,企業將只需要支付1萬元,大約是市價的1成,其他將由工業局補助。若是企業內有200個IP位置以上,需支付的費用大約是4萬元。對於這項資安健檢評估,可向中華軟協資安推動服務窗口提出申請。

●服務二:安全軟體開發工具

關於「安全軟體開發工具」方案,是平臺上第二個重點,目的是強化產業安全產品開發流程,同時也鼓勵發展資安強化開發工具。

其實,我們在近期的GDPR議題中,已經常聽到Privacy by Design,但不只是個資隱私,也有人提出每一行程式都很重要,都是資安的問題。他們希望藉由這樣的平臺,提供安全軟體開工具服務,幫助大家養成安全開發習慣。

目前,工研院已經邀請資安業者,在平臺上提供源碼掃描工具、弱點掃描工具、滲透測試工具,以及弱點追蹤工具。

對於企業用戶而言,將可申請使用已上架的安全軟體開發工具,平臺上將提供一定額度的免費使用。而對於提供產品的廠商而言,工研院將審查申請上架的產品並採購,每個廠商最高是100萬個授權,透過這種議價採購與補助的方式,提供另類的媒合作法,並希望幫助一些產業新品能有更多試用的機會。

現場,卓傳育更揭露了,已經上架的安全軟體開發工具達15款,其中以滲透測試工具為最多,包括ITRI_PT、OnwardSecurity SecDevice、OnwardSecurity SecFlow、ArgusHack-Carrier、OpenVAS、Nmap、Metasploit、W3af、Burpsuite、ZAP、Arachni與Nikto。其他工具,還包括源碼分析的SonarQube,端點防護的AIR Cloud Platform (Xensor),以及GCB檢測的D-GCB。不過,我們也看到這當中,其實不少是開源軟體。


(圖片來源:工研院)

●服務三:客製化滲透測試

在「客製化滲透測試」方案中,由於臺灣的駭客社群蓬勃發展,國際駭客競賽也有不錯的佳績,因此工研院希望也能將駭客能量變成臺灣產業的特質,而滲透測試就是他們覺得可以經營規畫的方向。

卓傳育指出,前面的滲透測試工具,只是協助企業做到基本的防護,而專業的滲透測試,將能進一步提升資安品質。他們期望鼓勵企業強化核心服務系統或產品滲透測試,當業者來申請時,找臺灣的駭客公司來服務,工業局將會補助40%,最高上限為100萬元。

●服務四:新興資安解決方案

至於「新興資安解決方案」方案,用於鼓勵產業發展新的解決方案,透過平臺上架提供服務給企業,與上一方案相同的是,將提供40%補助,最高上限同樣是100萬元。而企業方,也將能使用到限額免費的資安解決方案,或是享有折扣優惠。

目前,上架的新興資安解決方案,包括了奧義智慧的AI端點防護產品-Xensor端點人工智慧自動鑑識調查服務、安華聯網的SecDevice SecFlow、互聯安睿的IoT AAP物聯網資安檢測工具、承宏國際的網路安全演練平臺GDPR合規檢視工具,以及盧氪賽忒的ArgusHack-Carrier。

最後,卓傳育也表示,他們持續在徵求資安軟體開發工具,以及新興資安產品解決方案,期望有更多能量來豐富這個平臺,將新的解決方案放上他們的平臺,讓很多人有機會來用。

初步統計,現在平臺上已經上架的產品,總共是15套安全軟體開發工具,以及5個新興資安解決方案,他們表示將持續增加。另外,我們也詢問了這個平臺的網站,何時正式開放外界使用,他們表示網站正在進行最後的測試,再等一段時間就會開放。

根據我們會後的再次確認,卓傳育也說明,該網站目前有一些DNS申請作業程序還未完成,為避免之後頻繁修改,所以會延後幾天確認後再發佈。他也坦承,目前網站上的功能只有部分可用,不過,所列廠商上架的工具及產品均已確認談妥規劃上架,但整合完畢時程仍需1到2月,才會陸續上線。另外他也透露,關於安全軟體開發工具,在開源軟體之外,以及臺灣廠商、工研院自行研發,也將會有國際知名的源碼掃描、滲透工具加入其中。

整體看來,在這個資安整合服務平臺的規畫下,協助企業提升產品設備或場域的資訊安全,在某些方面也可說是一種大膽的嘗試。對於資安產業而言,期望鼓勵新興資安產品的開發,目前他們也已成功邀請奧義智慧等廠商加入,不過,未來是否能吸引更多資安業者,還有待時間來驗證。對於企業需求而言,他們也期望讓更多企業接觸資安並帶動相關需求,後續成效同樣值得持續關注。

在7月31日於臺北舉行的企業資安主動防禦論壇上,工研院資通所資深專案經理卓傳育也揭露了更多「資安整合服務平臺」的資訊,初步統計,現在平臺上已經上架的產品,總共是15套安全軟體開發工具,以及5個新興資安解決方案,正在持續增加中。至於平臺網站何時上線,在我們進一步追問下,他們表示網站正在進行最後的測試,將延後幾天確認後於網站上發佈。(圖片來源:iThome)

熱門新聞

Advertisement