周峻佑
面對科技的日新月異,企業對於資訊安全情勢的因應,挑戰也隨之而來。趨勢科技全球安全研究副總Rik Ferguson,在趨勢科技2018年CloudSec大會(8月23日)上指出,雖然當今的資安情勢變得更加嚴峻,但新的技術與法規,也同樣帶來了新的機會,因此,在持續演進的數位轉型中,他提出企業所需的資安思維。
Rik表示,自從有了3G網路開始,改變人們的生活,而到了現在,即將出現的5G,提供更為充裕的頻寬,讓更多裝置能夠連上網路,這些裝置的安全性,也值得注意。
Rik認為,特別是在法規上,現在有了重大的進展,各國政府開始重視這些威脅帶來的損害,而且對於企業的罰責相當重──包含了歐盟的GDPR,雖然是針對歐洲國家訂立,但現在全球化的局勢下,其他國家企業想要在歐盟貿易,也要遵守,因此實際上也影響到全球。不只是GDPR,許多國家也開始制訂相關的法規。
而在當今的情勢下,Rik指出,主要的資安威脅包含了來自硬體和軟體的弱點,而常見攻擊手法中,則涵蓋了鎖定加密貨幣的威脅、勒索軟體,以及電子郵件的詐騙(BEC)等。但值得留意的是,隨著情勢的變化,駭客攻擊的目標也會有所調整,像是應用程式的弱點為例,由於不少使用者尋求以Foxit的軟體,替代Adobe Acrobat,Rik根據他們的發現,在今年第1季,Foxit的產品弱點數量大幅增加,超過微軟、蘋果和Google等廠商的數量,僅次於Adobe。
人工智慧的迅速發展,帶來了更嚴峻的資安挑戰
隨著物聯網、機器學習、容器等技術的興起,企業所需防範的戰線也越來越長。而未來的資安戰爭,仍然會圍繞重要的基礎設施,或是國家與政治觀點認同而導致的攻擊。Rik認為,隨著人工智慧與物聯網裝置的迅速發展,像是自駕車、智慧工廠,都是指日可待的應用,然而,隨之而來的駭客攻擊,包含像是遠端控制車輛造成交通事故、或是對於產線發動DDoS攻擊等,勢必是屆時必須面臨的情形。
更進一步來看,未來可以自行思考的殺人機器人,恐怕不再只是電影情節,而藉由人工智慧,要仿造一個人的數位身分,頂替本人在社群網站發言、按讚,甚至是錄製影片和聲音,將來也能幾可亂真,顯然,我們難以阻擋這樣的人工智慧發展趨勢,但未來也要加以防範。
人工智慧與資安帶來的影響,趨勢科技全球安全研究副總Rik Ferguson舉出了2種假想,包含了左上圖可自行思考與判斷,無需人類控制的殺人機器人、而右上圖則指的是使用者死亡後,由人工智慧繼續這個人的身分,延續他的社群活動,好像這個人仍然存活的情形,藉由這2個例子,Rik表達人工智慧未來可能會出現的危害,像是自行發動攻擊,與假冒人類的情況。另外,對於這樣的技術,Rik也認為車輛與工業用的物聯網,會是應用人工智慧的重要範圍。
企業資安策略的考量,應以各種異常情況為出發點
人工智慧的發展,突顯了大量資料的價值,就像是新的石油一般,能成為企業成功的重要關鍵,然而,對於資料的掌握,Rik認為,我們不可能知道事情全貌,要提醒企業,在運用人工智慧等新科技時,尤其要特別留意,可能會受限於程式開發者的思維,人工智慧分析的結果,也可能會有盲點。
因此,在企業資安的思維,也要有所調整,除了近年來資安界所大力提倡,必須假定已經遭到入侵為出發點之外,Rik表示,同樣也要把誤用或是操作不當的情形,列入考量。再者,資安是帶往企業走向成功的過程,而非目標,並應該藉由傾聽像是使用者、執行人員的聲音,進而廣泛吸取更多經驗。Rik引用了達賴喇嘛的名言,強調傾聽在資安上,也相當重要--當我們說話的時候,只是在複述所知道的事情,然而傾聽時,很有可能不經意學到有價值的新知識。
Rik總共提出了以下6種企業需要具備的資安心態:
- 假設企業已經遭到入侵、安全防護已經失效
- 檢查所看到的結果是否如預期
- 總是將不當操作列入評估
- 藉由傾聽學習
- 資安是過程而非結果
- 資安必須是企業營運的重點
熱門新聞
2024-12-02
2024-11-29
2024-12-02
2024-11-30
2024-12-02