臺灣資安大會邁向第七屆,現場除了多項專業議程與資安能量展示之外,讓企業能夠一次掌握最新資安技術與瞭解資安解決方案,特別的是,今年大會還特別新規畫Cyber Talent資安人才論壇等一連串活動,要讓未來資安人才對於職能方向及發展,獲得寶貴的經驗,同時大會並擴大CYBERSEC Playground規模,讓現場所有與會者都能透過趣味方式,來體驗與接觸資安觀念。

對於資安人才培育,一直是近年政府與產業都關注的議題,如何讓未來人才瞭解企業端與資安產業的人才需求,進一步關注資安產業趨勢與職能需求,成為當務之急。今年首次在臺灣資安大會舉行的資安人才論壇,共舉辦18場演講,具有多元面向是一大特色,透過產業現況、職能與職涯剖析,以及專家座談與經驗分享,讓對資安有興趣的人與職場新鮮人,更容易找出自己的發展方向。

畢竟,資安領域技術範疇相當廣,必須檢視自身在技術面技能的興趣與不足之處,而在專業技能精進之外,興趣、心態與產業概況等不同因素,也都會是資安新血成就未來人才時所需考量。而現場也有招募攤位,同時促進人才媒合的機會。

另一方面,為了引起更多人對於資安的興趣,以及提升大眾資安意識,今年CYBERSEC Playground提供了7大活動,讓現場與會者都能藉由遊戲形式接觸資安觀念。今年新增5項,包括「Cybercans:資安人生物語」、「1337 Operation搜索實境」、「Who's Lily?」、「SSS的奇幻冒險」與「Phishing Buster釣魚剋星」,而去年臺灣資安大會上即推出的CyberWar資安桌遊大戰,以及CYBER IQ數位帝國保衛戰,今年仍持續舉行。

可別小看這樣的遊戲,內容其實非常具有巧思,將生硬的資安知識與技術轉化成遊戲/競賽來推廣,透過寓教於樂的方式,讓玩家在遊戲過程中獲得收穫。

將安全模型CDM概念融入桌遊,要讓玩家更懂企業資安防禦規畫

要讓企業了解資安防禦投資概念,以及如何實現?奧義智慧設計了「Cybercans:資安人生物語」,這是一款依照大富翁遊玩形式並融入企業資安觀念的桌遊,特別的是,當中引入了安全模型Cyber Defense Matrix(CDM)的觀念,讓玩家在遊戲中也能瞭解CDM的應用,可以更懂得如何讓防禦做得更有效。

這是奧義智慧繼去年推出Cyber War卡牌類桌遊,並將MITRE ATT&CK資安框架融入遊戲概念後的另一力作。

資安人生物語這款遊戲的玩法並不複雜,如同大富翁,依骰子點數前進,走到格子抽起對應的卡牌執行指令,而每個玩家的角色,是扮演企業資安決策者,思考該如何配置策略抵禦攻擊。奧義智慧說明,遊戲一圈等同一年,如同模擬資安從業人員生活,這也是遊戲取名為資安人生物語的原因。

由於大富翁的玩法多數人都能理解,根據奧義智慧的說明,玩家都會拿到一張CDM矩陣的卡片,只要稍微先認識CDM 矩陣的五種資產類別(設備、應用程式、網路,資料與人員),以及攻防中的五個階段(識別、保護、偵測、回應與復原)即可,就算是不懂資安的人也能遊玩。當然,對於已經熟悉資安與CDM的人,玩起來會稍具優勢,能更快地上手與找到樂趣。

如何從遊戲中認識企業防禦概念呢?基本上,遊戲中每次發生攻擊狀況時,玩家可依照手中的防禦卡來阻擋。舉例來說,如果玩家沒有購買「裝置」類別的防禦卡,在發生針對裝置的攻擊時,就會損失慘重,而這樣的互動,可以讓玩家理解需購買不同資產的防禦,以及發現針對某些資產類別的攻擊較多時,自己需花費多一點成本去防守,之後並體認到需要購買不同階段的防禦。奧義智慧表示,當玩家想把這款遊戲玩得更好的同時,其實等同於在利用CDM的概念去思考,如何把防禦做得更有效。

特別的是,我們看到遊戲有一些趣味、反映現實狀況的設計,例如擺放著防禦卡、攻擊卡、事件卡與新聞卡這4類型卡片,走到農曆春節雙十國慶格子需翻起兩張攻擊卡,奧義智慧表示,這呼應現實中長假和政治活動的期間,臺灣會遭受較平常更多攻擊的狀態,同時,也有臺灣資安大會與HITCON的格子,讓玩家能多認識臺灣的資安活動。

此外,奧義智慧指出,像是新聞卡中有一張是資通安全管理法的修法,因應必須導入EDR,沒有相關防禦卡片的玩家則因為不合規將暫停行動一回合,還有現實中的重要資安漏洞,如ZeroLogon、Meltdown、HeartBleed、ShellShock等,卡片上有都有相關描述讓玩家多瞭解。

在資安攻防桌遊體驗區中,有一款名為資安人生物語的桌遊首度公開展示,遊戲方式類似大富翁,但結合了安全模型Cyber Defense Matrix,要讓玩家擔當企業資安決策者,思考如何把防禦做得更有效,而每位玩家都會拿到一張CDM矩陣的卡片,以理解五種資產類別與攻防五個階段的關連。

讓玩家透過實境遊戲來體驗企業資安事件調查

另一個由TeamT5杜浦數位安全打造的「1337 Operation搜索實境」體驗區,透過調查勒索軟體事件的遊戲情境,帶來了張力十足的實際體驗與效果,讓玩家對事件調查的想像,可以有更明確的了解。

最特別的是,TeamT5設計了遊戲的Line官方帳號,運用Line機器人串起整個遊戲過程,玩家透過手機就能暢玩,相當別出心裁,並且在大會現場展區布置了新聞事件播報,以及受害辦公室調查到駭客住所攻堅的場景。

以遊戲背景而言,是假設有一家公司遭遇勒索軟體事件委託國內資安業者處理,而攻擊的駭客族群其實相當惡名昭彰,受到FBI關注已久,因此雙方借此機會合作來追查駭客。

當玩家來到本場活動攤位進行遊戲時,只要加入遊戲的Line官方帳號,就能讓玩家成為調查探員,並透過Line機器人以接收FBI調查負責人肯特的指令。例如,一開始肯特會詢問玩家是否看過相關新聞報導?玩家將在攤位上觀看國際新聞,從中得知臺灣一家遊戲公司遭到勒索軟體ColdLock攻擊,並有多家國際業者受害,在玩家向探員回報看過新聞後,就會收到進一步的命令,是要玩家去合作夥伴TeamT5據點(也就是廠商攤位),以判斷該新聞事件指的是那一個駭客組織,之後還要找出操作記錄、攻擊者ID、攻擊者打卡的國家等資訊。

簡單來說,玩家只要回答出正確答案,化身為FBI負責人肯特的Line Bot,就會繼續引導玩家進入下一調查階段,若是答錯,則是會給予部分提示,讓玩家繼續摸索,同時遊戲內容也帶入了大地遊戲的概念,讓玩家在會場中需要跑來跑去。

不僅如此,在這一連串的遊戲過程中,活動攤位後方也布置了受害企業辦公室的模擬場景,讓闖關玩家進入調查,在受害辦公電腦與機房電腦找出線索,看看這家公司是怎麼感染勒索軟體,並解密勒索軟體,最後更是可以揪出駭客所在位址,讓玩家體驗執法人員破門而入的情境。

特別的是,根據TeamT5的說明,他們在現場還準備了防彈衣、槍械等道具,在門外攻堅時,還會設置一個可定時推門的小道具,當玩家順利破關後,主辦方為了讓玩家留下深刻印象,在攻堅場景中,其實架設了多臺攝影機,會錄製玩家破門的畫面,之後將會編輯成先前新聞的報續報導,讓玩家可以保留紀念。

 

在「1337 Operation搜索實境」體驗區中,玩家可以透過自己的手機,加入該遊戲的Line官方帳號,就能透過化身為FBI負責人肯特的Line Bot,依循指示針對勒索軟體事件進行調查。

在1337 Operation活動中,不僅布置了受害公司辦公室的遊戲場景,特別是玩家順利破關找到駭客位置後要進行攻堅時,現場還會透過多臺攝影機錄下影像,將這段影像套用到後續的破案新聞影片中,並透過Line Bot傳給玩家留念。

多元遊戲充滿挑戰性、趣味性與知識性,增進一般人資安意識同樣重要

對於人員資安意識方面,同樣成為今年大會遊戲焦點之一。例如,由主辦單位iThome設計的「Phishing Buster釣魚剋星」,就是練習識別釣魚郵件網頁遊戲,當中包含不少真實的釣魚郵件詐騙內容,目的是提醒玩家,需仔細查看電子郵件所夾帶的超連結,是否不尋常,並學習判斷網域,同時也要知道可從寄件者發現異常,以及知道寄件者可能被偽造的問題。

另一個由HITCON GIRLS策畫的「Who's Lily」,是希望藉由社交工程結合日常生活中,讓與會者體認到一些不以為意的舉動,都可能將自己的資料洩漏,甚至是洩漏公司商業資料。

基本上,遊戲主軸就是要找出Lily的相關資訊,會透過一個線上的問答平臺進行,讓與會者針對問題並嘗試找出正確答案。因此,玩家可以透過公開來源情報(OSINT)方法得到解答,也能在活動期間透過找到Lily本人,來試著獲取正解。

舉例來說,攤位現場布置了Lily的辦公桌,可以讓玩家找到線索,有部分題目也可透過FB、IG找到,目的就是希望一般人體認到保護資料的重要性,體驗到從一些簡單的小細節做起,就可以避免自己資料外洩、甚至是公司商業機密。例如,由於Lily的角色設定是公司資深高層主管,有一道題目是「請問Lily最近想拜訪的客戶?」而挑戰者可從Lily螢幕上的便條紙找到答案,還有題目是「Lily的FB ID是多少?」玩家將可在現場交換名片時,找到扮演Lily的工作人員,進而從名片取得資訊,或是透過HITCON GIRLS粉絲專頁找到曾經按讚的Lily帳號。同時,挑戰者還可以嘗試發送釣魚信件給Lily,從攻擊角度設想你要如何引誘Lily上當回應。根據HITCON GIRLS的說明,這個活動去年在HITCON曾舉辦,不過當時題目偏向CTF資安攻防賽的小技巧,這次則偏向日常生活中大家可能沒注意到的小問題。

另外,還有AIS3所設計的「SSS的奇幻冒險」,更是考驗對資訊有興趣的玩家,遊戲目標是要從5張紙卡中找出一組IP位址,但同時也結合跑大地的概念,讓展場的看板、攤位遊戲、宣傳單具有遊戲的重點提示,而紙卡中也考驗玩家對網路層的理解,也會用上16進制轉10進制等概念。

在「Phishing Buster釣魚剋星」的體驗區中,為了讓與會者對釣魚郵件更有識別能力,透過一封封電子郵件讓玩家挑戰,判斷是正常郵件還是釣魚郵件。

在「Who's Lily」的體驗區中,讓玩家瞭解可透過公開來源情報(OSINT)或在活動現場布置蒐集到資訊,藉此讓遊玩者體認到保護資料的重要性。

在「SSS的奇幻冒險」的體驗區中,玩家從5張紙卡要找出一組IP位址才能過關,當中需運用到資訊相關技術的熟悉度,並且融合大地遊戲的概念。


熱門新聞

Advertisement