【資安人才大聲公】讓前輩親口告訴你

「講到Panasonic,大家很容易聯想到是一個專門做家電設備的超大集團,但可能沒想過,這樣的家電廠商,如何做資安?」現為Panasonic IoT威脅情資研究員的賴婕芳,一般人對資安的想像,常常是金融業、電信業或網路公司中,較少聯想到家電、電子產品製造商,這也是她當初進入Panasonic之前,未曾觸及的領域。

賴婕芳過去曾是臺灣資安社群HITCON Girls的共同創辦人,也曾在行政院國家資通安全會報技術服務中心擔任資安工程師,具有APT威脅獵捕、惡意程式分析相關經驗,也在博科通訊系統擔任過軟體工程師,2019年進入Panasonic任職,從IT跨足到IoT資安研究的領域。她表示,成為IoT威脅情資研究員,是自己職涯發展過程中的一大轉變。

一個資安實驗室、三大資安團隊,Panasonic如何做資安?

IoT資安近年來備受重視,從智慧手機、穿戴裝置、智慧居家到智慧城市,處處可見物聯網設備,根據Gartner的預測,物聯網裝置更將在2021年達到250億個,大家較為耳熟的IoT資安威脅,常見如入侵監控錄影機、印表機等設備被駭等案例。

賴婕芳解釋,Panasonic也有許多種IoT產品,除了智慧家電,更有飛機座椅後背的顯示螢幕、車用多媒體主機等設備。因此,IoT資安也逐漸成為Panasonic的一大挑戰。

對資安重視程度的提升,也源自一般消費者對於商品安全性的期待,比過去更高了,從製造到銷售,經手的不同廠商或外部監督單位,都被賦予不同程度的資安期待。「對消費者來講,他期待製造商不只是賣出產品,還要能確保產品的安全性。」賴婕芳指出,甚至,未來若發生資安事件,廠商也得有足夠的能力來解決問題,還要能管控上下游供應鏈,提供足夠安全的設備零組件,並提供自家產品的資安報告給政府,來取得政府對產品的資安防護認可。

「消費者對於廠商有非常高的期待,」賴婕芳表示,這也成為廠商提供更高品質產品的動力,另外還有一股更大的資安推動力是,政府對IoT資安的規範,「法規要求,也會變相推進廠商提升資安防護能力。」

不過,如同大多數的傳統家電廠商,Panasonic也不是剛開始就有足夠的資安能量,為了培養自己的資安實力,他們選擇先與外部資安廠商合作,引進資安防護的產品,後來,才逐漸增進自己的研發能量,更在臺灣設立了資安實驗室,來測試設備、執行資安專案,並進行資安事件的協調與處理。

賴婕芳指出,Panasonic主要分為三個資安團隊,其一是偏向電腦資安事件應變小組(CSIRT)的範疇,專門維護企業內IT資訊系統的資訊安全,包括網站、PC、伺服器、網路、資料與App等。另一個團隊則偏向產品資安事件應變小組(PSIRT)的範疇,也是賴婕芳身處的團隊,主要針對集團出產的設備,如家電、飛機椅背顯示螢幕等產品,提供安全性檢查或資安服務。最後一個團隊則是工廠資安事件應變小組(FSIRT),針對工廠的製造系統與機器的安全性,來進行資安防護。

面對IoT資安威脅,Panasonic也建置了一個IoT威脅情資平臺,來搜集針對家電發動攻擊的惡意程式情資,接著,透過對惡意程式進行特徵分析,再將分析結果用來強化IoT產品安全。賴婕芳表示,當前在資安實驗室中執行的專案內容,正是搜集並分析IoT資安情資,產出可用的報告,除了將資訊提供內部使用,未來更要回饋給社群或其他廠商。

「IoT資安防護,還是比較辛苦的領域。」賴婕芳指出,由於IoT設備的通用性及廣泛性,使得IoT資安解決方案大多十分相似,這類產品多從IT或是資安廠商的角度為出發點。但是,賴婕芳指出,在IoT資安領域,許多企業與廠商,都面臨了不同平臺、難以管理的設備等挑戰。「製造商自己投入的優勢是,可以直接從源頭找尋解決方案。」

這也是為何Panasonic要切入IoT資安的領域,自行成立資安實驗室,就是要以IoT製造商的角度出發,來研發資安防護作法,成為產業先行者來推動IoT資安的發展。

保持對資安的熱情與初心,在職場上培養多層次思考、協作與整合能力

回憶自己為何要成為一名資安研究員?賴婕芳表示,是源自於很中二的理由,因為覺得對抗駭客很酷,就像電影情節一樣,才引起了自己的興趣;同時,也因為資安領域會一直接觸到新知識,且富有挑戰性、趣味性,於是就進入了這項產業。

「真正加入了之後,會發現資安的世界跟外面不太一樣,工程師就已經是另一個世界,資安又是其中更小的圈圈。」賴婕芳注意到,資安圈除了相對小,與其他產業相比,可見度也沒那麼高,常常是被隱藏起來的一群人,參與國內外研討會時,除了常遇到熟識的夥伴,議程中的主講者或技術發表單位,也通常是熟悉的人或組織。不過,儘管圈圈小,卻不妨礙資安技術的快速更迭。

進入職場後,賴婕芳從一開始身為資安服務的提供者,後來轉換到企業資安部門。角色轉換過程中,也讓她對資安的理解,有了更深一層的體會。

她過去在資安服務的供應端,僅從較單一的視角來檢視企業資安,總是認為企業不夠重視資安,應投注更多的資源;直到進入企業以後,她才了解到,「買再多設備、做最好的防護,只要有一個豬隊友,一切都毀了。」換句話說,資安並非只有一個層面,而是應該從軟體、硬體、甚至是員工的教育與管理制度,各個層面都需要考慮到,她現在也已經能以多層次的角度,來檢視企業的資安作法。

在從事資安工作的過程中,賴婕芳也體認到不斷吸收新知的重要性,除了與工作中的其他技術研究員互相分享資訊,由於本身是HITCON Girls社群的創辦人,她也推薦資安人員可以多參與社群活動,或是前往各大國內外資安會議與研討會,來不斷追求新知,還能結交資安領域的同好。不只如此,她也會定期從不同的新聞、論壇與訂閱的報告來吸收新知,同時增強自己對資安事件的敏銳度。

職場上,除了得持續學習新知來精進技術,與他人的協作也是一大挑戰。比如在推廣研究的產品或專案時,不只要統整各方面的資料,更要懂得與其他單位協調,才能共同推出研究成果。但相對的,她也從中獲得許多成就感,比如在進行資安研究時,她喜歡在許多小而混亂的資訊中,找到枝微末節的線索,再將線索們串連成一整個故事,「我自己是喜歡想故事、聽故事的人,將這些線索拼湊起來變成小秘密,是非常有趣的過程。」

對於自己身為資安產業中女性的角色,賴婕芳指出:「資安相對其他產業,對女生比較開放,很多時候是看你擁有什麼能力,把你放在什麼位置。」她在職場中,並未感受到歧視或玻璃天花板的現象,她更以此來鼓勵女性,不需要靠言語去向別人訴說自己的能力,每個人在職場上的高度與位置,取決於工作表現或研究成果。

相關報導

熱門新聞

Advertisement