iThome
政府積極推動「資安即國安」,也希望扶植更多的資安新創公司,以活絡臺灣的資安產業。例如,資策會日前將原先資安科技研究所(以下簡稱為資安所)執行的科專計畫,交由扶植的資安新創「資安鑄造公司」負責商轉,由原先資策會資安所所長毛敬豪,轉任資安鑄造公司執行長一職,該公司資本額4,200萬元,員工入股1,700萬元,目前有二十多位資安所前員工,共同投入資安鑄造公司的創業路,技術人員占其中的六成。
毛敬豪表示,包括東元集團的東亨創投及矽谷創投,都有意投資資安鑄造公司,目前Pre A輪的資金挹注,預計在2022年農曆春節的前後有結果。
他指出,資安鑄造公司最重要的工作,就是打造與國內資安業者協同合作的資安監控平臺,鎖定醫療、電子商務及高科技製造業供應鏈業者,提供相關資安健檢、資安事件通報處理,以及合規報告等服務。
毛敬豪坦言,以往在法人單位,依賴各種專案和補助所研發的產品,重點比較分散,但獨立成資安新創公司後,面臨嚴峻的市場考驗,每個員工的人/月費用,所帶來的價值也不一樣,現在雖然東元及矽谷創投有意投資,Pre A輪募資會在農曆年前有答案,接下來,也必須看未來五年、十年的長期規畫和估值,除了最基本的需求:能否養活公司本身,還必須做到讓業界願意埋單。
資策會資安所帶著科專項目,獨立成為資安新創公司
行政院資安處處長簡宏偉表示,為了提升臺灣資安產業的活力,就必須要扶植更多資安新創公司,而將資安鑄造公司從資安所移出來,也是希望可以讓臺灣資安產業更多元。
經濟部技術處處長邱求慧則指出,在2017年政府有個主動式防禦技術發展的科專計畫,四年共投入2.5億元;後來,發現5G晶片也有資安問題,於是在2020年投資5G晶片的研發;另外,在2020年投資了智慧製造工業控制系統的資安研發,他說:「過去四年以來,政府總共投資7.5億元在相關的資安科專領域上。」邱求慧表示,技術處支持新創,也有很多法人單位協助產業,做各種技術轉移或製程改良,而資安的確是新興產業的投入機會,他期待,資安鑄造公司未來有機會成為臺灣資安新創的獨角獸。
資策會執行長卓政宏指出,資安產業需要更多能量投入,資策會資安所先前就有很多研究成果,在成立資安鑄造公司後,能帶著之前科專成果到產業服務。他也說,資策會過去拆分出去的公司並不多,如今,資安鑄造公司的拆分方式,也成為未來資策會有技術團隊要成立獨立公司的參考,相關的程序作法會更精進。
資策會副執行長楊仁達則表示,對的團隊、對的題目,加上對的時機,就是成立資安新創的關鍵,他過往跟資安產業沒有太多淵源,但現在題目和時機對了,就是往前走的機會。他以往認為,資安是煞車皮,但現在則認為,有資安才有競爭力,要落實資安的智慧聯防,守好臺灣的網路安全。
資安監控平臺監控範圍廣泛,囊括醫院到供應鏈業者
毛敬豪表示,資安鑄造公司現有的產品,主要是原先資安所研發的科專計畫,也就是針對行動App的資安檢測工具Crystal Mobile Application Analysis & Assessment System(CMAS),可以偵測行動App的漏洞與風險,確保個人資料再行動裝置的安全性。
畢竟,現今大幅開放API之後,使用者行為與帳號都可能遭到外部滲透竊取,許多網銀App若不夠安全,也可能造成信用卡或銀行帳密資料外洩,甚至金融機構與第三方業者串接時,一旦發生配置錯誤,都可能造成個資外洩。對此,他指出,CMAS不僅符合工業局「行動應用App基本資安檢測項目」,也會查驗OWASP的行動裝置十大漏洞(OWASP Mobile Top 10)的檢核項目。
資安鑄造公司打造的資安監控平臺,目前已經鎖定醫療單位,進行「主動式資安防禦與精準快篩」的資安監控,毛敬豪表示,他們會先在閘道端部署NDR,監控範圍內的電腦行為,一旦發現可疑電腦,則部署合作的EDR系統(目前是和TeamT5的ThreatSonar合作),收集EDR的異常資訊後,並回傳資安監控平臺,將產出供資安長閱讀的資安威脅情資,作為相關的資安決策參考依據。
他也強調,醫院需要的是醫療營運的資安報告,透過戰情牆的方式,提供資安事件回報和情資處理狀況;目前費用的計算方式是打開API,計算雲端存取的數量,以及把資料送回來,產生合規報告的費用。
另外,現在也有許多供應鏈大廠開始對其供應商,進行資安稽核。像是台積電有1,500家供應商,他們都必須要符合SEMI的資安規範,但仍有一些規模較小的供應商,例如土建業者等,光是用戶端安全就無法通過台積電的資安稽核。
毛敬豪說,透過資安監控平臺的方式,強化小型供應商的資安合規程度,當配合的業者變得越來越多時,也可藉此達到中小企業資安聯防的成效。他表示,目前針對這類規模較小的供應商,要協助他們滿足供應鏈業者提出的資安規範,短期是計算服務費用,長期而言,若是資安平衡計分卡達到某個分數以上的廠商,會提供資安解決方案的訂閱費用,善用各種開源軟體和硬體設備,組合成適切的解決方案。
此外,為了強化未來5G場域的工控,以及供應鏈資安的防護需求,毛敬豪指出,資安鑄造公司已經和日商簽訂合約,會在其5G專網導入5G資安解決方案,利用AI偵測各種惡意程式;同時,也和高科技大廠展開合作,監控5G工控需要的相關資安解決方案,目的也是要達到資安合規。他說:「三年後,該公司的最終目標,是希望提供5G的ICS SOC(資安監控中心)。」
提供供應鏈業者資安合規評估服務
針對供應鏈業者,他們也開始提供「供應鏈資安合規評估」的資安服務。毛敬豪表示,主要包含資安健檢、教育訓練、顧問諮詢和持續監控等四個面向。其中,資安健檢的內容包括:現況訪談、端點和網路安全性、行動App檢測、惡意連線竊取造成的資料外洩和弱點掃描等;教育訓練主要針對高階主管資安認知教育,像是資安事件案例分享、資安法概述,或是資安技術解決方案分析等等。
而顧問諮詢的部分,主要是規畫可行的資安規範、制度,以及推動時程,也提供合規評估項目所建議的解決方案;至於持續監控的範圍,則包括:EDR解決方案、定期弱點掃描、針對場域情資狀態進行的網路監控情資服務、惡意活動檢視並產出監控月報等。
毛敬豪強調,該公司同時提供供應鏈資安合規評估,目的就是希望協助供應商業者,達到安全軟體成熟度模型(BSIMM),並符合美國NESAS的要求規範,從安全性需求,一路到安全性設計、安全性開發、安全性測試和安全性部署,滿足安全的軟體開發生命周期(SSDLC)規範。
另外,他說,該公司也會運用韌體拆解技術,針對軟體組成元件(SBOM)進行弱點特徵的比對,確保軟體的安全,包括第三方或是供應商軟體組成元件。文⊙黃彥棻
Box:鎖定經營印太海外市場,制定東東東發展策略
許多資安新創公司在創業初期,往往都以臺灣市場為主要經營對象,但臺灣資安新創的資安鑄造公司副執行長王仁甫認為,資安新創公司要能夠長遠發展,經營海外市場是必然要走的路,所以,資安鑄造公司不僅訂定未來五年的里程碑,更在2021年創業初期,正式確立「東東東」海外發展政策。
他進一步解釋,初期30%的精力,會以經營臺灣,以及外島和離島市場為主;而30%的精力,會放在經營中東歐及日本東京市場為主。在中東歐的部分,資安鑄造公司主要以友臺的歐盟國家作為合作對象,例如:立陶宛、捷克和斯洛伐克等,目前也和捷克的醫院有合作關係,並已和位於東京的日本業者洽談合作事宜;至於剩下40%的精力,會放在許多人忽略的中東地區市場。
另外,資安鑄造公司也制定五年業務發展計畫,除了2021年訂定東東東市場發展策略,在2022新的一年,他們希望科專計畫必須落地,完成跨IT與OT的資安監控平臺,包括和數聯資安合作維護的253家的醫院監控,日本製造業的國際資安標準檢測,也必須接軌美國CMMC 2.0版。
2023年,他們鎖定半導體資安監控,重點在針對IC晶片的木馬檢測的「UFO」弱點檢測技術,以及資安監控技術與應用;而在2024年,他們的目標,主要是鎖定供應鏈資安範疇,目的是提供5G及供應鏈資安的維護;到了2025年,則要做到印太資安平臺,要成立印太晶片檢測實驗室,打造更完善的供應鏈資安監控平臺。文⊙黃彥棻
熱門新聞
2024-12-24
2024-12-22
2024-08-14
2024-12-20
2024-12-23