作者:張家瑜
資安管理:公司治理的核心能力
資安管理涵蓋一系列安全性程序和工具的導入,確保企業資產在實體和數位環境的安全性、資料存取控制、及網路安全性,防範各類攻擊或中斷事件。
根據Google旗下資安業者Mandiant於今(2023)年4月發出的報告M-Trends 2023數據指出,駭客從入侵開始到發動攻擊(global median dwell time),時間已縮短至約2週,顯示攻擊者在利用自動化程式從事犯罪活動的效率已經大幅提升。因此,國家和企業都需採用更前瞻的做法,確保能對自身的數位資產和系統進行全面的風險掌控和管理。
一個機構若想要有良好的治理表現,必須對內檢視自身的資安管理能力是否全面,而資安主管及團隊則必須擁有積極且彈性應對資安事件的能力,也要隨時掌握全球的攻擊趨勢、法規遵循、及防禦方式等趨勢發展,幫助管理階層了解目前面臨的各項威脅來源、攻擊目標、回應機制、評估必須投入在加強回應及防禦的成本等資訊,方能長期、有效地降低損失。
量子計算對現有資安技術的挑戰
據各國研究,粗估在最快5年以後,就可能研發出能破解現行公開金鑰密碼學(Public-key cryptography)的量子電腦,加重數位攻擊對一個組織的威脅風險;而後量子密碼學(Post Quantum Cryptography,簡稱PQC)就是一種繞過量子電腦的優勢去設計的加密演算法,利用代數結構特性,讓量子電腦無法發揮其強大的運算能力優勢。
美國國家標準技術研究院(National Institute of Standards and Technology,簡稱NIST)自2016年起即就PQC標準化流程向全球徵求演算法,進行適合美國標準的篩選流程,而此標準也將影響全球PQC演算法的發展。NIST於今年7月公布了第一批入選的4個PQC演算法,8月至9月間陸續公布這4個PQC演算法的標準並徵求全球專家意見,預估2024年將正式發布標準,供商品化使用。同時,今年9月,IBM Quantum、微軟與美國非營利智庫The Mitre Corporation、英國密碼公司PQShield、Google的兄弟公司SandboxAQ和加拿大滑鐵盧大學(University of Waterloo)組成了一個聯盟,共同解決PQC相關問題。
由此可見,業者若能即早開始規劃量子安全遷移策略,落實ZTA資安管理架構,便能建構應對後量子時代資安攻擊的防禦能力。以下針對如何提升平時的監控和分析資安事件能力、以及規劃並實踐量子安全遷移策略等兩個面向進行討論。
數位靶場在資安檢視與戰隊打造中的應用
至此,業者迫切需要設計更積極的資安防護機制來回應不斷變形的資安攻擊方式。利用ISO/IEC 27001、包含臺灣在內的在地化資安內控相關法規、以及NIST的網路安全架構(Cybersecurity Framework,簡稱CSF),業者可先自我檢核識別(Identify)、保護(Protect)、偵測(Detect)、回應(Respond)與復原(Recover)等五大核心能力的現況,針對式地培訓內部資安團隊即時應對數位攻擊的能力,建立多重資安防禦架構。
此時,業者可採用數位靶場實戰服務(Cyber Range Service),藉由各類數位攻擊模擬情境的演練,提升業者因應網路攻擊的防護知識,培養具攻擊思維的高階資安防護技術與資安應用之整合能力,阻擋進階持續性滲透攻擊威脅。不論是自行建置數位靶場、或是租用第三方業者的靶場服務,數位靶場服務可以有效地測試內部資安防禦能力,找出可能存在的漏洞,也能用以研究新興的資安威脅和攻擊手法,讓內部資安團隊能漸進式升級防禦力和應對力。
位在臺南的微智安聯(Shield eXtreme)以成為全球資安演訓與駭客情資研究領導團隊為目標,打造數位靶場服務X-Range,提供個人與團體演訓模式,用戶可於平台上挑選方案,搭配擬真的機構網路環境、實際案例分析、評分系統及模擬企業攻防演練等機制,不只能提升業者的資安實務防禦力,也能作為大專校院的教學輔助工具,讓學生接觸實戰環境,加強實戰能力。同時,微智安聯也提供情資預警服務X-Threat,建置全球誘捕網路,透過欺敵技術建置弱點場域誘使駭客發動攻擊。由於微智安聯與多個國際資安組織已跨域合作,可進行情資交換,並透過惡意程式沙箱分析加值情資,確認情資有效性驗證,業者可搭配情資與演練等兩項服務,全方位地了解自身最易被攻擊的標的及弱點,靈活運用各項手段應對潛在與即時的攻擊。
量子安全遷移的策略與措施
建構與強化基礎防禦能力之餘,為因應Y2Q的來臨,不只美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency,簡稱CISA)提出的企業六大升級建議,亞太各國也陸續發布國家級策略,例如日本於去年4月更新了《量子未來社會願景》(The Vision of Quantum Future Society);澳洲國家量子諮詢委員會也在今年5月發表首份《國家量子戰略》(National Quantum Strategy);南韓則於今年宣布要在2035年前投約23.3億美金擴增國內量子研究人數達至少7倍,支持量子相關技術的研發。
臺灣預計5年(2021至2025)總投入量子研究相關研發經費約2.8億美金,讓臺灣在國際上繼半導體產業之後,持續在未來量子世代佔有關鍵角色。參考了IBM等國際業者近幾年「打群架」的聯盟策略,今年8月1日在池安量子(Chelpis Quantum Tech)的促成下,成立臺灣及亞洲第一個量子安全遷移中心(Quantum Safe Migration Center,簡稱QSMC),期待以民間之力,建立一個密碼生態系統,引領和推動國內及國際PQC市場的發展。
包含數位靶場在內,市場上已有諸多測試自身基礎資安防禦能力及後量子安全能力的產品,對資安業者而言,量子安全遷移工作將提升現有資安產品的量子抵禦(quantum-resilent)能耐,利於長期永續的銷售策略;對各個機構及產業而言,越早開始關注後量子安全議題,透過各種資安放與能力的檢測與組織內及不同產業生態圈內的量子安全遷移策略規劃,輔以ZTA的架構基礎,則有助於公司治理的優化,保護公司資產及商譽。
參考資料
- M-Trends 2023 Report。
- 新創公司訪談:池安量子(Chelpis Quantum Tech)、微智安聯(Shield eXtreme),聯訊資安(SatisGuard)。
- 黃彥棻,2023年1月16日,《【2023資安趨勢5:CISO】有獲利的公司,年底前都要設立資安長》,iThome。
- 羅正漢,2019年9月26日,《【快速認識NIST網路安全框架】從五大構面評估企業資安防禦現況與目標》,iThome。
- 姚荏富,科技大觀園,《是否有密碼之盾能夠擋住量子電腦之矛?後量子密碼學的前世今生 — — 匯智安全科技陳君明董事長專訪》,2021年9月30日。
- Tristan Greene,Cointelegraph,《IBM, Microsoft, others form post-quantum cryptography coalition》,2023年9月27日。
- Matthew Dobbs、Itzik Kotler,2023年1月24日,《Everyone Wants to Build a Cyber Range: Should You》,Security Intelligence,IBM Security。
- 新南向科研合作專網,《澳洲首次發表《國家量子戰略》》,2023年5月12日。
- Matt Swayne,2023年6月29日,《South Korea To Invest $2.33 Billion In Quantum By 2035》,The Quantum Insider。
- The Government of Japan,2022年5月31日,《Touching the Cutting Edge of Quantum Technology in the Homeland of the Superconducting Qubit》。
- 史書宏、黃紫緹,2023年8月22日,《抵禦量子電腦攻擊 池安量子致力打造數位安全未來》,台灣英文新聞。
