展望2017，攻防不对等，资安局势只会更加险峻

周峻佑

于3月14日假台北国际会议中心举办的2017年资安大会中，面临进阶持续性威胁（APT），台湾威瑞特总经理吴明蔚认为，藉由过去2016年发生的资安事件，我们应该要痛定思痛，在2017年对症下药，针对要点强化防护能量。

吴明蔚说，从全世界的角度来看，资安攻击与极端气候、天灾、恐怖攻击、难民迁移、金融危机等情势，都属于全球性的灾难，甚至大环境变化，也会间接影响资安情势，例如，因为金融危机而失业的人，可能为了讨生活当起网路骇客。

尤其是资安攻击完全没有地域的界限，骇客可以远从地球的另一端，直接对我们发动攻击，因此，我们不得不重视资讯安全。正所谓资安即国安，吴明蔚指出，台湾的资安高风险族群层面其实相当广，包含第一、二级政府机关就有653个，而高竞争力科技公司共有814家，还有超大型企业（7家财星500大与47家富比士2000大企业）等。此外，台湾的大专院校也属于高风险族群，总计有159家。

然而，全世界在资安防护上，都面临到3大挑战：教育、人才与策略问题，而这些面向其实都与人息息相关。吴明蔚以Gmail的两阶段验证机制与异常登入通知功能为例，在使用者没有相关常识的情况下，骇客很可能只使用了社交工程就登入受害者的信箱，根本不需发动其他攻击。

在现在资安情势升温之下，根据国际电脑稽核协会（ISACA）在2016年的统计资料，全球有83%的企业缺乏资安专业人才，总计有100万个职缺，但企业召募到的人才只有三分之二能胜任。吴明蔚说，若是没有资安人才管理，企业所採买的设备，最终就是拿来空转浪费电力。

2016年资安攻击爆增，防御却需花费远超出攻击数十倍的不对等成本

回顾2016年，光是去年一整年出现的恶意程式就有多达6亿个，比起前一年多出许多。每天平均有111万人将可疑的恶意软体，上传到VirusTotal网站分析，其中超过三分之一是有问题的档案，显示许多人无法完全相信他们的防护措施，需要参考其他防毒引擎的分析结果。

不只恶意程式大量出现，由于比特币的出现，网路攻击的强取豪夺也更加猖獗。更糟的是，防护的成本相当高，吴明蔚说，以今年2月份券商遭受DDoS攻击事件来说，要透过国外代打服务实行DDoS攻击，一个月只要15美元，但防护的成本，很可能需要高达15元比特币。

同样的情况，也发生在零时差漏洞的问题中，基本上，2天后才能得到修补，但对于有心人士而言，这段时间空窗期就能做相当多事情，例如埋下后门。

针对遭受攻击的当下，企业因应需倚重资安人员

因此，针对2017年的防护策略，吴明蔚认为，用对方法比添购防护产品更加重要。以美国国家标準技术研究所（NIST）指出的5个面向而言，防护周期可区分为3个阶段：事前、事中、事后。吴明蔚认为，事前的防御与事后灾害复原，企业在这些方面的相关机制都已经相当成熟，但当面临遭受攻击的当下，从发现威胁到紧急处理时，应当如何应变，他认为是企业目前较无所适从的一环。

他举出Verint提出的事中处置思维，首先，就必须透过各式设备收集，然后统整后成为结论，让人可以执行调查。最后才能有效因应。

吴明蔚也说，他希望未来企业能善用高科技，在拥有越来越设备时，能够更加省时省力，同时发挥加成的防守效果，避免像台湾发生重大社会案件时，要求警察加强特定区域巡逻，不只耗时也影响其他区域的防护力。要达成这样的目标，企业必须重视资安人才，才能产生效果更好的防护。