网通设备中,Cisco 是相当重要的公司,而在资安面 Cisco 也有着墨。Cisco 负责企业资安的资安业务集团副总裁暨首席技术长 Bret Hartman 认为,涵盖产业相当多样的物联网,要防范资安危机需要公司内 IT 和营运单位彼此合作,才能防止不肖人士图谋不轨。
负责企业资安业务的 CTO Hartman 解释自己的工作,跟一般保护群众、终端设备的防护业务很不一样。Hartman 说自己需要处理未来会出现的资安威胁,常常要想 2~4 年之后面临的挑战。透过在全球飞来飞去,接触不同产业的企业,了解他们的需求,以及可能遇到的威胁。另外要迎接未来的挑战,Hartman 表示常需要投资新技术,包括并购公司,扩充旗下的资安方案。
而物联网方面,由于涵盖范围相当广,且性质很不同,像是制造业、自驾车、医疗设备,很难出现适用所有领域的物联网资安标准。不过各个领域方面,相关业者会讨论制订适用他们产业状况的资安标准。
个别的 IoT 领域,例如属于制造业的工业物联网领域,使用公司专有技术,IT 设备常部署在封闭环境,购买各种不同生产设备和感测器,再组装成需要的产线配置。因此 Cisco 要确保工业物联网环境下的资讯安全,必须与各家业者密切合作。Cisco 有 IoT Ready 专案,确认个别装置安全,以及可管理化,有状况可一次管理好几台装置,一次修复所有装置的问题。总体来说,Cisco 面临相当大差异的工业环境,是很大的挑战。
云端迁移的趋势,对新创来说,规模不够大会采用公有云方案。对于既有的公司,则从原先自建资料中心,变成有些资料经由云端处理。后者混合云部署,是对公司资安相当大的挑战,面临只要处理自家机器状况就好变成使用公有云,或是采用混合云策略的公司,这时必须确保委托的云端环境够安全。
企业因应网络化迈向云端,用的技术与自建资料中心很不一样,像是用到 Container 技术。人才方面也是,有些公司有独立 Chief Security Office,有些是 CTO 负责公司资安;以前确保公司资安很简单,只要确保买来的设备如防火墙,能将公司的 IT 设施与外界实体隔离,麻烦就少很多。现在由于云端运用,必须检验委托的云端业者是否有足够的资安防护。
Cisco 近日推出新的恶意流量侧测技,不必解密封包,就可以侦测加密流量是不是含有恶意流量,可说是业界领先的技术。Hartman 解释很多时候解密流量再加密,很容易出问题,无法确保再加密的流量跑到下个目的地能正常运作。目前在实验室环境下,Cisco 侦测加密流量是否有恶意流量,准确率达 99%,Hartman 很有信心在真实环境下,准确率仍有一定水准。
Hartman 强调网络犯罪其实就跟一般犯罪一样,背后的动机千百种。有人是为了乐趣而骇入别人网络,有人是为了偷取金钱,有人是基于爱国心、政治理由等,台湾其实常遇到政治性因素而被攻击的状况。
种种犯罪中,基于金钱的犯案动机相当常见,银行本身是管钱的行业,所以是热门目标。前阵子见到银行被入侵的案子,针对银行内部的 SWIFT 系统下手,这已经不是第一起案例了。Hartman 建议要好好思考营运的管理风险方法,银行要好好思考,拟订策略之后,人和技术一同演进才能维护资安。尽管银行的技术相当完备,但并不是买了一项特定设备或技术,事情就没了。银行面临不断演化的入侵技术,必须时时调整,才能不被入侵遭受捐失。
由于物联网是未来相当大的产业,台湾身为制造业强国,势必会生产物联网相关产品。Hartman 建议厂商 IT 单位和营运单位之间要好好合作,不然 IT 确保营运单位的设备安全,但是却让生产设备停摆,也会危害公司营运,两者需要密切合作。
很多人常抱怨套用更多资安防护措施,导致使用 IT 设备很不方便。Hartman 说安全和方便不是站在两个极端,两者可以兼得。IT 装置调校最好的状况是使用者没有察觉到,时时受完全保护。实际状况资安措施会在背景作用,会消耗一些系统资源,但大家可以接受。Hartman 说资安的防设措施只要够透明运作和系统内建,不会造成使用者太大不便。像是浏览器先检查输入的网站,做 DNS 查询,确保使用者不会不小心跑到不安全的网站。上述透过系统内建的措施,使用者确保被安全防护,也没意识到不便。
