HW2 CYBERSEC 2021 心得報告

Group content visibility: 
Use group defaults

今年蠻高興有機會可以參加2021台灣資安大會,這是我這一輩子從來沒有參加過的活動,覺得很新鮮但也有點焦慮,畢竟身旁的所有人與參展廠商幾乎都是台灣最頂尖的資安人才,感佩他們對資安的貢獻之外也要多多檢視自己的不足。這次我參加5/4與5/5兩天的部分講座與展場參觀,礙於下午有課或是有事所以沒有完整參與,不過還是對此次的展覽有一些心得想分享一下。

<貴賓致詞>總統蔡英文

第一天看到總統光臨資安大會,讓我深深覺得政府應該也相當重視資安的相關技術或產業。

<銀行業資安>樂天國際銀行 總經理 佐伯和彥

後來我聽了日本樂天銀行總經理 佐伯和彥談論銀行業資安的重要性,對聽眾來說相當好理解,也讓我有足夠的認知,當資訊技術不斷進化發展,網路犯罪不再只是工程師需要面對的問題,培育人才並不斷推動研究是必要的任務。總經理用淺顯易懂的字詞,甚至以貓抓老鼠的遊戲作為舉例,讓原本對資安一竅不通的我成功踏進了一小步。

<5G的重要價值:服務垂直應用領域>NCC 委員 孫雅麗

第二天先從5G的重要價值開始聽起。講者講述相當多與5G相關的技術與未來的展望。現在正夯的5G幫助我們現在的 生活實現萬物皆可聯網的時代,其有三大關鍵領域,分別為eMMB、mMTC、URLLC,在這三大關鍵領域中,安全性固然成為相當需要重視的課題。現今IoT也是相當熱門的趨勢,IoT裝置相當多,但其實很多IoT設備並不如一般IT設備一樣擁有完善的資安防護,所以雖然科技日新月異,但也同時面臨到更多資安威脅,甚至遭受更多攻擊。科技的進步與資安感覺起來並不成正比,至於驗證連接的設備是否可信,講者提到Entity Attestation Token (EAT),藉由EAT提供一組簽名(證明)的聲明,描述一組實體的狀態和特徵,通常是諸如電話或IoT設備之類的設備。使用者可以使用這些聲明來信任該實體。一般我們常見的APP,要如何存取APP的驗證,講者提到Authentication and Key Agreement for Application(AKMA),AKMA的目的在於支持5G系統中3GPP憑證的APP和3GPP服務的身分驗證和密鑰管理。對企業界來說5G的核心為垂直場域,也似乎是未來趨勢,垂直場域又被稱為企業專網(Private Network),其特色為企業如果有特定的用途,可以自行付費建置限定區域內之行動網路基礎設施,且該網路僅特定用戶得以使用垂直場域具備網路涵蓋密集、網路延遲低、網路容量大、網路安全高,以及得以自主控管網路之5大特性。此外,企業還可完全掌握何人可接取至其專網,哪些行動應優先考量,以及如何完善利用網路資源等,但台灣目前對於企業專網只停留於實驗階段(PoC),期待未來的台灣可以進行工業轉型、加速推動智慧城市建設,但這些除了電信業者帶動的示範案例外,ICT業者也會更積極的去主導。

<Enable a Culture-Driven Cybersecurity Transformation in Taiwan>台灣未來基金會 創辦人 陳浩維

這是我覺得聽得最懂得一場了哈哈哈,講者將討論的議題圍繞在台灣的資安意識上,藉由多個研究數據與民調來看,發現不論是民眾或是企業對於資安議題較為不關心,大部分民眾認為政府須加強法令與增加罰則以達到網路安全的目的。其實全球企業對於資安議題有種避之唯恐不及的感覺,個資的外洩使得大集團除了天價的賠償金額外,聲譽也受到一定程度的影響。或許培養資安人才是迫在眉睫的事情,但台灣目前資安人才主要遇到供需差異、職涯發展、薪資落差、人才投資等問題,這些問題使人才無法保留,企業資安也不受管理階層重視,我認為資安應該要保持正向思考,有問題就要去驗證與調查破口所在,再立刻進行修復,畢竟駭客攻擊有點像感冒受到病毒或細菌攻擊一樣,無法完全避免,但可以預防或攻擊後進行修復。

<跟阿中學勒索軟體防疫之道>TeamT5 蔡松廷

這場很有故事性,從Covid-19疫情中,台灣在中央流行疫情指揮中心的帶領下,藉由超前部屬,合作無間使得台灣成為世界防疫模範生的稱號,疫情真的超級難控制,資安亦同,CSIRT所提出的網路架構與中央流行疫情指揮中心的模式有些相像,包含統一指揮(避免多頭馬車)、充分授權(權限不夠困境)、法源依據(資安規範,事件處理規範)、可動用資源(人力預算)、資訊透明(每日記者會),掌握五大項原則,其實對於資安議題來說不但可以更有效率的解決問題,更可以節省時間成本。做事不難,做得好才難哈哈哈。

參考資料

https://stli.iii.org.tw/article-detail.aspx?no=0&tp=3&i=69&d=8311