概要
對於資訊安全的渴求,是快速且大幅數位化的持續需求,據《財富商業洞察》(Fortune Business Insights) 調查,全球資安產值於 2022 年達 1,536.5 億美元。且 2030 年前,逐年將以 13.8% 的速度增長。(FBI,2023)
以往電腦系統位於本機端,資訊安全防護是透過防火牆和入侵偵測系統 (Intrusion-detection System, IDS) 將駭客阻絕在外,如同「護城河」(Castle and Moat) 隔絕來自「外網」人士存取使用數據(CF,ND)。而自 2010 年以來,如雲端平台、物聯網產品和工業控制系統 (Industrial Control System, ICS) 等廣泛應用的第三方服務興起,公私部門機逐漸將敏感資訊委託存於外部主機。(Ehrlicher,2021)
因此駭客利用網路內部過時的絕對信任模型來謀取自己的利益。2000 年代初,駭客多為孤狼式行動,癱瘓系統目的是為了尋求惡名,自 2010 年後,改以團體模式透過入侵系統勒索贖金獲取巨額的利潤(Forrester,2021)。據線上資料庫平台 Statista 統計,單就美國 2022 年,每起「勒索軟體」(Ransomware) 事件,因數據外洩導致額外成本平均為 944 萬美元,全球網路犯罪產值更高達 8.4 兆美元。(Petrosyan,2022)
伺服器機房(圖片來源:Taylor Vick on Unsplash)
攻擊行動
此外,利益導向的「一般駭客」與「政府資助的駭客組織」分際愈加模糊。根據美國國防部 (US Department of Defense, DoD) 報告指出,特定政府允許僱用駭客從事網路犯罪,甚至放任並鼓勵境內對境外網路攻擊作為硬實力展示。(Lopez,2021),據瞭解,政府主要目的集中於癱瘓關鍵基礎設施、收集數據和勒索贖金。(CSIS,ND)
為此,各國政府積極與私部門合作,強化關鍵基礎設施週邊安全機制、加強資訊共享和網路架構,及藉由增進訓練和採用人工智慧提升資安人才素質,全面改善網路安全。
關鍵基礎設施
根據歐盟執委會 (European Commission) 定義,關鍵基礎設施是指「維持重要社會功能所必需的資產或系統」(EC,ND)。將概念套用於網路安全,意指保護電力網路、供水系統、衛星通訊和政府機構等設施免於網路攻擊(Delcker,2022)。以往多數關鍵基礎設施的運算系統是建立在機構內部主機端,現今因 ICS 允許商業網路遠端執行關鍵基礎設施,導致被攻擊可能性大幅提升。據美國政府責任署 (US Government Accountability Office, GAO) 表示,駭客現在可以藉由惡意郵件中的附件和虛擬私人網路 (Virtual Private Network, VPN) 間的漏洞,進入企業內網直接攻擊 ICS 的連網設備。(GAO,2023)
如今單一系統(例如電力網路)多半牽涉眾多公私部門,致使保護關鍵基礎設施愈加困難;以及私部門同時掌管及營運眾多關鍵基礎設施系統,導致網路安全標準變得更加難以維護。為此,歐盟於 2022 年公布《網路與資訊系統安全指令》(NIS 2 Directive),新補充指令包含「解決供應鏈安全問題」和「引入更嚴格的監管措施和執法要求」來應對近期特定國家針對他國公私部門的網路攻擊。(EP,2022)
制定法案
公部門試圖尋找符合成本效益的方式,強制要求參與關鍵基礎設施的私部門提高網路安全標準。例如,泰國政府加強保護金融系統力度,及建構更完善的攻擊通報系統。泰國國家新聞局 (National News Bureau of Thailand, NNT) 表示,已建立由泰國國家警察、政府金融機構協會、泰國銀行家協會和 21 家銀行成員系統,連結不同攻擊事件之間的關係,以加速取得拘捕令。(NNT,2022)
為加強網路安全,公私部門正在適應雲端運算將為新常態。例如,俄羅斯近期資助駭客對聲援烏克蘭的國家機構進行報復,網路安全公司 CyberCX 表示 ,紐西蘭近期更易遭受「勒索軟體、資料竊取勒索和分散式阻斷服務攻擊(DDoS)的威脅」(Morrison,2022)。因此,許多機構正在資安系統中建立「零信任架構」(Zero-trust Architecture),其以「每筆交易都會防範使用者及裝置設備」來保障使用者獲得數據的訪問權限(Raina,2023)(IBM,ND)。相對於傳統網路安全「護城河」模型機制,一旦通過驗證即無限制給予訪問權限。
儘管已有相應安全規範,現今供應和需求之間明顯存在巨大的差距,根據世界經濟論壇統計,全球仍缺乏約 340 萬名專業資安人員(Xie,2023),其同時需具備軟硬體實力,以從事設計、實施和更新複雜的零信任架構資安系統。(Poremba,2023)
澳洲中央聯邦政府為此採取多項舉措來培訓資安專家。如「網路安全國家增長計畫」獲「網路安全技能合作創新基金」(Cyber Security Skills Partnership Innovation Fund) 挹注 7,030 萬澳幣資助人員培訓、養成學徒制與各式實習。甚至預劃擴展 STEM 相關學術的網路安全教育,提供更強力的技能和培訓基礎。(DFAT,ND)
簡言之,公私部門需要採用人工智慧 (Artificial Intelligence, AI) 和機器學習 (Machine Learning, ML) 來彌補網路安全專業人才短缺問題,並解決「威脅氾濫和工具繁瑣」的問題(Sharma,2023),此舉將有助於公私部門縮短與日益嚴重網路犯罪間之差距。例如,資安專家現在使用 AI 來綜合大量的資訊,以識別日誌事件和網路流量數據中的威脅,並為客戶和機構提供改善數據安全和遵從合規的建議(IBM,ND)。或許有朝一日,資安專家能利用 AI 建立自動防禦機制以擺脫制式化工作,並能專注於改善工作流程。(MC,2022)
接續兩篇將探討新南向國家因應國際網路安全的趨勢及所採取措施。
參考來源:
-
Center for Strategic & International Studies. (n.d.). Significant Cyber Incidents.
-
Cloudflare. (n.d.) What is the castle-and-moat network model?
-
Constantin, L. (2020, Dec 15). SolarWinds attack explained: And why it was so hard to detect.
-
Delckler, J. (2022, Sep 30). Cybersecurity: How to protect critical infrastructure.
-
Ehrlicher, D. (2021, March 5). The Evolution Of Cybersecurity In 2021.
-
Forrester, N. (2021, Jan. 12). A brief history of cyber-threats — from 2000 to 2020.
-
Fortune Business Insights. (2023, April). Cyber Security Market Size.
-
IBM. (n.d.). Artificial intelligence (AI) for cybersecurity.
-
Lopez, T. (2021, May 14). In Cyber, Differentiating Between State Actors, Criminals Is a Blur.
-
McKinsey & Company. (2022, March 10). Cybersecurity trends: Looking over the horizon.
-
Petrosyan, A. (2022, Sep. 4). Average cost per data breach in the United States 2006-2022.
-
Petrosyan, A. (2022, Dec 2). Estimated cost of cybercrime worldwide from 2016 to 2027.
-
Poremba, S. (2023, Jan 5). The cybersecurity talent shortage: The outlook for 2023.
-
Raina, K. (2023, April 17). ZERO TRUST SECURITY EXPLAINED: PRINCIPLES OF THE ZERO TRUST MODEL.
-
Sharma, A. (2023, Apr 25). Google announces generative AI tools to bolster cyber security.
