台湾资安产业现今蓬勃发展,奥义智慧科技创办人邱铭彰在今年资安大会中,细数过去几个重要发展的关键点,从2003年第一个中国APT攻击政府机关引起媒体报导,唤起政府及社会对资安事件的重视,国内团队在DEFCON CTF获得第2名好成绩,对国内资安社群及人才带来的鼓舞作用,2016年政府倡议资安即国安下,资通安全处成立,2017年至2019年间资安社群及学校课程培育更多人才,奥义、中华资安、TXOne等业者兴起。
2019年资通安全法实施,要求上市公司配合,2022年数位部成立资通安全署,2023年政府要求上市公司设立资安长,这几年资安受到更多的重视,从资安大会的主题及议题来看,零信任架构、法遵、云端安全、AI及机器学习在不同阶段都受到重视。
他也分享对国内资安的观点,他认为正面临典范的转移及方法的革新。首先是典范的转移,资安的观点及关心的重点不断移动中,他解释这并非代表旧的问题消失,而是发现新问题出现。过去资安防护的边界防线,是以建立边界防线,建置防火墙阻断外部的攻击,但事实上,防御的边界不只有防火墙及VPN。
他观察近10年的资安关心的重点变化,从网路(DoS)端到伺服器(Web),到终端(APT渗透测试),再到身分(云端),资安的战场不断移动,过去的资安鉴识以电脑为单位,现在进入云端时代,以每个Workflow为鉴识单位。早期在于找出恶意程式,后来侦测威胁找出骇客入侵行为,现在则是协助企业辨识风险,找出哪里存在威胁。
典范转移:从了解敌人到了解自己
邱铭彰表示,资安产业正发生典范的转移,从过去「了解敌人」(Know your enemy),逐渐转移到「了解自己」(Know yourself),了解自己的架构、IT、资产,存在哪些弱点。了解敌人找出甚么不能出现,例如恶意程式,而了解自己是找出甚么不该出现,不该出现的软体、不该登入的帐号,不该频繁的连线等。
在资安的攻防战中,他认为企业更具有优势,「骇客是蒙著眼攻击,而你(企业)是地主」,企业建立防火墙、帐号管理,熟悉自己的架构,虽然无法知道攻击者是谁,但是能知道攻击可能从哪里过来。可以将资安防护分为External Attack Surface和Internal Attack Surface,前者包括对外的网站、Cloud上的资产、暗网情资等,后者如企业内的AD、终端设备、Azure Identity等,找出攻击可能的路径,评估这些路径告警的预测率高低,拟定因应的对策。
邱铭彰认为,企业可以透过很多方法论,去界定新的边界、识别风险,从过去网路、伺服器、终端到身分,资安的重点不断变化,旧的威胁仍然存在,了解新威胁的演化方向,对企业的采购、制定防御计划带来帮助。
资安产业应拥抱AI
至于方法革新方面,近几年AI快速发展,特别是没有赋予或让其学习的能力,AI可以自己具备学习新能力,但根据邱铭彰观察,资安圈没有兴起AI风,他猜测理由可能有3个,一是资安人怕告警疲劳,难以忍受误判,而AI现在具有不确定性;第二是习惯以传统方法,例如建立黑名单来防范攻击,第3个是看不懂与跟不上,仍停留在AI容易出错的认知。
虽然目前生成式AI能够与人聊天对话,产生影像内容,但AI不是玩具,可以成为工具,协助分析、决策、产生报告,邱铭彰认为,资安产业应该拥抱AI。
在OpenAI发表新一代多模态AI模型GPT-4o后,邱铭彰认为,未来资安产业结合AI有3个发展潜力。
在多模态方面,生成式AI已能整合不同资料类型,未来可协助资安SOC人员融合不同资安设备的异质资料,产生具有情境脉络的报告(Contextual Report);在合成资料方面,由生成式AI合成训练资料,弥补资料不足及克服隐私的问题,让AI自己训练自己;在因果推断方面,在因果计算进步之下,未来可运用AI找出资料间的隐藏统计关系,解释深层的因果关系,说明资安事件发生的背后可能原因。
然而,AI也会对资安专家带来冲击,他将资安分为4种类专家,鉴识分析专家(IR Team)、事件应变专家(SOC Team)、威胁情资专家(CTI Team)、红队演练专家(Red Team),他开玩笑的说,从事其中2种类型工作,衍生出第5种资安专家,资安嘴砲专家(Rapper Team)。
这些不同类型的资安专家团队,其工作之一是产生报告,未来AI能够模仿不同类型资安专家的工作风格产生报告,甚至AI的工作能力不亚于资安专家,例如红队演练专家,Red Team AI自动分析程式码找出漏洞,并且模拟攻击、找出攻击路径;对于威胁情资专家,CTI AI运用LLM的理解能力,结合RAG处理大量资安新闻、威胁情资,模拟专家产出报告等等。过去人工专家产生报告的产力有限,AI不会感到疲累,且产生报告的费用降低。
过去资安产业历经20多年蓬勃发展,接下来10年如何面对新科技冲击?他能够理解资安产业会感到焦虑,但AI等新科技带来的变化已经到眼前,必需拥抱新科技带来的变化,改革方法、动起来、跑起来。