鸿腾精密资讯处资深经理杜伟钦(左三)表示,该公司成立专责独立的资安团队CSIRT,有赖于公司执行长由上而下的重视,才能够顺利推动加入FIRST国际资安组织。
洪政伟摄
在资安威胁日益严峻的今日,企业的资安防护能力已不再是IT部门的单一课题,而是攸关企业存续与竞争力的核心关键。对于在全球拥有庞大据点与供应链的高科技制造业而言,这场没有硝烟的战争尤其艰巨。
鸿海科技集团旗下的鸿腾精密(FIT),正是这波资安浪潮中的积极应对者。从2023年3月正式成立专责的资安事件应变团队(CSIRT),到今年10月成功加入国际资安组织FIRST(Forum of Incident Response and Security Teams,事件回应和安全团队论坛),鸿腾精密不仅为自身筑起更坚实的资安堡垒,更成为鸿海集团内第一个加入FIRST的成员,肩负起领头羊与集团资安联防窗口的重任。
鸿腾精密资讯部资深经理杜伟钦表示,该公司CSIRT团队从无到有、从内部建置到迈向国际的历程,都有赖公司执行长亲自主导「由上而下」的变革,才能够让鸿腾精密的CSIRT团队真正扎根,并且扮演全鸿海集团领头羊的角色。
CSIRT应运网路威胁而生,执行长力挺「由上而下」的变革
「我们的CSIRT团队是在2023年的3月成立,到正式加入FIRST国际资安组织,算起来至今也才一年多。」杜伟钦开宗明义地说道。相较于许多企业,鸿腾精密的资安团队成立时间并不算早,但背后的推动力与决心却异常坚定。
杜伟钦指出,成立CSIRT的首要原因,直指当前不断升级的外部资安威胁。他表示,随著骇客攻击手法越趋精密,企业必须具备更强的应变能力,才能有效保护公司最重要的数据资料与核心系统,进而确保业务的持续运作。这不仅是被动的防御,更是Proactive(积极主动)的应对。
然而,促成CSIRT团队诞生的关键,则是来自公司最高管理阶层对资安的强烈重视与支持。「其实是我们CEO非常重视资安这一块,他认为,整个资安对我们公司的发展是非常重要的。」杜伟钦强调,因为有执行长的重视,让资安从单纯的技术议题,一跃成为影响公司发展全局的策略性议题。
这份高度重视其来有自,尽管我们未直接证实与供应链攻击的关系,杜伟钦坦言,外部环境的资安威胁的严峻挑战,确实是重要考量。他说:「公司为什么会重视资安,也和外部的一些制造业遭遇一些骇客攻击,造成公司营运上的损失有关。」
他进一步解释,特别像是鸿腾精密这样在全球拥有约五、六万名员工、厂区资讯边界不断扩张的大型跨国公司,资安防御难免存在漏洞。「如果没有一个专责团队负责修补漏洞并抵御骇客入侵,就可能面临严重的安全风险。」他说。
「所以执行长就希望要尽快成立这个资安团队作为因应。」杜伟钦语重心长地说,资安防御最有效的方法,确实是「top down」,就是从上而下,而且从上而下它的效果才会快。
杜伟钦表示,正是在执行长的授意之下,CSIRT团队才得以快速且有效地组建起来。团队成立后,首要任务便是针对全球各厂区的漏洞进行检测与修补,并加强骇客入侵的防御。
公司倾注资源,打造资安菁英团队
一个专责的资安团队需要什么样的人才?杜伟钦透露,鸿腾精密的CSIRT团队目前有八位成员,全部都是专责的资安专业人员与主管。这支团队的组成有其独特性,「我们当初其实都是从外界寻找合适的资安专业人才进来我们公司。」他说。
他进一步解释,原先公司内部,只有一位从资讯部门转调过来的资安人员,他深知,由外部引进专业资安人才立竿见影,能成为「即战力」,但了解公司内部人员的重要性也不容忽视。
「团队内部还是要有懂得公司和产业专业知识领域(Domain)的人,」他指出,公司的CSIRT团队成员可能不知道公司内部的地形、地貌,但是,因为有一个清楚公司里面地形地貌识途老马帮忙带路,也非常有利于资安团队的运作,以及对内外部的协调沟通。
因此,杜伟钦表示,鸿腾精密CSIRT团队成员的结构是这样组成的:一位是从公司内部资讯部门转任资安,其他七位则是从外部招募进来的资安专家。他认为,这种外部专业与内部经验的结合,目的就是在打造一支既有国际视野,但又了解公司内部运作的高效团队。
成立专责且高效的CSIRT团队,绝非仅仅编列人力与预算就能达成。杜伟钦也详细说明从三个面向投入资源,以支持团队的运作与成长。
首先是组织调整。他表示,公司设立资安部门,这是过去没有的;加上,这个专责部门在通报层级上也获得提升,目前通报给资讯长,未来则会直接向CEO报告。
更重要的是,公司也著手成立资安治理委员会。这个委员会的主席将从资讯长变更为CEO,成员则由各事业群的第一阶高阶主管担任。杜伟钦强调:「这个资安治理委员会的成立,也让公司资安治理层级,从原先IT层级拉到公司治理层级。」 这也显示,公司已将资安提升至与整体公司治理同等重要的战略高度。
其次是人力与培训。除了从外部引进资安专业人才,杜伟钦指出,公司也大力支持团队成员接受专业培训。例如,公司会派员参加资安院举办的CCOE(国家资安卓越中心)课程,或是沙仑资安基地等机构提供的教育训练。
此外,鸿腾精密也积极参与国内的资安社群与情报分享平台,例如SP-ISAC(科学园区资安资讯与分析中心)、TWCERT/CC(台湾电脑网路危机处理暨协调中心)以及台湾资安主管联盟。他说:「这些都是为了不断提升团队的专业能力与视野。」
最后则是技术资源。杜伟钦表示,公司投入资源、购置先进的资安工具与设备,用以强化监控能力并进行资安健康检查。然而,资安技术与威胁变化迅速,团队需要持续学习与更新技术,因为旧有技术已不足以应付外部威胁。特别是现在骇客也开始运用AI发动攻击,已成为新的趋势。为此,他表示,鸿腾精密甚至与公司内部的AI大数据部门合作,试图利用AI来发掘资安设备可能遗漏的问题。
在技术资源分配上,杜伟钦坦言,CSIRT团队也面临挑战,因为这不仅是购买资安设备的问题而已,还需要IT部门的配合,例如强化基础设施(Infra)的架构。杜伟钦解释,资安部门在做资源调配时,必须权衡考量,决定第一阶段要先强化哪些部分。例如,网路存取控管(Network Access Control, NAC)的强化、老旧防火墙的替换等,都是因为这些旧设备已无法应付新的攻击,需要采购新方案补强。
CSIRT成立的两大挑战:跨部门协作与技术变革
成立全新的专责资安部门,并在全公司推动资安政策,过程并非一帆风顺。杜伟钦坦言,最大的挑战之一就是跨部门协作。
他表示,资安部门作为一个新成立的单位,在推动资安政策时,常常会遇到其他部门的反弹,例如:以前可以这么做,为什么现在不能这么做等等。这往往需要投入大量时间进行跨部门沟通、宣导,甚至举办各种会前说明,解释为何这些政策是必要的。
鸿腾精密在公司内部向所有主管、同仁进行资安重要性的宣导,并解释社交工程等常见攻击手法,就是为了让公司的每个人能够意识到「资讯安全、人人有责」,因为,资安不是资安部门单独的责任,而是需要所有人共同参与。
杜伟钦感叹,不同部门的协作需要时间磨合,尤其是在资安事件发生时的快速反应。例如,如何界定资安事件的层级(一级、二级),需要通报到哪一层级的主管或哪个部门,这些都必须预先定义清楚,才能在状况发生时迅速应对。
另一个挑战则是技术更新。资安技术和威胁模式不断演变。杜伟钦指出,团队必须持续学习、更新技术,以应对日益复杂的攻击手法。例如,现在有许多骇客利用AI进行攻击已是现实,所以,资安团队不仅要懂得掌握传统的资安防御手段,还要思考,应该如何利用AI来协助防御。
在技术补强方面,杜伟钦特别点出了从「资安观点」和「IT观点」看IT基础设施(Infra)补强的差异。他认为,IT或Infra部门的补强措施,往往著重于各自的业务范畴,例如Infra团队专注网路安全,AP(应用程式)团队专注软体开发,彼此相对独立。
但是,如果从资安观点来看,补强措施必须是全面向的,包括软体、硬体设施,以及资安政策的管控等,需要能够从「点线面」进行全盘性的规画与落实。杜伟钦表示,资安的切入点通常是从系统的资讯流(flow)出发,借由检视资讯流经过哪些跨部门单位,需要进行什么样的强化或补强措施,「这是一种较少本位主义、更注重横向跨部门管理的视角。」他说。
不过,这也导致了跨领域沟通的困难。他强调,资安团队必须与Infra团队沟通基础架构的强化需求,与AP团队沟通软体安全问题;但这些沟通往往需要跨领域的知识(know-how)。
他强调,如果资安团队成员不具备足够的跨领域知识,在进行跨部门的讨论过程中,很容易被其他部门以技术细节「打枪」,甚至被质疑专业能力。因此,杜伟钦强调,资安部门在招募相关的资安人员时,「真的是精挑细选」。
鸿腾精密与鸿海集团的关系,也影响了其资安战略。杜伟钦表示,鸿海作为母集团,会定期与子公司召开会议,宣导各种资安知识、分享资安事件或情资,而且集团也会要求所有子公司,不管在资安政策、宣导、训练与防御上,都必须保持一致性。
这源于资安界常说的「木桶理论」:一个木桶能装多少水,取决于最短的那块板,在资安领域,漏洞缺口就是最短板。因此,集团必然要求整体资安防护能力的一致性,避免任何一个短板成为整体风险。杜伟钦表示,这也促使鸿腾精密必须不断检视,确认内部还有哪些未完成或需补强的部分,并尽快落实。他说:「我们不敢说我们做到最好,可是我们会尽力把它变得更好。」
加入FIRST不只情报共享,更要「资安联防」
在谈论鸿腾精密为何选择加入FIRST组织之前,有必要先了解FIRST是什么。FIRST是「Forum of Incident Response and Security Teams」的缩写,意即「全球事件应变与安全团队论坛」。
FIRST被誉为资安事件应变领域的「premier organization」(顶尖组织)和「recognized global leader」(公认的全球领导者);其核心使命是「Improving Security Together」(共同改善安全),这也体现在其组织名称中。
FIRST汇聚了来自政府、商业和教育机构的各种电脑安全事件应变团队。其主要目标是:「促进事件预防方面的合作与协调,激发对事件的快速反应,并促进成员与广大社群之间的资讯分享」。
加入FIRST,能让资安事件应变团队更有效地应对资讯安全事件,无论是 reactive(被动应对)还是 proactive(主动预防)。除了建立一个全球事件应变社群中的信任网络,FIRST也提供多种加值服务。目前,FIRST在全球拥有超过700个成员,遍布非洲、美洲、亚洲、欧洲和大洋洲。
台湾已有多家公司陆续申请加入FIRST,杜伟钦表示,鸿腾精密选择以CSIRT团队身份申请加入FIRST,主要有几个原因。
首先是情报共享。在全球资安威胁无国界的时代,能快速获取最新的资安情报至关重要。他说:「希望透过这个FIRST国际资安组织,获得最新的资安情报,来提升我们的防护能力。」此外,FIRST组织也经常举办各种论坛和研讨会,也是提升团队专业能力的重要途径。
其次是国际合作。资安防御单打独斗难以成功,需要「联合防御」。杜伟钦强调:「希望能够跟其他公司,包含台湾或是国际的资安团队合作,共同应对全球的资安威胁。」 他生动地比喻,这就像古代的烽火台,一个地方发出警讯,其他烽火台迅速响应,共同抵御敌人。这就是「一方有难、八方支援」的资安联防精神。他表示,当鸿腾精密资安团队从FIRST收到全球C2伺服器的IP清单时,除了力即将清单汇入公司防火墙最新规则外,也可以立即分享给集团,让其他子公司也能迅速进行防御阻挡。杜伟钦也体认到,加入FIRST国际资安组织,目的不只是要做到「独善其身」,更是希望能「兼善」整个集团,甚至对台湾科技业的资安联防有所助益。
第三是学习经验。目前加入FIRST的台湾成员,截至去年十二月底约有22个而且还在持续增加中,加入的成员名单涵盖情资单位、高科技制造业以及资安公司等。杜伟钦表示,透过这个多元化的资安团队社群,可以达到「学习其他公司成员加入FIRST的经验,以提升自身能力」的目标。他认为,公司资安团队从其他公司面对资安事件的应变作为中学习,并与其他成员分享自身的经验,借此不断自我提升与改善。
漫长而严谨的入会之路,准备过程就是宝藏
加入FIRST并非一蹴可几,需要经过漫长且严谨的审核过程。杜伟钦回溯了鸿腾精密的入会历程,「经过一年的酝酿跟筹备,我们大概从2024年的6月开始,邀请FIRST会员来推荐我们。」 他们邀请了TWCERT/CC和TeamT5这两个台湾的FIRST会员进行推荐。
推荐后,FIRST会进行实地查验。杜伟钦提到:「FIRST在去年8月份的时候,就来鸿腾精密做现场的视察,然后鸿腾精密也跟FIRST进行相关简报。」简报内容则涵盖团队的能力与运作流程。直到去年9月份,鸿腾精密则收到了FIRST现场访视报告;并且该公司在9月中旬,正式向FIRST提交申请文件,进入审查程序;直到去年10月18号,才正式取得会员资格。
这个过程不只是一个简单的申请表单。杜伟钦解释,在审核过程中,公司必须证明其能力符合FIRST的要求,这包括,鸿腾精密必须提供团队成员的专业证照、公司资安治理的规范,以及资安事件应变流程等文件。这些资料都需要经过严格审核,甚至需要以流程图的方式清晰呈现团队的专业流程,并陈述加入FIRST的原因,而且,FIRST设有委员会,每个月都会召开会议,审查申请者的资格。
「我们不是从2023年成立CSIRT之后,就马上申请加入FIRST,而是筹备了好一段时间,先提升自身能量后,觉得已经准备好了才去申请加入FIRST。」杜伟钦强调。
他认为,光是为了准备加入FIRST所做的内部整顿与能力提升工作,本身就已经非常有价值了。而成功加入后,能够「第一手拿到一些重要的国际情资,然后又可以学习,又可以掌握一些攻击趋势等等」,对于公司整体资安防御能力的强化与提升「是非常有帮助的」。
加入FIRST带来的质变与量变,从能力到商誉的全面提升
加入FIRST之后,对鸿腾精密CSIRT团队带来了哪些具体的「质变」与「量变」呢?
在质变方面,杜伟钦认为最显著的是「提升资安团队的专业水平跟应变能力」,透过参加FIRST的培训与研讨会,团队得以学习最新的资安技术与趋势。
在量变方面,则是「扩大鸿腾精密取得的资安情报来源」,他表示,加入FIRST让该公司资安团队能够获取更广泛的资安情报,从而提升公司和集团的防护能力。
杜伟钦认为,对该公司带来的效益则体现在多个层面。首先是「提升或增强鸿腾精密在国际上专业领域的影响力」,进而在资安领域提升公司的品牌形象与市场地位。但他特别强调,最关键的效益是「商誉的提升」。
「让大家都觉得,鸿腾精密重视资安,那是一种很无形的信任度。」杜伟钦解释,这种信任度的提升,不仅来自客户和合作伙伴,也包括投资人,有助于促进公司的整体业务发展。
对于客户而言,鸿腾精密是其供应链中的一环,供应链安全至关重要。「强化自身资安能力,能增强客户的信心,进而对业务发展产生正面助益。」杜伟钦说道,这就像半导体产业对供应商提出的SEMI E187设备合规要求一样,供应链安全已成为必要的合作前提。
此外,加入FIRST也有助于提升公司的合规性。他指出,公司内部规范得以符合国际资安标准与法规,这不仅让未来的产品制度更符合规定,也向客户传达产品经过严格管制的讯息,这都对公司带来显著的成效。
情资时间差的决胜关键,扮演集团资安「领头羊」
在众多效益中,杜伟钦特别强调加入FIRST在情资时间差带来的优势。他指出,鸿海集团本身是TWCERT/CC的成员,而鸿腾精密除了加入SP-ISAC,现在又多了FIRST这个国际情资来源。虽然SP-ISAC和TWCERT/CC也会转发国际情资,但可能需要经过筛选过滤,存在情资的时间差。尤其TWCERT/CC是周休二日,并无法提供24×7的服务。
但他强调,加入FIRST之后,鸿腾精密可以「直接获得」第一手国际组织的资安情资,而拥有专责资安单位的鸿腾精密就可以立即进行第一手分析,甚至有机会在集团内部其他单位尚未收到相关的情资讯息之前,以更快的速度对内部提供情资。杜伟钦认为,这不仅能防御鸿腾精密自身,也能协助防御整个鸿海集团。
杜伟钦语重心长地说,骇客最喜欢在周五下班后发动攻击,利用周末的空档可以做很多事情,如果企业直到周一上班才发现遭到攻击,后果往往非常严重。透过FIRST提供的跨时区、全天候的国际情资,就像是「全世界的资安情资联合」,能弥补单一组织或区域中心的不足。
能否及时获取情报差异巨大。杜伟钦举例:「有公司可能前天被攻击,但你如果是一个礼拜后再知道,跟你前一天就知道,这是有差异的。」提早得知潜在威胁,就能提早预防。例如,将重要的IOC(入侵指标)或黑名单汇入防火墙或防毒系统,第一时间阻挡攻击,避免被植入恶意程式。这正是加入这个国际情资组织的主要目标。
作为鸿海集团第一家加入FIRST的公司,虽然成立CSIRT的时间相对较晚,但入会的积极性可谓走在前面。杜伟钦表示,鸿腾精密希望扮演「领头羊」的角色,透过自身的加入经验,带动集团内其他公司也加入FIRST。
「这并不意味著,鸿腾精密之后就变成窗口,而是希望透过我们加入FIRST,有示范效应,可以带动其他公司的加入。」他强调,就像当年群创光电加入FIRST带动其他高科技制造业加入一样;而鸿腾精密取得的第一手情资和累积的入会、运作经验,都会回馈分享给集团内的公司。
杜伟钦引用「一双筷子容易折断,但十双筷子折不断」的比喻,说明资安联防的重要性。当集团内有一个单位成为FIRST成员,累积了国际合作和情报应用的经验,并愿意分享,这对整个集团的资安防护力量而言,是一种提升。
他更将视野拉高到整个台湾制造业,当一个台湾企业遭到骇客攻击时,无论是基于政治或民族因素引发的攻击,如果能迅速透过国际平台或其他联防机制发出警报,其他企业就能立即提高警觉,采取防御措施。
他认为,这对于高科技制造业占据重要地位的台湾经济基础来说,建立资安联防标准并共同提升防御能力,是至关重要的。供应链任何一个环节的漏洞,都可能影响整体台湾的安全。
「透过这样加入的经验,能够让更多公司,包含我们集团内和外面的公司,有更多人来加入。」杜伟钦如此期许。
CSIRT团队的下一步,做到永续学习与深化合作
成功加入FIRST之后,杜伟钦表示,鸿腾精密CSIRT团队的下一步,首先,持续提升自身能力,因为资安技术日新月异,团队必须保持在这个领域的领先地位。例如,不能等到其他企业已经在做AI防御了,自己却还停留在过去。因此,持续学习是必须的。
其次,深化国际合作。杜伟钦表示,这包括加强与国内外FIRST成员的合作,共同应对全球资安挑战。例如,有针对台湾企业发动的DDoS攻击,便可以透过与刑事单位或FIRST成员交流,分享攻击来源IP并讨论防御策略。他重申,面对全球性的网路攻击,单打独斗是行不通的,必须依靠合作。
团队也在思考,当其他企业遭受攻击时,自己能从中学到什么,以及当自身遭到攻击时,下一步应该如何应对。杜伟钦表示,CSIRT团队会透过报告总结经验,并与其他团队交流,探索技术创新。
例如,针对DDoS攻击的多种手法,特别是慢速攻击或针对VPN的攻击。他指出,台湾的高科技制造业者,经常觉得自身核心系统没有暴露在外网而轻忽风险,但骇客透过攻击VPN可能瘫痪远端工作,造成公司营运中断。他认为,这些都是资安团队需要不断思考和准备的课题。
总体而言,鸿腾精密从成立CSIRT到加入FIRST,不仅是企业内部资安能力的跃升,更是将自身融入全球资安联防体系的重要一步。杜伟钦强调,作为鸿海集团的先锋,其经验的分享与带动效应,有望为集团乃至台湾高科技制造业的整体资安防护,注入更强大的动能,共同抵御无所不在的网路威胁。
「面对这场资安保卫战,唯有透过持续学习、深化合作与情资共享,才能在这场与骇客的军备竞赛中取得优势。」杜伟钦说道。