Loading [MathJax]/extensions/tex2jax.js

0

10
3

文字

分享

0
10
3

駭客終結者 2.0 登場!打破舊有資安概念,零信任架構 (ZTA) 引領資安新風潮——台科大教授兼資通安全研究與教學中心主任查士朝專訪

科技大觀園_96
・2021/09/09 ・3916字 ・閱讀時間約 8 分鐘

-----廣告,請繼續往下閱讀-----

現今,人們對於網路的依賴性大,尤其是疫情影響下的社會,各家企業紛紛採取居家辦公,此外,日常中的網路銀行轉帳、購買日用品、電子信箱等功能均需利用網路。但網路便利的同時,伴隨而來的就是,個資外洩、網路上的購賣身分遭到惡意人士盜用,魔鬼藏匿於網路的角落,緊盯著各個使用者的活動,看看誰是下一個受害者。

為了層層把關網路上的潛在危機,零信任架構 (Zero Trust Architecture,ZTA) 出現了!ZTA 是一種資安防護的新概念,打破了傳統以邊界(例如防火牆)區分內網及外網的資安型態。今天,想長點 ZTA 的新知識嗎?跟著查士朝教授的腳步來探索一下這個酷東西吧!

查士朝教授小簡介

查教授是台灣大學資訊管理博士,曾任職於意藍科技資深技術顧問,於資誠企業擔任資深經理。現為台灣科技大學資訊管理系教授,同時也身兼資通安全研究與教學中心主任。查教授獲得許多國際資安認證,近年致力於資訊安全相關研究,參與多項產學合作計畫,並協助政府建立資訊安全管理制度,並發掘系統資安漏洞以研擬推動智慧型手機應用程式安全與物聯網裝置安全檢測標準。

查士朝教授近幾年於資訊安全制度訂定及設計發想貢獻良多。圖/查士朗教授提供

ZTA 的誕生與發展

2003 及 2004 年間,傑里科論壇 (Jericho Forum) 為了達到網路資源於企業間共享的目的,因此想出了消除企業與企業間的網路邊界,但這個做法也造成了網路安全的漏洞,而解決這個漏洞的技術性方案就是 ZTA 的最初架構。可以說是無心插柳,柳成 ZTA 阿!但是,這個論壇當初提及的 ZTA 概念還是滿抽象的,因此,Forrester Research 前副總裁 John Kindervag 於 2010 年提出了具體的概念,他提出了三大核心理念:(一)裝置不再有信賴與不信賴的邊界 ,(二)不再有信賴與不信賴的網路,(三)不再有信賴與不信賴的使用者。而實際上的做法需要四大核心元件:

  1. 網路分區閘道 (Network Segmentation Gateway):當前的網路需要透過許多安全設備來保護其整體環境及數據,例如我們最常見的就是防火牆,還有為取得公司或機構內部存取權所需要用到的工具 VPN 。而 John Kindervag 想要開發出一個結合所有安全設備特性及功能的網路分區閘道(最強守衛者的概念),並將安全性構建到網路的架構當中,以安全的方式正確分割網路資源。
  2. 創建平行且安全的網路分區:打破以往防火牆只一分為二,阻隔外界及保護內部的功能。這裡運用的是微核心邊界 (Microcore and perimeter, MCAP) (圖二),你可以把它想像為「保護套」,將你想保護的資料都個別套起來,像是使用者端、網路應用、資料獲取網路都自己有一層保護套。如此一來,將資安防護不再單單只靠一層防火牆,而是個個資料、系統都有盾牌可以做自我保護。
  3. 網路後臺集中管理:承第 2 點提及的「保護套」,網路後臺是擔任管理這些微核心邊界 (MCAP) 的角色,增加操作上的便利性。
  4. 建立數據蒐集網路以掌控網路整體狀況:對於修繕故障網路的人來說,要能有效取得數據包是件非常困難的事,但在零信任網路中採用數據蒐集網路 (data acquisition network, DAN),此種方法結合網路分區閘道,能有效採集各個微核心的數據,加速數據取得以便日後故障修繕。
微核心邊界 (Microcore and perimeter, MCAP) 使整體網路環境又多一層保障。圖/查士朝教授提供

此外,美國國家標準技術研究院 (NIST) 也量身打造 ZTA 的標準指南 SP 800-207,時至今年美國政府所公布的網路安全策略中也包含了零信任架構,甚至要求美國聯邦政府網路導入零信任架構的網路安全策略,足見零信任網路架構在整體資安領域上佔有一席之地。當中,SP 800-207 講究七大原則:(1) 識別可存取資源;(2) 確保連線安全;(3)妥善存取控制;(4)考量存取者狀態;(5)了解資源狀態;(6)監控裝置與資源風險;(7)持續收集資訊與改善。

現今資訊安全防護存在什麼樣的漏洞?ZTA 如何防範的資安危機?

新聞報導資安危機事件層出不窮,於個人,個人資料被盜用、信用卡被盜刷;於企業,美國淨水廠系統及最大燃油管系統、銀行 ATM、國內科技大廠都曾遭受駭客及勒索軟體襲擊;於國家,國安危機更是重大事件。查教授講道過去的資安架構,往往只是透過防火牆等相關架構,將安全與不安全網域劃清界線,並且只注重防範邊界,無法防止內部橫向擴散。然現今惡意駭客早已能夠輕鬆越過此界線,橫行於安全網域之中。

-----廣告,請繼續往下閱讀-----
疫情下的遠距辦公,使駭客能趁機憑藉多種管道盜取企業內部資源。圖/查士朗教授提供

因此,ZTA 雖說是打破邊界,更貼近的說法則是將邊界切得更細。舉個具體的例子,即便使用者可以憑藉身分認證進入一家企業內,使用這家企業的信任網域做任何活動,而 ZTA 就像監視器一樣,會監視著使用者在網域上的一舉一動。除了監視,要防範惡意者,也必須判斷其活動並及時阻止惡意行為,因此查教授特別講解了 ZTA 的「大腦」和「手」,政策落實點 (Policy Enforcement Point,PEP) 是 ZTA 的手,當使用者發出存取公司內網資源的要求時,PEP 會先接收到這個訊息,並將此訊息傳遞給政策決策點 (Policy decision point,PDP) (也就是 ZTA 的大腦)決定是否允許這位使用者的要求,在 PDP 下達決定後,PEP 便會聽從這個決定做出相應的舉動。而 PDP 內部則是仰賴所謂的信賴演算法,它會考慮存取要求、主體資料庫及歷史、資產資料庫、資源政策要求、威脅情資與紀錄來做訓練,當然現今的 ZTA 架構會依照各個企業或機關的需求而有客製化的調整。

政策落實點 (PEP)及政策決策點 (PDP)是 ZTA 的核心機制之一。圖/查士朗教授提供

ZTA的迷思

迷思一:零信任架構=完全不信任任何使用者?

ZTA 是為了防止有心人士在進入企業內網後就能肆意做出任何惡意行動,但如果你是一個正常的使用者,只要通過認證,ZTA 還是會信任你的。

迷思二:ZTA 真的方便用嗎?會不會一直需要驗證?

查教授回答道 ZTA 通常會以連線為基礎做出行動,若是新建立連線必然要經過一次驗證,之後便會自動存取使用者驗證,並依照各家企業規定設定間隔多久需再驗證一次,所以不見得都要一直驗證。

迷思三:ZTA 在驗證、授權的過程中,均需要取得使用者和其使用裝置的相關資訊,是否會引發隱私權益問題?

查教授仔細講道,若是疫情下在家工作,使用自己的私人電腦連線公司內網,ZTA 確實有可能會看見私人電腦上的隱私資料。但是最簡單的解決方法,就是使用公發電腦或設備,這樣就不怕自己電腦的東西被看光光囉!

-----廣告,請繼續往下閱讀-----

迷思四:ZTA 可以完全取代 VPN?

查教授表示 VPN 在零信任架構中是連線工具而非安全工具,VPN 固然是遠端連線的常用工具,但它的存取權限非常有限(通常不會讓使用者從外部透過 VPN 碰到公司重要資源)。因此,ZTA 和 VPN 的作用其實是各司其職,VPN 負責連線,ZTA 則是負責公司內部重要資源保護與防範安全。

ZTA 的未來展望及挑戰

查教授認為目前主要有兩項挑戰:一、要達到零信任架構的整合,以現在的設備發展,不太可能把所有的設備都換掉,因此如何將既有設備整合到零信任架構、達到相關要求是一個重點。二、上述所提及的信賴演算法訓練程度也是一大重點,它是 ZTA 的核心,假使訓練得宜,安全防護加倍,反之,問題可就大囉~另外,ZTA 在台灣可說是百家廠商爭鳴的主推架構,但查教授認為更重要的是,普及 ZTA 的概念宣導讓社會大眾理解其運作模式,如此,對於個人,能免於受到財務或個資損失;對於企業,能成為永續運作的一環,免於資安問題而殃及利害關係人權益;對於國家,不但能領先於資訊戰,更能提供民眾穩定、信賴的服務,維護公有設施系統的穩定性。ZTA 是新型態的保護概念,不單單只局限於個人研發上的努力,更需整體社會、企業、政府的致力推動方能共創榮景。

查教授給有志投入資安產業者的勉勵

查教授真切地說道資安的領域很廣,涵蓋了技術、管理、稽核層面,當然甲方和乙方的需求也不一樣,若想知道自己適合哪個領域、哪個職位,首先必須清楚自己的個性,究竟是穩定型,還是喜歡探索開發型。但無論如何,做資安產業的人個性都要正直,並把基本功打好。

結語

很榮幸這次邀請到查士朝教授探討關於 ZTA 的概念,透過教授清楚仔細的講解,想必讀到這邊的讀者們已經收穫滿滿,ZTA 雖然起初設計的基礎是建立在企業上,但查教授認為未來也可能透過多因素身分認證 (Multi-factor authentication, MFA) 廣泛運用於個人資訊系統。ZTA 的發展指日可待!

-----廣告,請繼續往下閱讀-----

參考文獻

-----廣告,請繼續往下閱讀-----
文章難易度
科技大觀園_96
82 篇文章 ・ 1126 位粉絲
為妥善保存多年來此類科普活動產出的成果,並使一般大眾能透過網際網路分享科普資源,科技部於2007年完成「科技大觀園」科普網站的建置,並於2008年1月正式上線營運。 「科技大觀園」網站為一數位整合平台,累積了大量的科普影音、科技新知、科普文章、科普演講及各類科普活動訊息,期使科學能扎根於每個人的生活與文化中。

0

1
0

文字

分享

0
1
0
當心網路陷阱!從媒體識讀、防詐騙到個資保護的安全守則
鳥苷三磷酸 (PanSci Promo)_96
・2024/12/17 ・3006字 ・閱讀時間約 6 分鐘

-----廣告,請繼續往下閱讀-----

本文由 國家通訊傳播委員會 委託,泛科學企劃執行。 

網路已成為現代人生活中不可或缺的一部分,可伴隨著便利而來的,還有層出不窮的風險與威脅。從充斥網路的惡假害訊息,到日益精進的詐騙手法,再到個人隱私的安全隱憂,這些都是我們每天必須面對的潛在危機。2023 年網路購物詐欺案件達 4,600 起,較前一年多出 41%。這樣的數據背後,正反映出我們對網路安全意識的迫切需求⋯⋯

「第一手快訊」背後的騙局真相

在深入探討網路世界的風險之前,我們必須先理解「錯誤訊息」和「假訊息」的本質差異。錯誤訊息通常源於時效性考量下的查證不足或作業疏漏,屬於非刻意造假的不實資訊。相較之下,假訊息則帶有「惡、假、害」的特性,是出於惡意、虛偽假造且意圖造成危害的資訊。

2018 年的關西機場事件就是一個鮮明的例子。當時,燕子颱風重創日本關西機場,數千旅客受困其中。中國媒體隨即大肆宣傳他們的大使館如何派車前往營救中國旅客,這則未經證實的消息從微博開始蔓延,很快就擴散到各個內容農場。更令人遺憾的是,這則假訊息最終導致當時的外交部駐大阪辦事處處長蘇啟誠,因不堪輿論壓力而選擇結束生命。

-----廣告,請繼續往下閱讀-----

同年,另一則「5G 會抑制人體免疫系統」的不實訊息在網路上廣為流傳。這則訊息聲稱 5G 技術會影響人體免疫力、導致更容易感染疾病。儘管科學家多次出面澄清這完全是毫無根據的說法,但仍有許多人選擇相信並持續轉發。類似的例子還有 2018 年 2 月底 3 月初,因量販業者不當行銷與造謠漲價,加上媒體跟進報導,而導致民眾瘋狂搶購衛生紙的「安屎之亂」。這些案例都說明了假訊息對社會秩序的巨大衝擊。

提升媒體識讀能力,對抗錯假訊息

面對如此猖獗的假訊息,我們首要之務就是提升媒體識讀能力。每當接觸到訊息時,都應先評估發布該消息的媒體背景,包括其成立時間、背後所有者以及過往的報導記錄。知名度高、歷史悠久的主流媒體通常較為可靠,但仍然不能完全放下戒心。如果某則消息只出現在不知名的網站或社群媒體帳號上,而主流媒體卻未有相關報導,就更要多加留意了。

提升媒體識讀能力,檢視媒體背景,警惕來源不明的訊息。圖/envato

在實際的資訊查證過程中,我們還需要特別關注作者的身分背景。一篇可信的報導通常會具名,而且作者往往是該領域的資深記者或專家。我們可以搜索作者的其他作品,了解他們的專業背景和過往信譽。相對地,匿名或難以查證作者背景的文章,就需要更謹慎對待。同時,也要追溯消息的原始來源,確認報導是否明確指出消息從何而來,是一手資料還是二手轉述。留意發布日期也很重要,以免落入被重新包裝的舊聞陷阱。

這優惠好得太誇張?談網路詐騙與個資安全

除了假訊息的威脅,網路詐騙同樣令人憂心。從最基本的網路釣魚到複雜的身分盜用,詐騙手法不斷推陳出新。就拿網路釣魚來說,犯罪者通常會偽裝成合法機構的人員,透過電子郵件、電話或簡訊聯繫目標,企圖誘使當事人提供個人身分、銀行和信用卡詳細資料以及密碼等敏感資訊。這些資訊一旦落入歹徒手中,很可能被用來進行身分盜用和造成經濟損失。

-----廣告,請繼續往下閱讀-----
網路詐騙手法不斷進化,釣魚詐騙便常以偽裝合法機構誘取敏感資訊。圖/envato

資安業者趨勢科技的調查就發現,中國駭客組織「Earth Lusca」在 2023 年 12 月至隔年 1 月期間,利用談論兩岸地緣政治議題的文件,發起了一連串的網路釣魚攻擊。這些看似專業的政治分析文件,實際上是在臺灣總統大選投票日的兩天前才建立的誘餌,目的就是為了竊取資訊,企圖影響國家的政治情勢。

網路詐騙還有一些更常見的特徵。首先是那些好到令人難以置信的優惠,像是「中獎得到 iPhone 或其他奢侈品」的訊息。其次是製造緊迫感,這是詐騙集團最常用的策略之一,他們會要求受害者必須在極短時間內作出回應。此外,不尋常的寄件者與可疑的附件也都是警訊,一不小心可能就會點到含有勒索軟體或其他惡意程式的連結。

在個人隱私保護方面,社群媒體的普及更是帶來了新的挑戰。2020 年,一個發生在澳洲的案例就很具有警示意義。當時的澳洲前總理艾伯特在 Instagram 上分享了自己的登機證照片,結果一位網路安全服務公司主管僅憑這張圖片,就成功取得了艾伯特的電話與護照號碼等個人資料。雖然這位駭客最終選擇善意提醒而非惡意使用這些資訊,但這個事件仍然引發了對於在社群媒體上分享個人資訊安全性的廣泛討論。

安全防護一把罩!更新裝置、慎用 Wi-Fi、強化密碼管理

為了確保網路使用的安全,我們必須建立完整的防護網。首先是確保裝置和軟體都及時更新到最新版本,包括作業系統、瀏覽器、外掛程式和各類應用程式等。許多網路攻擊都是利用系統或軟體的既有弱點入侵,而這些更新往往包含了對已知安全漏洞的修補。

-----廣告,請繼續往下閱讀-----

在使用公共 Wi-Fi 時也要特別當心。許多公共 Wi-Fi 缺乏適當的加密和身分驗證機制,讓不法分子有機可乘,能夠輕易地攔截使用者的網路流量,竊取帳號密碼、信用卡資訊等敏感數據。因此,在咖啡廳、機場、車站等公共場所,都應該避免使用不明的免費 Wi-Fi 處理重要事務或進行線上購物。如果必須連上公用 Wi-Fi,也要記得停用裝置的檔案共享功能。

使用公共 Wi-Fi 時,避免處理敏感事務,因可能存在數據被攔截與盜取的風險。圖/envato

密碼管理同樣至關重要。我們應該為不同的帳戶設置獨特且具有高強度的密碼,結合大小寫字母、數字和符號,創造出難以被猜測的組合。密碼長度通常建議在 8~12 個字元之間,且要避免使用個人資訊相關的詞彙,如姓名、生日或電話號碼。定期更換密碼也是必要的,建議每 3~6 個月更換一次。研究顯示,在網路犯罪的受害者中,高達八成的案例都與密碼強度不足有關。

最後,我們還要特別注意社群媒體上的隱私設定。許多人在初次設定後就不再關心,但實際上我們都必須定期檢查並調整這些設定,確保自己清楚瞭解「誰可以查看你的貼文」。同時,也要謹慎管理好友名單,適時移除一些不再聯繫或根本不認識的人。在安裝新的應用程式時,也要仔細審視其要求的權限,只給予必要的存取權限。

提升網路安全基於習慣培養。辨識假訊息的特徵、防範詐騙的警覺心、保護個人隱私的方法⋯⋯每一個環節都不容忽視。唯有這樣,我們才能在享受網路帶來便利的同時,也確保自身的安全!

-----廣告,請繼續往下閱讀-----

討論功能關閉中。

鳥苷三磷酸 (PanSci Promo)_96
222 篇文章 ・ 313 位粉絲
充滿能量的泛科學品牌合作帳號!相關行銷合作請洽:contact@pansci.asia

2

4
0

文字

分享

2
4
0
AI 戰警出動——抓出惡意程式,資訊安全有保障!
科技大觀園_96
・2022/02/27 ・3145字 ・閱讀時間約 6 分鐘

-----廣告,請繼續往下閱讀-----

數位戰警網路掃黑。圖/fatcat11 繪

網路數位世界黑影幢幢,美國有線電視新聞網 CNN 曾報導,全世界每天產生超過 100 萬個惡意程式;臺灣軟體聯盟也曾發布調查報告,全球企業因惡意程式攻擊,每年損失超過 10 兆新臺幣,相當於我國 109 年度政府總預算的 5 倍。駭客散播惡意程式橫行網路,不僅企業深受其害,各國政府也防不勝防。

行政院資通安全處偵測統計,我國各政府單位每月被攻擊次數高達 2,000 萬到 4,000 萬次。近期最受矚目的就是,總統府在蔡英文總統 520 連任就職前夕,驚傳遭駭客入侵電腦竊取資料;接著 5 月底美國資安公司「Cyble Inc」揭露駭客在暗網[1]兜售「臺灣全國戶政登記資料庫」超過 2,000 萬筆臺灣民眾個資,接連引發輿論譁然。

面對駭客無窮盡的闇黑攻擊,臺灣大學電機工程學系教授林宗男從 2018 年開始,帶領團隊利用資料科學處理分析,建立網路異常與攻擊預測模式,發展「AI Cyber Security」(人工智慧網路安全)系統,從偵測藏身於 Windows 與 Android 系統的惡意程式、暗網流量分類與網路惡意流量偵測等「四管齊下」,全面展開網路掃黑行動,防堵駭客散播惡意程式搞破壞。 

國立臺灣大學電機工程學系教授林宗男。圖/李宗祐攝

抓出惡意程式的 AI 網路安全系統

這項研究計畫今年邁進第 3 年,「我們做出來的技術,都是可以馬上用的真槍實彈!」林宗男透露,相關前瞻技術初步成果陸續發表後,「國家安全局就找上門,要跟我們技術合作。」隨著世界各國競相重點投資,引領 AI 成為國力象徵,研究團隊除了以建置臺灣國家級網路防禦系統為目標,更希望這套系統能夠推廣成為捍衛各國企業或組織的數位戰警。

-----廣告,請繼續往下閱讀-----

就如同 CNN 報導,全世界每天產生超過 100 萬個惡意程式,網路數位世界危機四伏;但值得注意的是,這個數據還是 2015 年的統計,現在恐怕有增無減。研究團隊以先發制人策略,杜絕惡意程式伸出魔爪,利用 CNN(Convolutional Neural Networks,卷積神經網路)模型[2]訓練 AI ,偵測是否有惡意程式潛伏在使用者電腦 Windows 或手機 Android 系統蠢蠢欲動。

Windows 與 Android 的惡意程式偵測

「我們的目標是在他還沒有執行之前,阻止惡意程式啟動。」面對五花八門的應用程式,研究團隊指出,使用者在下載執行前,「把程式的 exe 執行檔轉換成圖片檔,放進我們建立的模型,AI 就會告訴你這個程式是惡意程式的機率是多少。如果很高,就不要執行,避免系統被惡意程式感染。」林宗男強調,能夠辨認程式碼到底是惡意或者是正常,是確保網路安全最重要的基本功。

偵測惡意程式效率明顯提升 7.2%。把執行檔圖形化的方法更為安全,只看圖的結構,不會啟動執行檔,可以避免在偵測過程被感染。圖/林宗男實驗室提供

經過測試驗證,Windows 偵惡系統成功率與準確率達 88.9%,超越全球圖形處理器領導廠商 NVIDIA 發表的 AI 偵惡技術 7.2%。林宗男指出,很多軟體公司都競相投入研究,就過去已公開發表的研究論文,NVIDIA 抓駭效率暫時領先群雄;臺大團隊與擁有雄厚資源的 NVIDIA 研究團隊相較,就像是小蝦米與大鯨魚,能夠超越他們很不容易。「但這僅是初步研究結果,我們還在持續精進中。」 

相對於 Windows 偵惡系統獨立開發,Android 偵惡系統則是與日本 NICT(情報通信研究機構)合作研發,利用臺大團隊提出的新演算法,把 NICT 研發的 AI 偵惡系統抓駭效率從 92% 提升到 96.2%,青出於藍而勝於藍,讓日本團隊印象深刻。 

-----廣告,請繼續往下閱讀-----
Android 惡意程式偵測:研究團隊透過取出已知惡意程式的可執行檔特徵,並利用反混淆技術加入新的特徵,再透過 AI 演算法處理特徵,判斷是否為惡意 Android 程式。圖/林宗男實驗室提供

透過機器學習,分析暗網流量

雖然無法做到百分之百滴水不漏,但為了知已知彼,研究團隊更直搗黃龍,「潛水」暗網蒐集情資,分析駭客行為特徵。林宗男表示,駭客為了躲避追蹤,都在暗網活動,因為透過 TOR 瀏覽器加密,網管人員無法辨識使用者到底是在上網聊天、傳資料、發送 Email,還是看 YouTube 聽音樂或追劇等。對追蹤技術研究者而言,到暗網觀察駭客「水面下」的活動,是很重要的情資來源。 

研究團隊透過 AI 研究分析已知惡意程式的網路行為特徵,再側錄蒐集暗網不同使用者上傳流量與行為模式,找出「壞人經常走的路徑」,把暗網流量做善惡分類,研判哪些是正常上網行為,哪些是惡意程式發動攻擊。林宗男舉例,就像防疫期間每個人都戴著口罩,但年紀大的和年紀輕的行為就是不一樣,「我們就是利用 AI 從行為特徵分辨使用者上網行為是否正常。」 

研究成果經與美國 IBM 和中華電信合作驗證測試,辨識率高達 99.6%,遠超過加拿大研究團隊的 81.6%。對 ISP(網路服務供應商)而言,若能明確辨識暗網流量分類,就不必把看影片或聽音樂等受到惡意攻擊可能性極低的影音串流,全部導入 IDS(入侵檢測系統)資安偵測,大幅節省資源。

暗網流量類型分類:臺大研究團隊利用 AI 演算法分析網路流量特徵,把經過匿名加密的流量分門別類,協助網管人員有效而安全的管理網路。圖/林宗男實驗室提供

惡意流量偵測,鞏固第 2 道防線

研究團隊也利用最近 3 年眾所周知的 10 種惡意程式,包括 2017 年肆虐全球的勒索軟體 WannaCry(想哭)進行惡意流量偵測「實兵演練」。畢竟惡意程式偵測不可能做到百分之百,漏網之魚在所難免。根據資安調查顯示,惡意程式滲透入侵電腦系統之後,平均長達 56 天才會被發現。 

-----廣告,請繼續往下閱讀-----

「惡意流量偵測其實是第 2 道防線!發生惡意流量代表電腦已經中毒了,我們的目標是在最短時間偵測出惡意流量。」林宗男透露,跨國網路科技公司 CISCO 現有商用偵測系統精確度已達 97.7%,「我們做得再好,也僅能微幅提升到 98.2%。」研究團隊再發揮 3 個臭皮匠勝過 1 個諸葛亮的精神,把 2 套系統截長補短,將精確度再向上提升 0.3%,堅持沒有最好、只有更好的信念,鍥而不捨地挑戰不可能的任務。

惡意流量偵測:研究團隊透過 AI 研究分析已知惡意程式的網路行為特徵,加速偵測發現網路異常流量,並揪出潛伏在網海裡面興風作浪的惡意程式。圖/林宗男實驗室提供

eID 的潛在風險

然而,林宗男也深知,資安不可能做到百分之百的絕對安全。當內政部決定在明年全面換發 new eID 數位身分證,建置 T-Road(政府資料傳輸平臺),打造跨政府機關資料通道網路,推動「一卡多用」串聯戶籍資料、健保資料庫、汽機車駕照交通監理資料、國民年金與勞保勞退年金等,同時政府也將讓 new eID 擁有線上交易完整性與不可否認性,做為電子商務交易憑證。林宗男對此呼籲政府應正視 new eID 缺乏法源依據的問題,更要從資訊安全的角度,重新審慎評估全面換發數位身分證的必要性。 

「透過 new eID 建置 T-Road 聽起來好像很方便、很進步,但對駭客而言,要偷取全國 2,300 萬人的資料,也非常方便。一旦出現資安破口,整個系統就會因單點失效而全面瓦解。」林宗男說,「new eID 把國人從出生到死亡所有資料全部放在 T-Road,我們都知道網路沒有絕對安全,還要把所有的東西全部放在一個籃子裡面嗎?」政府應該要有分散風險的危機意識,數位身分證絕對不能「一卡多用」。  

註解

  1. 利用 TOR(The Onion Router 洋蔥路由器)瀏覽器遮蔽使用者真實位址,避開網管系統追蹤的匿名網路。
  2. 參考人類大腦視覺組織建立的深度學習模型。
-----廣告,請繼續往下閱讀-----
所有討論 2
科技大觀園_96
82 篇文章 ・ 1126 位粉絲
為妥善保存多年來此類科普活動產出的成果,並使一般大眾能透過網際網路分享科普資源,科技部於2007年完成「科技大觀園」科普網站的建置,並於2008年1月正式上線營運。 「科技大觀園」網站為一數位整合平台,累積了大量的科普影音、科技新知、科普文章、科普演講及各類科普活動訊息,期使科學能扎根於每個人的生活與文化中。

0

4
0

文字

分享

0
4
0
物聯網世代資安保護的熱門選擇——新型「加密金鑰」PUF 技術
科技大觀園_96
・2022/02/06 ・1831字 ・閱讀時間約 3 分鐘

-----廣告,請繼續往下閱讀-----

隨著萬物聯網時代到來,越來越多數據以數位化方式儲存共享,架構安全性也越來越受到重視。就在今年 5 月,美國賓州大學研究團隊開發出一種基於石墨烯的 PUF(Physically Unclonable Function),能夠有效防範利用 AI 模型的新型攻擊,使加密金鑰更難以被破解。

石墨烯是一種由碳原子以 sp2 混成軌域組成六角型呈蜂巢晶格的平面薄膜,只有一個碳原子厚度的二維材料。圖/pixabay

什麼是 PUF?

要解釋什麼是 PUF,就得先理解物聯網(Internet of Things , IoT)的概念。簡單來說,物聯網就是讓設備裝上感測器、軟體及技術來相互連接傳輸資料所形成的網路,是很多產業智慧化的基礎,然而很容易就可以想像這種便利性同時也帶來更高的資安風險,由於物聯網設備涵蓋的領域相當廣泛,駭客從許多層面都可以發動攻擊。

物聯網是讓設備相互連接傳輸資料所形成的網路。圖/pixabay

過去談到物聯網的資訊安全,許多人都會先想到軟體及網路加密連線,但其實除了網路層面的安全防護,實體設備同樣存在著威脅。一旦出現仿冒晶片或其他問題,駭客就可能透過網路遠端控制設備獲得金鑰和其他敏感資訊,進而造成企業損失。以軟體為主的資安設計已不再足以提供全面保障,這也是為什麼基於硬體的安全技術開始逐年受到青睞。

全名為「物理不可仿製功能」 的 PUF 就是這樣一種硬體安全技術。透過半導體製程中引入的隨機變數,讓晶片在微觀結構上產生些許差異,在變數無法預測及控制的情況下,複製該晶片成為幾乎不可能的事,減少遭人逆向工程或操作的擔憂。這樣的隨機性、唯一性及不可複製性,讓 PUF 彷彿成為一種「晶片指紋」的存在,因此自然也變成新世代資安「零信任」(Zero Trust)架構下的熱門選擇。

-----廣告,請繼續往下閱讀-----

不同於傳統資訊加密技術將密鑰儲存在設備的方式,PUF 技術主要使用一個客製應用積體電路(Application Specific Integrated Circuit , ASIC)或現場可程式閘陣列(Field Programmable Gate Array , FPGA)就可以完成,透過製造時挑戰/反應數據庫(Challenge/Response)的建立,便能在無須加密認證演算法的情況下對設備進行驗證,防止身分被竊取、竄改的同時,也免除了將私鑰儲存在設備的額外成本以及金鑰遺失的風險。

自 2013 年開始,PUF 已經開始逐漸受到重視,只是就像所有的密碼學應用一樣,儘管 PUF 技術存在著這些驚人特性,駭客攻擊手法也仍在持續演化中。國外一些研究已經證明,透過機器學習,AI 技術還是可能預測出密鑰並獲取數據,因此針對 PUF 技術的改良研發也仍在持續進步中。

以賓州大學團隊 5 月公布在《 Nature Electronics 》的最新研究為例,工程科學與力學助理教授 Saptarshi Das 就進一步結合了石墨烯(Graphene)的諸多特性,開發出一種新型低功耗、可擴展及可重構的 PUF,在面對 AI 攻擊時也能保持顯著彈性不易被入侵。

據研究人員表示,透過石墨烯獨特的物理和電學性質,新型 PUF 更加節能、可延展,即使受到 AI 攻擊試圖預測金鑰,受損的系統也可以在不需要額外硬體或更換元件的情況下重新配置過程並生成新密鑰,藉此有效抵抗對傳統矽製 PUF 構成威脅的 AI 攻擊。

-----廣告,請繼續往下閱讀-----

隨著物聯網走入各大產業、設備數量大規模增長,可想見更嚴峻的資安挑戰也即將到來。目前國內廠商及研究團隊許多針對 PUF 的努力正在進行,除了矽智財知名大廠力旺開發的 NeoPUF 技術,成功大學電機系張順志教授進行的研究也是其中之一。

在「具高安全性且低耗能之物聯網晶片電路及系統之分析、設計及實作」整合型計劃中,張教授希望透過超低功耗之類比數位轉換器設計技術及內建物理密鑰技術、 AI 輔助訊號轉換電路設計技術的研發,來提升物聯網晶片的安全性與穩定性。據了解,該項目已經進入後期階段,將基於先前的經驗嘗試完成整個物聯網系統的實體整合與量測驗證。

資料來源

  1. 初探物聯網安全趨勢下PUF晶片安全發展機會|跨域資安強化產業推動計畫網站 ACW
  2. 具高安全性且低耗能之物聯網晶片電路及系統之分析、設計及實作-子計畫三:應用於高安全性且低耗能物聯網系統的類比至數位轉換器之研製( I )
  3. Stabilization in Physically Unclonable Constants
  4. Graphene key for novel hardware security | Penn State University

-----廣告,請繼續往下閱讀-----
科技大觀園_96
82 篇文章 ・ 1126 位粉絲
為妥善保存多年來此類科普活動產出的成果,並使一般大眾能透過網際網路分享科普資源,科技部於2007年完成「科技大觀園」科普網站的建置,並於2008年1月正式上線營運。 「科技大觀園」網站為一數位整合平台,累積了大量的科普影音、科技新知、科普文章、科普演講及各類科普活動訊息,期使科學能扎根於每個人的生活與文化中。

0

10
3

文字

分享

0
10
3
駭客終結者 2.0 登場!打破舊有資安概念,零信任架構 (ZTA) 引領資安新風潮——台科大教授兼資通安全研究與教學中心主任查士朝專訪
科技大觀園_96
・2021/09/09 ・3916字 ・閱讀時間約 8 分鐘

-----廣告,請繼續往下閱讀-----

現今,人們對於網路的依賴性大,尤其是疫情影響下的社會,各家企業紛紛採取居家辦公,此外,日常中的網路銀行轉帳、購買日用品、電子信箱等功能均需利用網路。但網路便利的同時,伴隨而來的就是,個資外洩、網路上的購賣身分遭到惡意人士盜用,魔鬼藏匿於網路的角落,緊盯著各個使用者的活動,看看誰是下一個受害者。

為了層層把關網路上的潛在危機,零信任架構 (Zero Trust Architecture,ZTA) 出現了!ZTA 是一種資安防護的新概念,打破了傳統以邊界(例如防火牆)區分內網及外網的資安型態。今天,想長點 ZTA 的新知識嗎?跟著查士朝教授的腳步來探索一下這個酷東西吧!

查士朝教授小簡介

查教授是台灣大學資訊管理博士,曾任職於意藍科技資深技術顧問,於資誠企業擔任資深經理。現為台灣科技大學資訊管理系教授,同時也身兼資通安全研究與教學中心主任。查教授獲得許多國際資安認證,近年致力於資訊安全相關研究,參與多項產學合作計畫,並協助政府建立資訊安全管理制度,並發掘系統資安漏洞以研擬推動智慧型手機應用程式安全與物聯網裝置安全檢測標準。

查士朝教授近幾年於資訊安全制度訂定及設計發想貢獻良多。圖/查士朗教授提供

ZTA 的誕生與發展

2003 及 2004 年間,傑里科論壇 (Jericho Forum) 為了達到網路資源於企業間共享的目的,因此想出了消除企業與企業間的網路邊界,但這個做法也造成了網路安全的漏洞,而解決這個漏洞的技術性方案就是 ZTA 的最初架構。可以說是無心插柳,柳成 ZTA 阿!但是,這個論壇當初提及的 ZTA 概念還是滿抽象的,因此,Forrester Research 前副總裁 John Kindervag 於 2010 年提出了具體的概念,他提出了三大核心理念:(一)裝置不再有信賴與不信賴的邊界 ,(二)不再有信賴與不信賴的網路,(三)不再有信賴與不信賴的使用者。而實際上的做法需要四大核心元件:

  1. 網路分區閘道 (Network Segmentation Gateway):當前的網路需要透過許多安全設備來保護其整體環境及數據,例如我們最常見的就是防火牆,還有為取得公司或機構內部存取權所需要用到的工具 VPN 。而 John Kindervag 想要開發出一個結合所有安全設備特性及功能的網路分區閘道(最強守衛者的概念),並將安全性構建到網路的架構當中,以安全的方式正確分割網路資源。
  2. 創建平行且安全的網路分區:打破以往防火牆只一分為二,阻隔外界及保護內部的功能。這裡運用的是微核心邊界 (Microcore and perimeter, MCAP) (圖二),你可以把它想像為「保護套」,將你想保護的資料都個別套起來,像是使用者端、網路應用、資料獲取網路都自己有一層保護套。如此一來,將資安防護不再單單只靠一層防火牆,而是個個資料、系統都有盾牌可以做自我保護。
  3. 網路後臺集中管理:承第 2 點提及的「保護套」,網路後臺是擔任管理這些微核心邊界 (MCAP) 的角色,增加操作上的便利性。
  4. 建立數據蒐集網路以掌控網路整體狀況:對於修繕故障網路的人來說,要能有效取得數據包是件非常困難的事,但在零信任網路中採用數據蒐集網路 (data acquisition network, DAN),此種方法結合網路分區閘道,能有效採集各個微核心的數據,加速數據取得以便日後故障修繕。
微核心邊界 (Microcore and perimeter, MCAP) 使整體網路環境又多一層保障。圖/查士朝教授提供

此外,美國國家標準技術研究院 (NIST) 也量身打造 ZTA 的標準指南 SP 800-207,時至今年美國政府所公布的網路安全策略中也包含了零信任架構,甚至要求美國聯邦政府網路導入零信任架構的網路安全策略,足見零信任網路架構在整體資安領域上佔有一席之地。當中,SP 800-207 講究七大原則:(1) 識別可存取資源;(2) 確保連線安全;(3)妥善存取控制;(4)考量存取者狀態;(5)了解資源狀態;(6)監控裝置與資源風險;(7)持續收集資訊與改善。

現今資訊安全防護存在什麼樣的漏洞?ZTA 如何防範的資安危機?

新聞報導資安危機事件層出不窮,於個人,個人資料被盜用、信用卡被盜刷;於企業,美國淨水廠系統及最大燃油管系統、銀行 ATM、國內科技大廠都曾遭受駭客及勒索軟體襲擊;於國家,國安危機更是重大事件。查教授講道過去的資安架構,往往只是透過防火牆等相關架構,將安全與不安全網域劃清界線,並且只注重防範邊界,無法防止內部橫向擴散。然現今惡意駭客早已能夠輕鬆越過此界線,橫行於安全網域之中。

-----廣告,請繼續往下閱讀-----
疫情下的遠距辦公,使駭客能趁機憑藉多種管道盜取企業內部資源。圖/查士朗教授提供

因此,ZTA 雖說是打破邊界,更貼近的說法則是將邊界切得更細。舉個具體的例子,即便使用者可以憑藉身分認證進入一家企業內,使用這家企業的信任網域做任何活動,而 ZTA 就像監視器一樣,會監視著使用者在網域上的一舉一動。除了監視,要防範惡意者,也必須判斷其活動並及時阻止惡意行為,因此查教授特別講解了 ZTA 的「大腦」和「手」,政策落實點 (Policy Enforcement Point,PEP) 是 ZTA 的手,當使用者發出存取公司內網資源的要求時,PEP 會先接收到這個訊息,並將此訊息傳遞給政策決策點 (Policy decision point,PDP) (也就是 ZTA 的大腦)決定是否允許這位使用者的要求,在 PDP 下達決定後,PEP 便會聽從這個決定做出相應的舉動。而 PDP 內部則是仰賴所謂的信賴演算法,它會考慮存取要求、主體資料庫及歷史、資產資料庫、資源政策要求、威脅情資與紀錄來做訓練,當然現今的 ZTA 架構會依照各個企業或機關的需求而有客製化的調整。

政策落實點 (PEP)及政策決策點 (PDP)是 ZTA 的核心機制之一。圖/查士朗教授提供

ZTA的迷思

迷思一:零信任架構=完全不信任任何使用者?

ZTA 是為了防止有心人士在進入企業內網後就能肆意做出任何惡意行動,但如果你是一個正常的使用者,只要通過認證,ZTA 還是會信任你的。

迷思二:ZTA 真的方便用嗎?會不會一直需要驗證?

查教授回答道 ZTA 通常會以連線為基礎做出行動,若是新建立連線必然要經過一次驗證,之後便會自動存取使用者驗證,並依照各家企業規定設定間隔多久需再驗證一次,所以不見得都要一直驗證。

迷思三:ZTA 在驗證、授權的過程中,均需要取得使用者和其使用裝置的相關資訊,是否會引發隱私權益問題?

查教授仔細講道,若是疫情下在家工作,使用自己的私人電腦連線公司內網,ZTA 確實有可能會看見私人電腦上的隱私資料。但是最簡單的解決方法,就是使用公發電腦或設備,這樣就不怕自己電腦的東西被看光光囉!

-----廣告,請繼續往下閱讀-----

迷思四:ZTA 可以完全取代 VPN?

查教授表示 VPN 在零信任架構中是連線工具而非安全工具,VPN 固然是遠端連線的常用工具,但它的存取權限非常有限(通常不會讓使用者從外部透過 VPN 碰到公司重要資源)。因此,ZTA 和 VPN 的作用其實是各司其職,VPN 負責連線,ZTA 則是負責公司內部重要資源保護與防範安全。

ZTA 的未來展望及挑戰

查教授認為目前主要有兩項挑戰:一、要達到零信任架構的整合,以現在的設備發展,不太可能把所有的設備都換掉,因此如何將既有設備整合到零信任架構、達到相關要求是一個重點。二、上述所提及的信賴演算法訓練程度也是一大重點,它是 ZTA 的核心,假使訓練得宜,安全防護加倍,反之,問題可就大囉~另外,ZTA 在台灣可說是百家廠商爭鳴的主推架構,但查教授認為更重要的是,普及 ZTA 的概念宣導讓社會大眾理解其運作模式,如此,對於個人,能免於受到財務或個資損失;對於企業,能成為永續運作的一環,免於資安問題而殃及利害關係人權益;對於國家,不但能領先於資訊戰,更能提供民眾穩定、信賴的服務,維護公有設施系統的穩定性。ZTA 是新型態的保護概念,不單單只局限於個人研發上的努力,更需整體社會、企業、政府的致力推動方能共創榮景。

查教授給有志投入資安產業者的勉勵

查教授真切地說道資安的領域很廣,涵蓋了技術、管理、稽核層面,當然甲方和乙方的需求也不一樣,若想知道自己適合哪個領域、哪個職位,首先必須清楚自己的個性,究竟是穩定型,還是喜歡探索開發型。但無論如何,做資安產業的人個性都要正直,並把基本功打好。

結語

很榮幸這次邀請到查士朝教授探討關於 ZTA 的概念,透過教授清楚仔細的講解,想必讀到這邊的讀者們已經收穫滿滿,ZTA 雖然起初設計的基礎是建立在企業上,但查教授認為未來也可能透過多因素身分認證 (Multi-factor authentication, MFA) 廣泛運用於個人資訊系統。ZTA 的發展指日可待!

-----廣告,請繼續往下閱讀-----

參考文獻

-----廣告,請繼續往下閱讀-----
文章難易度
科技大觀園_96
82 篇文章 ・ 1126 位粉絲
為妥善保存多年來此類科普活動產出的成果,並使一般大眾能透過網際網路分享科普資源,科技部於2007年完成「科技大觀園」科普網站的建置,並於2008年1月正式上線營運。 「科技大觀園」網站為一數位整合平台,累積了大量的科普影音、科技新知、科普文章、科普演講及各類科普活動訊息,期使科學能扎根於每個人的生活與文化中。