國際資安領導品牌 Fortinet 副總裁 Jim Richberg : AI 是捍衛資安的超級戰力

台北報導 - 2019年9月4日
-

 

臉書因為個資外洩,被美國聯邦貿易委員會 ( FTC ) 罰款五十億美元;一名駭客透過 email等方式,層層布局,冒用廣達身分騙走了谷歌、臉書支付的兩千三百萬美元貨款……資安漏洞對企業帶來的損失與成本,越來越高,加上數位轉型下的各種新科技應用,又對資安防護帶來更高的挑戰。

Jim Richberg 曾在美國中央情報局 ( CIA ) 等美國情報單位,任職長達三十四年,期間除了協助十七個美國聯邦部門機構制定資安策略 、倡議全國性的國家網路安全外,也負責網路情報工作,帶領美國的反情報相關計畫,對於國際性的網路威脅有深入的研究。

Richberg 退休後,加入國際資安領導品牌 Fortinet ,接下副總裁一職。今年《 商業周刊 》「 圓桌趨勢論壇 」 夏季場中,邀請 Richberg 解析 「 大智移雲 」 趨勢中的資安轉型關鍵,並探討台灣產業在資安轉型環境下的威脅與契機。以下是他在論壇中闡述的內容重點整理:

「 數位轉型 」 是當前企業在面對資安議題時最大的挑戰!目前幾乎所有領先企業所有的核心業務,均依賴網路,然而 CEO 們在為了提升競爭力,而投入數位轉型競賽的同時,也深知數位轉型背後蘊含難以計量的風險。

有一個例子值得大家來參考:二○一八年,英國航空因五萬名乘客個資被駭事件,含罰款和事後補救一共損失了近五億美元。調查認為,該起事件的主因是其個資系統缺乏嚴謹的安全防護。如果英航事先投資資安防護工作,所需的金額則不及五億美元的一 % 。

數位轉型帶來一個巨大的改變是 IT ( Information Technology ) 和 OT ( Operational Technology ) 系統的融合,例如工業控制系統 ( ICS 或 SCADA ) 。以往 IT 和 OT 系統被認為應該要個別獨立,而現在越來越多的設計是刻意將兩者結合,業務核心的營運流程被設計成可以遠端存取,諸如雲端的 「 平台及服務 」 模式及軟體定義廣域網路 ( SD – WAN ) ,在帶來效能的同時,也提升資安防護的複雜性。同時,大量物聯網 IoT 設備常被惡意網路活動當作 「 破口 」 。也就是說組織擁抱數位轉型的同時, 「 曝險部位 」 也跟著增加,出現更多的網路安全漏洞。

除了系統面的變化,我也要提醒 「 內部風險 」 的重要性。根據研究,有三分之二的網路活動破壞,來自外部攻擊,剩下的三分之一卻是來自內部人員;而其中除了少部分蓄意竊取和外洩,絕大多數是因為人為失誤,例如將機密訊息發送給錯誤的 Email 收件人;一些外部攻擊會以惡意軟體等方式進行,使得員工在發送 Email 當下,間接成為攻擊活動的載體。

值得注意的是,現在的惡意網路活動也越來越聰明,不再使用容易被偵測到的惡意軟體,改用不易被察覺的合法存取管道,然後駭進你的網路,企圖偷走你的使用者帳號密碼、進入你的內部網路。

統一平台有效遏止資安威脅

雖然挑戰越來越多,所幸資安的技術也不斷進化,可以為企業建立起強大的安全防護架構。例如面對不易被察覺的外部威脅和內部人為失誤,系統在判斷時必須使用基於 「 意圖 」 的偵測方式,例如現在已有所謂 「 零信任 ( zero trust ) 」 的運算。

在網路安全技術提供商統一平台的方式興起後, AI 人工智慧利用這些平台,創建的大數據能力不斷提高,則成為守備面 「 扭轉劣勢 」 的新趨勢。像 Fortinet 這類大型資安公司,長期支持資安領域的 AI 發展,以共同的方法檢視在端點或存取點、 IoT 物聯網設備,或是在核心的 IT 系統、雲端等各種來源的資料。

Fortinet 在全球有近四十萬個企業客戶,透過統一平台即時偵測,在辨認、阻斷一個威脅的同時,其餘四十萬個用戶也都能受惠,這能在越來越大量的網路惡意攻擊下,提供有利於防禦者 「 自動化 」 的系統性平衡。這對於沒有能力或預算建置內部專業網絡安全人員的中小型組織來說,尤其重要。

BOX:「 資安轉型 」 浪潮中  台灣電子業的機會在哪?

論壇結束後,Jim Richberg向 《 商業周刊 》 分享他對資安轉型趨勢與電子產業鏈的獨到觀察。

他以美國加州明年即將上路的第一個 《 IoT 裝置安全法 》 為例指出,該法案要求製造商為 IoT 裝置,提供合理的安全功能,包括每一台分配自有密碼,或強制使用者在首次連網時設定自有密碼,以保障資料的安全。

而台灣生產大量的電子設備元件,除了未來在產品面勢必將注入更多資安防護概念,本身在營運與生產流程的安全防護能力,也將影響到企業競爭力, 「 可以預見的是,從政府或客戶端的角度,都日益專注在供應鏈的檢視,你的產品越能保障資安,就占據越好的市場位置。 」 他說。

Richberg 指出,資安帶來的經濟犯罪、智慧財產權、個資盜竊、勒索軟體、國家層級的間諜活動等風險,越來越多元, 「 你們遇到的是全部,我想這代表你們需要格外小心,尤其台灣企業在全球 IT 產業供應鏈中的角色非常關鍵,如果你們犯了一個錯,整條產業鏈都會受影響。 」

Fortinet  北亞區總經理陳鴻翔也表示,台積電 WannaCry 變種病毒的事件,給了台灣電子業一大警訊,至少在一年前就紛紛將資安視為關鍵議題。他強調,不只是電子業,所有製造業同樣在面臨 IT 和 OT 系統整合的趨勢,而資安帶來的風險,在不同產業都可能帶來驚人的損失,例如化學廠可能發生機密配方被竊,甚至被惡意地變更產程中的配方,而事情一旦發生後,除了立即的賠償損失,商譽的毀壞更難以重建。

陳鴻翔強調,資安關乎到的不只是科技,更關乎企業的政策、流程,以及每一位員工,以臉書的案件為例,就是決策失誤而非惡意行為,但目前所觀察到的企業內部人員資安意識和訓練明顯不足。以 Fortinet 為例,在前美國國安局網路安全負責人 Philip Quade 加入團隊擔任資安長後,針對員工與合作夥伴導入一系列 Fortinet 安全織網  ( Fortinet Security Fabric )  訓練課程。安全織網為企業提供全面整合真正的自動化安全基礎架構,無論是虛擬環境、雲端環境還是從事內部部署,為每個網路區段、設備、設備與設備間提供無與倫比的保護和可視性,以協助客戶達到完善的資安防禦。

< 全文轉載自商業週刊1658期 >

關於 Fortinet ( www.fortinet.com/tw )

Fortinet (NASDAQ: FTNT) 致力保護全球大型企業、服務供應商和政府組織,為客戶提供完整的智慧型安全防護,以因應日趨擴大的攻擊範圍,並滿足無邊界網路在今日與未來造成的效能需求。唯有 Fortinet 的安全架構能提供滴水不漏的防護,並解決網路、應用程式、雲端和行動環境中最嚴苛的安全挑戰。Fortinet 的安全設備出貨量在全球排名第一,並深受全球 40 多萬名客戶的信任。更多有關Fortinet的資訊,請至 Fortinet官方網站Fortinet部落格,或是 FortiGuard實驗室

Copyright © 2019 Fortinet, Inc。保留所有權利。符號 ® 和 TM 分別代表 Fortinet 公司、其子公司及相關企業的聯邦政府註冊商標和普通法商標。Fortinet 的商標包括但不限於 Fortinet, FortiGate, FortiGuard, FortiCare, FortiManager, FortiAnalyzer, FortiOS, FortiADC, FortiAP, FortiAppMonitor, FortiASIC, FortiAuthenticator, FortiBridge, FortiCache, FortiCamera, FortiCASB, FortiClient, FortiCloud, FortiConnect, FortiController, FortiConverter, FortiDB, FortiDDoS, FortiExplorer, FortiExtender, FortiFone, FortiCarrier, FortiHypervisor, FortiInsight, FortiIsolator, FortiMail, FortiMonitor, FortiNAC, FortiPlanner, FortiPortal, FortiPresence, FortiProxy, FortiRecorder、FortiSandbox, FortiSIEM, FortiSwitch, FortiTester, FortiToken, FortiVoice, FortiWAN, FortiWeb, FortiWiFi, FortiWLC, FortiWLCOS 與 FortiWLM

所有其它提及之商標各歸其擁有者所有。Fortinet 並未獨立驗證本處第三方機構所做之聲明或認證,亦不為此處任何聲明背書。即使本文載有相反規定,此處任何內容均不構成 Fortinet的保證、擔保、契約、具約束力的規範或其他具約束力的承諾,也不構成與具約束力的承諾和效能有關的任何意向指示。此處的規範資訊可能僅屬於某些環境。本新聞稿可能包含涉及不確定性和假設性的前瞻性聲明,例如與技術發佈有關的聲明等。我們透過 www.sec.gov 送交給美國證券交易委員會的文件中提及的情況變化、產品發佈延遲或其他風險可能會導致結果與本新聞稿中明示或暗示的結果有重大差異。若不確定性獲得實現或此類假設證明為不正確,結果可能與此類前瞻性聲明與假設所明示或暗示的結果有實質差異。所有非歷史事實以外之陳述即可視為前瞻性陳述。Fortinet 沒有義務更新任何前瞻性聲明,並明確聲明不承擔此義務。