美國前資安官員:好萊塢誇大了駭客的能耐

台北報導 - 2019年8月27日
-

 

隨著資訊化程度提升,原先只是產業界會關心的資安防護議題,變成政府也需要費心,甚至要設置專責機構處理的程度。具備相當豐富政府資安政策經驗的 Jim Richberg ,如今到業界工作,仍舊願意分享他對於資安政策的想法,並且指出好萊塢誇大了駭客的能耐,講成上天下地的天神了。

影劇作品神化駭客的能耐與成功率

Jim Richberg 有三十年政府資安經驗,如今轉到民間企業 Fortinet 的資安長 ( CISO ) 辦公室任職資安副總裁,豐富的經驗,一直是大大小小規模的資安會議重要參與人。 Jim 說駭客沒有影劇作品中表現得那麼神,防守方一定是佔優勢的一方,攻擊入侵的一方往往要嘗試好幾次,把握防守方那珍貴的 1 % 失誤機會,才有可能成功入侵。

Jim 進一步說大家常常從媒體得知哪家大企業或政府機關遇到資料外洩事件,他也感謝媒體的報導,並且說媒體是朋友,不過他同時指出當他說話時,往往令他旁邊的公關人員要很小心聽他說的話,深怕有說錯或引發爭議的話語。 Jim 總結資安報導這回事,公司並不愛壞消息,而媒體則是天性愛壞消息。他建議像我們這類報導資安的媒體,要好好如實紀錄發生了甚麼事情,至少撰文用詞上,區分入侵和攻擊事件。一般來說不會將常見的治安事件如闖空門敘述成攻擊,但在報導資安事件時,入侵被跨大說成攻擊,就是超過的情形了,媒體該好好拿捏尺度。

Jim 也談到影視作品,如好萊塢電影或是影集作品神話入侵這件事,不論是心懷不軌的駭客還是 《 CSI:Cyber 》 當中的數位鑑識人員,入侵是一件相當乏味而且費時甚久的過程,不是劇中半分鐘畫面,敲敲鍵盤一下子就有結果。前面提及防守方有優勢,入侵者得把握防守方那 1 % 出錯的機會。

國家會保護好脆弱的關鍵基礎設施,防守方有主場優勢

而一般人會想到不少駭客是國家級駭客,往往針對敵對國家的設施攻擊,不會是一般人的事情。但隨著越來越多的設備聯網,一般公司也有些錢財,防護也比國家弱,成為商業間諜下手的好目標。

這年頭新技術如 AI 、 5G 到底對資安有甚麼影響, Jim 認為 5G 影響還好,真正重要的是 AI ,入侵者和防守方都會獲益。不過防守方仍有主場優勢,能透過大量累積的連線 log 紀錄,訓練 AI 自動化偵測可疑行動,取得傳統人力來做難以達成的事情。

Jim 也說 Fortinet 與業者做平台要交流警訊資料,彼此之間分享資料,更強化防守方的能力。對於入侵者來說,他們本來的成功率就不高了,需要花相當長的時間嘗試,不停的失敗之後也許有可能成功一次。大部分人都不是像是福爾摩斯作品當中的壞蛋莫里亞提那麼聰明,公司內部或是顧問性質的紅隊通常要找特殊方法侵入,所以防守方只要轉換視角,設想犯罪者會怎麼做,預先多一步往往就佔了上風。

政府的法規如同胡蘿蔔和鞭子

大半時光貢獻給公部門的 Jim ,來到 Fortinet 不過幾個月光景,談到法規制定者的腳色。政府通常是大尺度管理國家的政策,在資安政策上也是,他花了不少時間協助制訂數據指標,評估國家層級的資安狀況,才有可能針對不足處改善。另外還要面對特定國家可能的攻擊,展開防守佈局。

Jim 比喻政府手上的工具像是胡蘿蔔和鞭子,像是資料保護法規方面,近期有歐盟 GDPR 以及美國加州連線法律,這些法律就像鞭子一樣,出錯會罰公司,罰款金額相當高,甚至還有不回報資安事件,企圖隱瞞事件公司董監事必須要坐牢的條款,督促民間別做不好的事情,好好保護產品和服務。

由於國家的防護力量一般是強過民間,因此政府的資安單位也會多多留意像是水、電、能源供應等關鍵基礎設施的防護,避免成為國家級駭客的攻擊目標。

Jim 在這次訪問分享了不少事情與看法,不過可惜這趟來到台灣是商務旅程,忙著見台灣的合作伙伴,還沒有機會與台灣的資安單位交流,台灣被頻繁攻擊入侵,攻擊事件頻傳的地方,一定能從美國政府的經驗取經,憑藉他在公部門的寶貴經驗給予很貼切的建議。

文 / 陳瑞霖 <全文轉載自科技新報>

https://technews.tw/2019/08/21/former-us-security-intelligent-office-says-hollywood-dramatize-hackers-ability/

關於 Fortinet ( www.fortinet.com/tw )

Fortinet (NASDAQ: FTNT) 致力保護全球大型企業、服務供應商和政府組織,為客戶提供完整的智慧型安全防護,以因應日趨擴大的攻擊範圍,並滿足無邊界網路在今日與未來造成的效能需求。唯有 Fortinet 的安全架構能提供滴水不漏的防護,並解決網路、應用程式、雲端和行動環境中最嚴苛的安全挑戰。Fortinet 的安全設備出貨量在全球排名第一,並深受全球 40 多萬名客戶的信任。更多有關Fortinet的資訊,請至 Fortinet官方網站Fortinet部落格,或是 FortiGuard實驗室

Copyright © 2019 Fortinet, Inc。保留所有權利。符號 ® 和 TM 分別代表 Fortinet 公司、其子公司及相關企業的聯邦政府註冊商標和普通法商標。Fortinet 的商標包括但不限於 Fortinet, FortiGate, FortiGuard, FortiCare, FortiManager, FortiAnalyzer, FortiOS, FortiADC, FortiAP, FortiAppMonitor, FortiASIC, FortiAuthenticator, FortiBridge, FortiCache, FortiCamera, FortiCASB, FortiClient, FortiCloud, FortiConnect, FortiController, FortiConverter, FortiDB, FortiDDoS, FortiExplorer, FortiExtender, FortiFone, FortiCarrier, FortiHypervisor, FortiInsight, FortiIsolator, FortiMail, FortiMonitor, FortiNAC, FortiPlanner, FortiPortal, FortiPresence, FortiProxy, FortiRecorder、FortiSandbox, FortiSIEM, FortiSwitch, FortiTester, FortiToken, FortiVoice, FortiWAN, FortiWeb, FortiWiFi, FortiWLC, FortiWLCOS 與 FortiWLM

所有其它提及之商標各歸其擁有者所有。Fortinet 並未獨立驗證本處第三方機構所做之聲明或認證,亦不為此處任何聲明背書。即使本文載有相反規定,此處任何內容均不構成 Fortinet的保證、擔保、契約、具約束力的規範或其他具約束力的承諾,也不構成與具約束力的承諾和效能有關的任何意向指示。此處的規範資訊可能僅屬於某些環境。本新聞稿可能包含涉及不確定性和假設性的前瞻性聲明,例如與技術發佈有關的聲明等。我們透過 www.sec.gov 送交給美國證券交易委員會的文件中提及的情況變化、產品發佈延遲或其他風險可能會導致結果與本新聞稿中明示或暗示的結果有重大差異。若不確定性獲得實現或此類假設證明為不正確,結果可能與此類前瞻性聲明與假設所明示或暗示的結果有實質差異。所有非歷史事實以外之陳述即可視為前瞻性陳述。Fortinet 沒有義務更新任何前瞻性聲明,並明確聲明不承擔此義務。