「資安議題跟AI、區塊鏈都有或多或少的關聯性,我在資安領域累積超過20年資安防護跟密碼學實務經驗,特別是匯智安全科技專注以密碼學技術為核心的資安公司,因此要掌握2024的資安趨勢,可以關注三大議題,」匯智安全科技總經理鄭嘉信,在第七屆《Hit AI & Blockchain》人工智慧暨區塊鏈產業高峰會表示。
鄭嘉信點出今年要特別重視的資安三大面向,首先第一點是「政經目的成為駭客攻擊主軸」。「白帽駭客攻擊的人,目前多數不會利用攻擊的犧牲者,來追尋冠冕或自我實現,而多數都是為了拚經濟,」鄭嘉信如此說。
另一方面,因為Cyberwar成形,讓駭客成為專門工作,軍事強權投入大量資源做軍事等級的駭客訓練。至於民間駭客圈則是流行資料竊取變賣,駭客透過勒索軟體向企業勒贖以解鎖檔案資料,其實背後的動機,就是駭客想要告訴企業寶貴資料在他們手上。由此觀之,不論是癱瘓基礎設施,或是變賣、勒贖企業營運重要資料,都讓駭客經濟學成為新興的事業。「不過,如果檔案儲存前被加密起來,那麼駭客的勒贖意圖就難以得逞,」鄭嘉信補充道。
資安第二個需要關注的議題是「資安防禦主流思維轉向零信任」。美國拜登總統在2022年發布行政命令,要求聯邦政府機構在2024年9月30日前,需要制定推動零信任架構的運用計畫,讓零信任成為資安新顯學。
鄭嘉信解釋,所謂零信任的假設前提,在於任何交易、個體與身分在獲得信任並持續維持信任之前,全都不可信任。秉持永不信任,一律驗證的原則,資安從邊界防禦轉變到零信任架構代表,對於企業決策者,不論是員工或駭客都不值得信任,每個動作之前都需要被授權。
目前美國國家標準與技術研究院NIST公布有關零信任架構(Zero Trust Architecture,ZTA),套用在網路環境符合ZTA安全模型特質的網路防禦就是ZTNA。根據Gartner預估到2025年止,70%的遠端存取大多使用VPN將移轉成為ZTNA的方案。鄭嘉信強調,現在企業需要保有與駭客共存思維,也就是即使防禦再好,網路攻擊一定會發生,所以如何用更好的辨識系統以管控系統與資料存取、
第三個議題則是「量子電腦對公鑰密碼系統構成嚴重威脅」。量子運算將顛覆現有運算架構,過去傳統架構計算機以線性處理單一資料,但量子電腦一次可以處理大量資料,量子運算最適合用來做大量可能性問題的解方,例如DNA分析或是公鑰密碼系統的破解。根據IBM宣稱2025年將產出4000qubits的量子運算系統,換言之,破解威脅越來越近,尤其區塊鏈基於公鑰密碼系統技術,將首當其衝面臨量子電腦革命衝擊,全球將面臨Y2Q(Year to Quantum)挑戰。
由於公鑰密碼系統是現有網際網路運作的基石,爲電腦提供識別與密鑰交換