《Hit AI & Blockchain》匯智安全科技總經理鄭嘉信:2024年資訊安全新趨勢,關注三大議題解析當前挑戰
ernest
2024-02-06 16:30

「資安議題跟AI、區塊鏈都有或多或少的關聯性,我在資安領域累積超過20年資安防護跟密碼學實務經驗,特別是匯智安全科技專注以密碼學技術為核心的資安公司,因此要掌握2024的資安趨勢,可以關注三大議題,」匯智安全科技總經理鄭嘉信,在第七屆《Hit AI & Blockchain》人工智慧暨區塊鏈產業高峰會表示。

鄭嘉信點出今年要特別重視的資安三大面向,首先第一點是「政經目的成為駭客攻擊主軸」。「白帽駭客攻擊的人,目前多數不會利用攻擊的犧牲者,來追尋冠冕或自我實現,而多數都是為了拚經濟,」鄭嘉信如此說。

另一方面,因為Cyberwar成形,讓駭客成為專門工作,軍事強權投入大量資源做軍事等級的駭客訓練。至於民間駭客圈則是流行資料竊取變賣,駭客透過勒索軟體向企業勒贖以解鎖檔案資料,其實背後的動機,就是駭客想要告訴企業寶貴資料在他們手上。由此觀之,不論是癱瘓基礎設施,或是變賣、勒贖企業營運重要資料,都讓駭客經濟學成為新興的事業。「不過,如果檔案儲存前被加密起來,那麼駭客的勒贖意圖就難以得逞,」鄭嘉信補充道。

資安第二個需要關注的議題是「資安防禦主流思維轉向零信任」。美國拜登總統在2022年發布行政命令,要求聯邦政府機構在2024年9月30日前,需要制定推動零信任架構的運用計畫,讓零信任成為資安新顯學。

鄭嘉信解釋,所謂零信任的假設前提,在於任何交易、個體與身分在獲得信任並持續維持信任之前,全都不可信任。秉持永不信任,一律驗證的原則,資安從邊界防禦轉變到零信任架構代表,對於企業決策者,不論是員工或駭客都不值得信任,每個動作之前都需要被授權。

目前美國國家標準與技術研究院NIST公布有關零信任架構(Zero Trust ArchitectureZTA),套用在網路環境符合ZTA安全模型特質的網路防禦就是ZTNA。根據Gartner預估到2025年止,70%的遠端存取大多使用VPN將移轉成為ZTNA的方案。鄭嘉信強調,現在企業需要保有與駭客共存思維,也就是即使防禦再好,網路攻擊一定會發生,所以如何用更好的辨識系統以管控系統與資料存取、並目提供多層次深度的防禦,才能有效降低資安事件危害。

第三個議題則是「量子電腦對公鑰密碼系統構成嚴重威脅」。量子運算將顛覆現有運算架構,過去傳統架構計算機以線性處理單一資料,但量子電腦一次可以處理大量資料,量子運算最適合用來做大量可能性問題的解方,例如DNA分析或是公鑰密碼系統的破解。根據IBM宣稱2025年將產出4000qubits的量子運算系統,換言之,破解威脅越來越近,尤其區塊鏈基於公鑰密碼系統技術,將首當其衝面臨量子電腦革命衝擊,全球將面臨Y2QYear to Quantum)挑戰。

由於公鑰密碼系統是現有網際網路運作的基石,爲電腦提供識別與密鑰交換協議的服務,一旦公鑰密碼系統被攻破,將導致城市基礎設施或是區塊鏈金融體系的癱瘓。這個挑戰目前有哪些手段因應?鄭嘉信提到,全球因應量子威脅,已經制定了可抵擋攻擊的後量子密碼演算法 (Post-Quantum Cryptography),且美國政府預計在20252030年推動CNSA 2.0,以作為政府與民間共通之密碼應用的預設演算法,預計在20302033年限制這些共通應用,必須符合CNSA 2.0 運作標準作為防禦量子計算的解密能力。