用"道高一尺、魔高一丈"来形容你来我往的信息安全攻防,似乎很贴切!继网络、计算、存储之后,网络安全已成第四大 IT 基础设施;近来,人们工作及生活型态加速向网络靠拢、以及企业数字转型/工业 4.0 的拉动,更使信息安全能见度大幅提升、甚至成为新兴投资目标——这点从业界多起大型并购与投信业发行信息安全股票型基金 (ETF) 就可一窥堂奥。
工作负载移转到云端,正在转变企业组织对于"托管安全服务"(MSS) 的消费模式,AWS、Google、Microsoft、Oracle 和 Rackspace 等云端服务大厂亦相继增强 MSS 产品,以软件即服务 (SaaS) 形式提供的MSS 产品的市场需求日益高涨。进入 5G 时代后,大量使用软件定义网络 (SDN)、网络功能虚拟化 (NFV)、网络切片 (Networking Slicing)、多接取边缘计算 (MEC) 等新技术,让"信息安全合规"已然成为未来 5G 市场决战关键,亦衍生另一种"SaaS"新业态——安全即服务。
在 5G 实践万物相连后,信息安全威胁恐从谋财进阶为"骇命"!聪明的企业信息安全准则是"零信任"(Zero Trust)——预先设想到被黑客攻击的各种情境并制订因应计划、非事后才被动亡羊补牢,进行业界戏称的"创可贴"补救。信息安全必须从芯片设计/系统开发之初就拟订架构与策略,半导体大厂与行业协会在信息安全结构与合规性皆有相关规范。去年全球12 件大漏洞、有半数是瞄准物联网 (IoT) 设备而来。物联网网络安全的未来,在于强大的"嵌入式保护"。
在工业物联网 (IIoT) 促使信息科技 (IT)、运营科技 (OT) 融合的同时,IT 风险也被完整扩及 OT 层面。新威胁和攻击机制的兴起,已从根本上改变工业控制系统 (ICS) 和数据采集和监控 (SCADA)。协同物联网、人工智能 (AI)、数据分析、连通性和数字认证工作,可实现早期预警系统 (EWS)。当黑客攻击趋向智能化,"严格的网络分段"是防御第一步,容器 (Container) 与 DevSecOps 是执行安全隔离的重要开发工具。
数字双胞胎 (Digital Twins,数字分身) 与区块链 (Blockchain),对于 IIoT 的生态安全有实质效益;其中,信任根 (RoT) 与区块链的结合又产生另一个新的 Trust 协议,允许区块链扩展具有嵌入式安全性的可信交易。另一方面,IoT 设备可为攻击者提供进入家庭网络的便捷途径;随着在家工作风气渐盛,攻击者有机会借道员工个人网络长驱直入企业网络。后疫情时代,防骇与防疫同样不容轻忽。
