台積電日前爆發2奈米製程資料竊密事件,內部工程師將翻拍製程照片洩露予外部設備商,整起事件被台積電內部監控發現,通知檢警進行逮捕及調查,才曝光這起竊密事件,台積電能夠嚴密監控竊資行為,都要歸功於其嚴密的資安措施,然而,客戶遍布全球的台積電如何做好各地的廠區、辦公室,總數逾8萬名員工的資安防禦,參訪過台積電的數發部資安署長蔡福隆在今年數位政府高峰會分享他從參訪中學到的資安思維,並分享最新的國家資通安全發展方案,資安署未來將以推動全社會資安防禦、強化關鍵基礎設施的資安韌性等4策略,推動信賴安全的數位社會。
借重台積電資安經驗啟發資安防禦新思維
蔡福隆表示,台積電的工廠、園區遍布國內外各地,分散各地工廠、園區,統一將資安集中交給資安處的81位資安人員負責,以較少的資安人力控管公司的資安。其中為避免大為駭客入侵,導致資料外洩,台積電封鎖所有外網,上網必需透過RBI代理瀏覽器,郵件伺服器也需要透過Proxy代理伺服器取得郵件,這麼做的好處是,如果電腦遭植入後門程式,也無法對外聯繫,難以進行後續的攻擊行動。
其次是利用雲端CDN,來應對DDoS的攻擊。另外,為應對先前盛行的勒索軟體攻擊,台積電也部署EDR,而在今年初國內醫療機構遭到Crazyhunter駭客的勒索軟體攻擊,也證明部署EDR的防禦效果。
除了資安設備及服務,蔡福隆指出,台積電對每個監控到的事件,仔細分析事件發生的原因,進一步強化相關資安防禦機制,除了內部強化資安。
資安治理化繁為簡、減事減人
台積電對供應鏈管理也是另一個重點。台積電有許多供應鏈,他們也嚴格執行供應鏈管理,對於供應鏈提出許多稽核項目,過去為厚厚一疊的稽核項目,因為執行上並不容易,他們簡化供應鏈的管理縮減為10大類的管控措施,約50多項的稽核項目,例如電腦的安全設定等技術的控管項目,稽核人力也減少為2人1組,外出進行重點稽核,約半天完成。
從台積電的資安經驗,蔡福隆獲得啟發,目前政府的資安專屬人力,依資安法的編制約為1,500名,相較之下台積電僅需要81名資安人力,這是因為每個政府機關都需要資安人力,如果將每個機關當成獨立個體來防禦,當敵人入侵內部打巷戰,各地都需要建立防禦,就需要投入較高的成本 。相反地,如果將敵人拒之於外,投資防禦成本較低。「政府的資安防禦應該從思維、架構上著手,假設仍以過去城鎮戰的思維來防禦,我們的投入成本永遠都會那麼高」,他說。
過去政府推動各機關的資源向上集中,多年下來已有成果,但仍有部分機關窒礙難行。蔡福隆認為應建構防禦於大外網,將政府的網路架構,所有資源都向上集中,如同台積電封鎖對外網路,均透過跳板對外上網,才能降低資安防禦成本。
另外,台積電內部也推動嚴格的資安紀律,如果員工違返相關規定,影響到他們的績效獎金,其次是要確實將ISO27001等資安管理標準落實、稽核。
蔡福隆認為,傳統上資安防禦會認為,資安應辦事項愈多,防禦就能做的愈好,反而應該以減法法則,減少各機關資安應辦事項,多增加技術面的處理,提升機關的防禦能力,「有時候減事減人,效果反而更好」。
借鏡台積電經驗,機關稽核分級、重效率重務實
過去對各級機關的資安稽核工作繁重,各機關也需要稽核其下級機關,因此需投入相當多的時間在稽核,稽核能量也相當有限。從台積電的經驗,蔡福隆指出,稽核應該務實而有效,並且重於技術面的稽核、實地稽核。
蔡福隆提到目前規畫分為3級,第1級針對A、B級機關進行EASM外部曝險檢測,檢測外網是否存在風險;第2級則是遴選行政院的2級機關或是曾受資安會報稽核的機關,作內部檢測並利用AI作場外監控、稽核;第3級檢測則是遴選前2級較高風險及未曾受資安會報稽核的機關,進行技術檢測及實地稽核。
其中第2級的內部檢測運用檢測工具,例如Theatsonar、GCB、弱掃等工具,派人或委托廠商協助部署或檢測。蔡福隆表示,未來希望將這些工具發展為自動化機制,讓各機關能夠自行檢測並上傳結果,讓資安署進行分析,擴大檢測的範圍。
AI場外稽核則由機關提出文件,例如資通安全維護計畫、機關自評表及紀錄文件等,由AI在場外先判讀分析,判斷哪些尚未達到法遵要求;蔡福隆指出,去年已開始利用AI作場外稽核,經測試,AI場外稽核已有7到8成的正確性,仍會由人工審查,再要求機關修正改進審查發現的缺失。
第3級的技術檢測,資安署以3天12人力到各機作技術檢測;至於實地稽核,由稽核領隊帶領約10多人的團隊到各機關實地稽核。
蔡福隆表示,資安稽核將會逐步調整,希望從明年開始推動分級稽核,從EASM開始,並利用AI場外稽核作書面資料的審查,需要實地稽核的機關再由專門的團隊作實地稽核。「參考台積電的經驗,資安稽核進行調整,透過減事減人,降低對各機關的工作量,其次是務實、有效、重技術,並且不斷優化稽核,強化資安」,他說。
今年先試辦分級制度,明年計畫擴大稽核能量,2026年從原先稽核40個機關擴大為EASM檢測417個機關;在技術面檢測方面,從原本的15個場次提升為15個技術檢測加上40個內部檢測;至於AI輔助的程序面稽核,從原本的40個實地稽核擴大為30個實地稽核加上40個AI場外稽核。到了2027年,第1級EASM檢測機關將擴大到資安法納管的7,000個機關;第2級內部檢測加上AI場外稽核將擴大到100場。
.jpg)
目前面對DDoS攻擊,個別機關可能購買CDN服務來防禦,其他的機關則可能沒有,蔡福隆認為,現今的駭客攻擊多為國家級駭客攻擊,未來應從國家整體資安防禦的角度,可由數發部、資安署協助各機關加強DDoS攻擊防禦。
以產業、人才、政府建立國家資安正循環
作為國家資通安全發展的戰略,行政院甫於7月下旬通過並公布第7期國家資通安全發展方案,期程從2025年到2028年。
蔡福隆指出,第7期國家資通安全發展方案的核心為建構信賴安全的數位社會,將從產業、人才、政府三個方面正向循環,建構整個資安生態系,其中產業扮演火車頭角色,當產業發展成功,提供更好的待遇給資安人才,透過這些人才協助提升政府或是CI的資安防禦。
數發部作為國內資安政策規畫及發展的主管機關,從產業、人培、政府、國際4個方向,推動國家資安推動整體框架,每個方向各有其推動策略重點。
在政府方向,包括加強政府機關的資安防禦及治理,以及關鍵基礎設施(CI)的資安防禦及整體的資安聯防機制;在產業方向,推動資安產業、產業資安2個策略,資安產業透過政府採購、產品檢測等方式來培養壯大資安產業,另方面透過建立產業通報聯防制度、產業供應鏈強化產業資安能量。
推動人才培養方向,推動資安人才和加強民眾的資安意識;國際合作方向,加強國際資安合作及溝通交流,以及在新興科技上與國際接軌。
4大策略推動信賴安全的數位社會
蔡福隆表示,第7期國家資通安全發展方案框架,願景為建構信賴安全的數位社會,目標是強化全社會的資安防禦韌性,包含豐富資安產業生態系,以及構建新興科技防禦技術,資安署推動4大策略,包括提升全社會的資安防禦、強化關鍵基礎設施的資安韌性、壯大我國資安產業、AI新興資安科技應用與合作。
「美國前眾議長斐洛西來臺造成的資安事件顯示,政府對重大資安事件的應變仍不夠快速」,他表示,因此提升全社會的資安防禦成為重大政策之一,在穩定資安預算及持續培養充實資安人力之下,加強政府的資安防禦應處,還有提升民眾的資安職能及意識,「資安和每個人生活習習相關,包括物聯網家電、手機」。
今年6月因應兩岸關係緊張政府實施城鎮韌性演習,資安署希望未來也能導入資安實兵演練,以貼近實務的資安攻擊情境,透攻模擬實際攻防演練,來加強縣市政府的資安應處及復原。
在資安人才培養方面,除了專業技能、打造資安團隊、強化資安聯防這些既有的作法之外,蔡福隆表示,資安署也希望舉辦活動,促進資安社群的交流,「平時如果大家不熟悉、不溝通合作,當真的發生事件時,要大家聯防是不可能的」。
根據統計,政府目前的資安人力約有1,289名,人力缺口211人,除了持續延攬人才、培育人才之外,對於留才方面,對於資安專職人才提供增支加給,將會擴大適用的A級機關,將縣市政府納入,至於增支加給,課長(以九職等畫分)以下增支加給3千元,課長以上為5千元,蔡福隆表示,未來希望擴大到資訊人員,只要做資安工作,例如原碼檢測、漏洞修補,只要符合條件也可以納入加給,不只有資安正職人員;另外針對資安防護的評鑑優良的機關也提供獎金。
第2項策略是強化關鍵基礎設施的資安韌性,透過長期監控網路封包,建立本土威脅情資資料庫,並和本土的資安廠商分享,此外,也針對CI的安全舉辦跨國攻防演練,2025年為醫療領域,2027年為交通領域。
壯大資安產業上,利用政府機關採購資安產品,強化資安產品的檢測,一方面強化政府機關的資安防禦,也強化政府採購供應管理,由TWCERT成立PSIRT聯絡小組,對漏洞提供通報管道、回應並進行修補。
導入AI資安防禦、研擬後量子密碼遷移政策
而在AI新興資安科技部分,未來利用AI來模擬攻防訓練,對機關進行攻防演練。蔡福隆表示,目標是打造下一代AI資安防護系統,AI自動辨識偵測異常行為,AI產生報告,建立AI防護機制,另外,如前面提到的推動AI稽核審查。
對於後量子密碼遷移程序,蔡福隆指出,除了參考國際趨勢,現階段會盤點政府機關及CI的現行密碼及風險,預計年底前訂定後量子密碼遷移政策,包括對自然人憑證、醫事憑證、工商憑證等重要憑證,未來面對後量子密碼因應及遷移,同時也會參考國際標準,對後量子產品建立驗測機制。
