反應太慢、守口如瓶,企業與國家資安盲點怎解?專訪 Check Point 亞太、中東與非洲策略長

當數位攻擊拉升到國家層級,有些是訊息戰來為自身創造優勢並製造對手國內問題,為了加以防範,像美國就成立了數位戰力。另外也可以針對基礎建設系統攻擊,造成大規模毀滅。舉例來說,雖然無法證實是否受到攻擊,但烏克蘭就曾經失去整個國家的電力,其他如水電、網路系統只要遭到癱瘓都能造成極大的損失⋯⋯
評論
Photo Credit: INSIDE ▲ Check Point 亞太區策略長 Tony Jarvis
評論

來自以色列的企業資安公司 Check Point 上週舉辦了國際年會,我們也直擊現場並採訪到 Check Point 亞太、中東與非洲威脅預防策略長 Tony Jarvis,以及 Check Point 雲端安全暨 IoT 產品總經理 Yariv Fishman,談談國家級攻擊和 IoT 時代的攻擊。

本篇訪問到的是 Tony Jarvis,有興趣的讀者也可以參考一下 Yariv  Fishman 的訪談。

勒索加密貨幣退燒卻不可忽視

在 2016 年與 2017 年都榜上有名的勒索軟體,到了 2018 僅佔整體攻擊手法的 4%,取而代之的是企業 22% 每週會受到挖礦攻擊,以及 33% 受到行動裝置惡意軟體入侵。

但是既然超過九成的攻擊目標都是為了錢,勒索軟體仍舊是一項防範重點。Tony 說,勒索軟體存在已久並非什麼新鮮事,但 2016 年大規模要求以加密貨幣支付贖款,為駭客提供了一個比現金、信用卡更難追蹤的管道,因此引起大流行。

再來,Check Point 年度報告顯示,加密貨幣勒贖在亞洲有特別猖獗的趨勢。Tony 解讀,這並非是亞洲資安技術防範不足。對駭客來說,既然錢是主要目的,當然會瞄準願意付款又有錢的社會攻擊,而虛擬錢包的金額與交易紀錄公開,因此可以找出最有效率的攻擊區域。從駭客的動機出發,再搭配其他研究佐證,這樣的趨勢顯現的除了地區文化下的行為差異,背後還有亞洲崛起而樹大招風的原因。

5G 普及,IoT 攻擊將崛起

隨著 5G 這項基礎建設在 2019 年即將導入商用,IoT 裝置普及的時代就在眼前,各種智慧裝置運算力弱、規格低,加上沒有足夠的電量支撐,難以安裝及運行防毒軟體。

Tony 提出,這些防護措施就得安裝在物聯裝置以外,比如 Check Point 就提供將防護關卡放在智慧裝置與辦公室 WiFi之間,不論是用軟體的 micro agents,或者硬體的 gateway 產品,都可以藉由 Check Point 的服務來配置相應的資安防護菜單。不只 Gateway,Check Point 也有和電信公司合作,從基礎建設下手,提供使用者加值的安全方案。

防範國家級攻擊:在機密中拼湊修補資訊

大會開場提到,駭客的攻擊動機九成以上都是為了錢,這也是勒索軟體到了今年仍歷久不衰的原因。

然而剩下的少部分則是非個體戶、有組織的數位攻擊,Tony 補充這種攻擊常見基於政治或商業機密的動機。

當數位攻擊拉升到國家層級,使用資訊戰能夠創造自身優勢並製造對手國內問題,為了嚴加防範,像美國就成立了網路部隊。另外也可以針對基礎建設系統攻擊,造成大規模毀滅。Tony 舉例烏克蘭就曾經失去整個國家的電力,雖然無法證實是否因資安攻擊引起,但如水電、網路系統只要遭到癱瘓都能造成極大的損失。

而以 Check Point 的角度來說,也會在技術方面協助各國政府,提供資安服務。不過事涉國家機密,許多案件不僅對外保密,對內也有許多關鍵資訊分層封鎖,無法透露。

Check Point 也理解這樣的狀況,並且盡量就能獲取的資訊拼湊問題與解決方法。Tony 舉例,「為什麼」通常是最敏感的部分,接觸的技術負責人經常不能說或者因層級太低不知道。但是什麼漏洞、是不是作業系統沒補丁這些通常都可以找得出來。

輕忽態度、應變緩慢威脅企業安全

面對企業資安,問題面向有些微妙的不同。Tony 舉例,有些案例中不論是資深的企業或資深的主管,可能對於新技術不熟悉。在企業來說可能是面臨跨界 AI、自動車、物聯網等新領域,沒有產業經驗。Tony 認為可以透過參考他人案例,多多閱讀以掌握趨勢。

而對主管來說可能是非技術主管做決策,所以不了解資安風險的後果。Tony 就學著捨棄技術詞彙,用商業的角度分析遭到攻擊會造成什麼損失,並且試著「翻譯」技術用語,讓對方能夠理解,這才是最重要的。

另外 Tony 分享在與企業或政府機關溝通過程中,常見主管沒有意識到應用多重手法來防範威脅的重要性。比如與外部網路隔離的電腦 air gap(氣隙網路)就常被誤認為萬靈丹。然而只要資安意識不足,員工拿著已被感染的 USB 隨身碟插進公司電腦而引發災情的案例其實不在少數。

健全資安:公司要有快速應變機制

除了技術上的安全防護關卡,Tony 認為公司領導者還必須了解資安觀念,從制度管理面防堵「人」這個資安弱點。他舉例,尤其對於像銀行這種歷史悠久的產業,對安全有嚴格要求的同時,定下了多重的規範任何決策都得層層上報,反而在系統遭到侵害時無法及時反應。

Tony 根據過去在新加坡銀行業工作經驗,表示一般狀況下 IT 人員要更改系統,從發出請求到真正開工可能長達一週。但若是遭到駭客攻擊,濫用漏洞及惡意軟體,不用幾小時就可以把資料偷走。

因此他建議,儘管大企業必須有嚴謹的組織流程,但最好還是針對資訊安全建立緊急應變小組待命,一旦有問題就馬上修補。雖然即時修改系統有風險,但總比被駭的後果好上太多,只要過程確實留存紀錄,修補就算出錯也還能夠挽回。



蛻變敏捷開發組織並不難! AWS Amplify幫前端工程師從雲端快速建立REACT程式

台灣企業勢必需要明確轉型策略,搭配適合的雲端工具作為入場券,一來降低數位化門檻、二來減少摸索資源的浪費。
評論
shutterstock_1451794139.jpg
評論

打造敏捷開發流程、加速前後端工程師的協作效率,是許多企業在面臨疫情之後,認為亟需將彈性元素納入為企業文化當中。雲端運算服務領導業者 AWS 台灣,觀察到前端工程師主要負責處理最貼近用戶的 Web、行動應用程式,但他們往往需要與後端團隊合作過程,遭遇耗費大量討論時間,才能處理使用者介面事項。

為了降低前後端的溝通成本,有些前端工程師在掌握介面管理能力之後,開始橫跨到後端的伺服器、資料庫開發經驗,甚至進一步培養技能,成為能負責測試、安全、效能多面向的全端工程師。

有的人會透過 Side Project(利用業餘時間開發有興趣的專案)或參加 Hackathon(黑客松)方式,運用 AWS 雲端工具嘗試自行擴展後端,並建立簡單易用的工具程式。究竟,AWS 平台提供哪些資源幫助前端工程師擴展更多元的技能樹?

掌握入門教學!前端工程師如何將 REACT 程式快速上雲

前端工程師運用 AWS Amplify,快速在雲端建立 REACT 應用程式

事實上,AWS 的入門課程指出,運用 AWS Amplify 在雲端建立 React 應用程式及服務集,只需五個學習歷程,包含建立 React 應用程式、初始化本機應用程式、新增身份驗證、新增 API 和資料庫、新增儲存體。如果想快速了解 REACT 程式快速上雲的方法及示範教學,本文節錄 AWS QUICKSTART 學習資源內容,幫助前端工程師更快掌握重點。

首先,何謂 AWS Amplify?AWS Amplify 是一項全托管 Front-End Web & Mobile 服務,採取無伺服器模式,在後端建立、部署和託管單一頁面 Web 應用程式或靜態網站的 Git 型 CI/CD 工作流程,加速開發過程直接整合其他 AWS 服務。舉例來說,像是整合封裝好的 Library 資源、或運用一些 Components UI 軟體去配置後端,以及利用 Admin 的 UI 做資源上的管理。

透過 AWS 增加雲端技能 在組織發揮你的影響力

AWS Amplify加速Develop、Deliver 與 Manage流程

AWS Amplify 主要優勢展現在三大項工作階段,分別是 Develop、Deliver 和 Manage。Develop 部分可利用 CLI(Command-Line Interface)或 Admin UI 設定後端,使用 GraphQL 或 REST API 設定也是可行的,進而快速建構一個前後端專案。此外,開發者還能搭配 AWS 其他服務,例如使用 AWS Authentication 全托管認證服務,或 DataStore、Storage 等多項 Feature Categories。

到了 Deliver 階段,若是要透過 AWS Amplify 執行 Web Hosting 任務,可拆解出三個流程。首先是將 Repository 與 AWS Amplify 進行連結,這邊可整合 Amplify Console 提供的支援資源包含 Github、Bit Bucket、Gitlab、以及 AWS 的程式碼代管工具 AWS CodeCommit。一旦連結以後,開發者可透過自己的 Configuration,决定在各個不同的 Build 要執行什麽樣的指令,最後再透過 Deploy 方式,幫助工程師進行前端的 Hosting。

在最後一個 Manage 階段,開發者則可利用 AWS Amplify 的 Admin UI,以開啓瀏覽器方式,透過視覺化介面統一管理資源。例如在 Admin UI 介面左側選單,涵蓋 Content、User Management 的區塊,讓參與專案但沒有 AWS Console 權限的使用者,可利用 E-mail 方式邀請使用者進到 Admin UI,進行一些設定或觀看其他相關資源;甚至在 Set Up 區塊還有相關選項,例如要針對 Data Modeling 或 APP User 做權限管理,以及可連結到 AWS 其他服務。

運用開放資源 AWS Amplify Framework,打造高效能應用服務

AWS QUICKSTART 學習資源還介紹到另一個 AWS 提供的開放資源 Amplify Framework,一樣可利用 Amplify CLI 的方式,配置 Web 和行動應用程式的前後端,以及開發者需要用到的服務,讓應用程式更易於構建,並獲得安全、高性能的使用體驗。

Amplify CLI 一樣有支援多個不同 Category,例如較常使用的幾個 Comment Line,像是Amplify Init 指令做初始化或創建幾個不同資源;或是 Amplify Status 指令,隨時在開發過程查看各個 Category 狀態;甚至專案結束後,可利用 Amplify Delete 直接把 Amplify 所創建的資源做一次性删除。另外也可透過 AWS Amplify Client 利用比較抽象化方式,讓開發者直接利用 Component 實現想要完成的項目。

填寫表單 找到適合你的快速上雲服務與工具!

實際示範給你看,設定 React 程式可以如此簡單

假設前端工程師現在要快速部署一項有驗證功能(Authentication)還要搭配 Rest API、GraphQL、Analytics 等服務的應用,如何快速設定 React 程式?在 AWS QUICKSTART 的學習資源後半段,有詳細說明要啟動這類型專案的操作方法。

開發者可以先利用 AWS Lambda Function 結合 Amazon API Gateway 方式,創建出一個 Rest API,到了 Authentication 階段,則使用到 AWS Cognito 的服務,接著針對 GraphQL 需求,可利用 AWS AppSync 服務,以及最後如果有 Analytics 的需求,也可以串聯 Amazon Pinpoint 工具。Amazon Pinpoint 是一項彈性而可以擴展的行銷通訊服務,開發人員可利用 Amazon Pinpoint API 追蹤 Web 使用者的行爲,或是針對 APP 推送、電子郵件、簡訊點擊行為蒐集到具體的資訊。

在這整套流程示範之後,值得特別強調的是,AWS AppSync 是一項全托管的服務,能及時更新,甚至在使用者離線時仍可以持續去創建和修改數據。一旦設備連上線之後,這項應用程式就可重新連線,並接到後端同步數據,達成彈性、自動化擴展或減縮各式 API 的請求。

打造第一個你在 AWS 上的應用程式

AWS 最後強調,Amplify 是相當適合建構出一個靜態 Web、Apps 服務模式,例如說像是打造部落格,或者是一項 APP 內的代辦事項應用等;加上 Amplify 具全托管服務特色,可串聯上述 AWS 在雲端所提供的資源,都能在部署過程加以整合,加速開發流程及效率,並且有效節省開發資源。如果想用低門檻的雲端解決方案,其實前端工程師是能在開發流程更靈活配置資源,甚至為公司的商業、服務模式挖掘出創新價值。

了解更多:AWS 開發者系列