▲ 為期三天的資安大會於今(9)日在南港展覽館開幕。蔡英文總統參觀廠商聆聽簡報 。(圖/匯智科技提供)
財經中心/台北報導
為期三天的資安大會於九日在南港展覽館開幕。蔡英文總統特別帶領行政院副院長鄭文燦、經濟部長王美花、數位發展部部長唐鳳等出席開幕式,並參觀匯智安全科技等攤位聆聽簡報。蔡英文致詞指出,政府積極推動「資安即國安」戰略,未來也會加速培育資安研發人才,強化資通安全防護力道。並期許與相關各界攜手合作,建立台灣資安國家隊,打造讓國際信賴的資安系統與產業鏈。
媒體報導台灣電子科技巨擘微星科技(MSI)日前遭受駭客攻擊,大批內部文件遭到竊取,其中包括原始程式碼以及用於簽發韌體程式碼簽章的密鑰。由於微星拒絕支付贖金,駭客遂公開這些敏感資料,導致多款主機板的關鍵韌體面臨威脅。這個事件也讓各方注重資訊安全。
面對此事件,匯智安全科技總經理鄭嘉信表示:「可以推測,一旦密鑰落入不肖之人手中,他們就能將惡意程式偽裝成主機板上的韌體更新,藉合法更新途徑,經正常程序驗證該更新之後,順利植入,從而破壞原本設計在這些主機板上的核心信任根源(root of trust)。」
▲匯智安全科技總經理鄭嘉信(左)及營運長梁家榮 。(圖/匯智科技提供)
「信任根源」是主機板安全機制的基石。對於微星科技來說,處理這次的危機將極度棘手。若無法透過實體更新來變更受影響產品的信任根源,這批受害電腦將可能成為惡意攻擊者的目標。然而,若要進行全面的危機管理並實體更新所有電腦,將會耗費龐大的成本。
鄭嘉信進一步指出,「他山之石可以攻錯,要避免類似事件再次發生,我們應該從這次事件中學習教訓。」他提出了以下的建議:「我們需要考慮如何妥善保護公司的主要數位資產,如程式碼和營運資料。FileAegis就是一個防護內部數位資產的有效工具。」
鄭嘉信表示,如何妥善保護最敏感的密鑰?合理的做法應該是將用於程式碼簽章的密鑰妥善保護在密碼模組硬體中,並確保密碼模組的實體安全。最佳的管理方式,應建立企業內部的程式碼簽章伺服器,並對請求簽章的使用者與簽章目標進行嚴格的監控。
鄭嘉信強調,百密仍有一疏,對於設備上信任根源的建立,應有備份密鑰的概念。在分派這些受保護設備到遠端時,我們需要考慮到類似MSI事件的潛在風險。在災害發生後,我們需要發布更新,終止受威脅的密鑰的使用,並用新的密鑰進行更新,這樣才能從遠端控制災情,進行安全更新管理。
微星科技的事件再度提高了全球對數位安全的關注度。匯智安全科技提出資訊安全解決方案 – FileAegis,受到關注。
鄭嘉信認為,「微星科技只是眾多例子中的一個,這種事件過去一直層出不窮。如果企業不將資安的思維從軟體轉向硬體,類似的事件將不會停止。」駭客攻擊事件不僅增加了全球使用者的數位資產與私人資訊的風險,也提高了企業對於內部數位資產保護以及信任根源管理的重視程度。匯智安全科技的FileAegis利用其最新科技,能有效保護公司的數位資產,並將最敏感的密鑰妥善保護。
FileAegis搭載了最高的安全標準,能防止數據外洩或被未經授權的人存取。在駭客攻擊發生時,FileAegis能即時封鎖受威脅的密鑰,並使用新的密鑰進行安全更新,以確保企業的資訊系統的安全。
數位化生活中,資訊安全已經成為不可或缺的議題。對於企業來說,數位資訊往往是他們最重要的資產。無論是客戶資訊、財務報告,或是關鍵的研發程式碼,一旦遭受駭客攻擊或非法存取,都可能導致企業遭受重大損失。
讀者迴響