《Hit AI & Blockchain》匯智安全科技總經理鄭嘉信：2024年資訊安全新趨勢，關注三大議題解析當前挑戰

「資安議題跟AI、區塊鏈都有或多或少的關聯性，我在資安領域累積超過20年資安防護跟密碼學實務經驗，特別是匯智安全科技專注以密碼學技術為核心的資安公司，因此要掌握2024的資安趨勢，可以關注三大議題，」匯智安全科技總經理鄭嘉信，在第七屆《Hit AI & Blockchain》人工智慧暨區塊鏈產業高峰會表示。

鄭嘉信點出今年要特別重視的資安三大面向，首先第一點是「政經目的成為駭客攻擊主軸」。「白帽駭客攻擊的人，目前多數不會利用攻擊的犧牲者，來追尋冠冕或自我實現，而多數都是為了拚經濟，」鄭嘉信如此說。

另一方面，因為Cyberwar成形，讓駭客成為專門工作，軍事強權投入大量資源做軍事等級的駭客訓練。至於民間駭客圈則是流行資料竊取變賣，駭客透過勒索軟體向企業勒贖以解鎖檔案資料，其實背後的動機，就是駭客想要告訴企業寶貴資料在他們手上。由此觀之，不論是癱瘓基礎設施，或是變賣、勒贖企業營運重要資料，都讓駭客經濟學成為新興的事業。「不過，如果檔案儲存前被加密起來，那麼駭客的勒贖意圖就難以得逞，」鄭嘉信補充道。

資安第二個需要關注的議題是「資安防禦主流思維轉向零信任」。美國拜登總統在2022年發布行政命令，要求聯邦政府機構在2024年9月30日前，需要制定推動零信任架構的運用計畫，讓零信任成為資安新顯學。



鄭嘉信解釋，所謂零信任的假設前提，在於任何交易、個體與身分在獲得信任並持續維持信任之前，全都不可信任。秉持永不信任，一律驗證的原則，資安從邊界防禦轉變到零信任架構代表，對於企業決策者，不論是員工或駭客都不值得信任，每個動作之前都需要被授權。

目前美國國家標準與技術研究院NIST公布有關零信任架構（Zero Trust Architecture，ZTA），套用在網路環境符合ZTA安全模型特質的網路防禦就是ZTNA。根據Gartner預估到2025年止，70%的遠端存取大多使用VPN將移轉成為ZTNA的方案。鄭嘉信強調，現在企業需要保有與駭客共存思維，也就是即使防禦再好，網路攻擊一定會發生，所以如何用更好的辨識系統以管控系統與資料存取、並目提供多層次深度的防禦，才能有效降低資安事件危害。

第三個議題則是「量子電腦對公鑰密碼系統構成嚴重威脅」。量子運算將顛覆現有運算架構，過去傳統架構計算機以線性處理單一資料，但量子電腦一次可以處理大量資料，量子運算最適合用來做大量可能性問題的解方，例如DNA分析或是公鑰密碼系統的破解。根據IBM宣稱2025年將產出4000qubits的量子運算系統，換言之，破解威脅越來越近，尤其區塊鏈基於公鑰密碼系統技術，將首當其衝面臨量子電腦革命衝擊，全球將面臨Y2Q（Year to Quantum）挑戰。

由於公鑰密碼系統是現有網際網路運作的基石，爲電腦提供識別與密鑰交換協議的服務，一旦公鑰密碼系統被攻破，將導致城市基礎設施或是區塊鏈金融體系的癱瘓。這個挑戰目前有哪些手段因應？鄭嘉信提到，全球因應量子威脅，已經制定了可抵擋攻擊的後量子密碼演算法 （Post-Quantum Cryptography），且美國政府預計在2025～2030年推動CNSA 2.0，以作為政府與民間共通之密碼應用的預設演算法，預計在2030～2033年限制這些共通應用，必須符合CNSA 2.0 運作標準作為防禦量子計算的解密能力。