美國的連鎖美式餐廳 Cheddar's Scratch Kitchen本周對外公告,在去年11月3日到今年1月2日遭到駭客入侵,在這期間造訪美國23州特定Cheddar's Scratch Kitchen餐廳的顧客可能都受到波及,估計有56.7萬張的支付卡資訊被盜。
Cheddar's Scratch Kitchen母公司Darden Restaurants表示,他們是在今年8月中旬收到警方的通知才知道特定門市所使用的收銀系統(POS)遭到駭客入侵,但他們在今年4月全面更換了新系統,已終結了駭客的入侵管道。
Cheddar's Scratch Kitchen在美國23個州開設了163家連鎖餐廳,目前Darden Restaurants僅說只有特定餐廳被駭,且仍在釐清受害規模。此外,Darden Restaurants雖然坦承客戶的支付卡資訊外洩,也只說內含卡片號碼,並未提及更多的外洩資料細節。
不過,Darden Restaurants已安排ID Experts提供免費的身分保護服務予這些受影響的顧客。
臉書調查發現,俄國透過臉書嚴重影響美國2016年總統大選,使外國政權以社交平臺影響各國政治的問題浮上檯面,臉書開始清除平臺上,由外國資助的政治操弄內容,在本周也大刀闊斧砍掉上百個伊朗和俄國相關的粉絲頁與帳戶。
Google面臨了相同的問題,在採取積極行動後獲得部分成果,除了幫用戶擋下最新一波,來自國家資助的電子郵件釣魚攻擊,還與資安公司FireEye合作,揭露來自伊朗伊斯蘭共和國的政治操弄行動,並著手移除旗下YouTube、Blogger和Google+平臺有問題的帳號和內容。
Google透過不斷改進Gmail安全防禦技術,從自動保護、帳戶安全以及專業警告等三方面著手,為用戶提供安全的電子郵件服務,防止用戶受到網路釣魚攻擊而洩漏帳戶密碼。過去8年,受國家資助的釣魚攻擊增加,而Gmail也主動的阻擋這些特定的網路釣魚行動,用戶可能對於這些動作無感,因為這些電子郵件在抵達用戶信箱前就被攔截了。
Google提到,最近幾個月,他們發現了各國政府資助的攻擊者向各地的政治運動、記者、社會運動者和學者發動新一波釣魚攻擊,Google在發現這些攻擊行動後,第一時間通知用戶以及執法單位。這星期Google針對新一波來自各國的可疑郵件,對用戶發出最新一波警示。
而且為了補足自家技術的遺漏,過去兩個月,Google和母公司Alphabet旗下的孵化器Jigsaw與資安公司FireEye密切合作,共同揭露了來自伊朗的攻擊,Google也關閉了FireEye發現與該行動有關的3個電子郵件帳號、3個YouTube頻道和三個Google+帳戶,並且向美國立法與執法單位報告其政治意圖等調查結果。
Google證實這波攻擊的參與者與伊朗伊斯蘭共和國廣播電視臺(Islamic Republic of Iran Broadcasting,IRIB)有極大關聯。這些攻擊者的技術資料與IRIB官方IP位置有密切相關,攻擊的網域所有權資料也與IRIB帳戶密切關聯,而且這些攻擊者帳戶的元資料以及訂戶資訊,與IRIB對應的資料相關,這些證據指出攻擊者與IRIB有共同的所有權與控制權。
以上資料以及技術分析證明,這個攻擊行動是IRIB組織運作的一部份,早從2017年1月就已經開始行動,而這也與Google最近收到的網際網路警示報告一致。Google提到,來自伊朗的攻擊從沒有間斷過,從2011年就有來自伊朗的秘密中間人攻擊,2013年開始出於政治動機的網路釣魚攻擊。
Google表示,這類的政治操作違反了他們的政策,因此使用了特殊技術封鎖了相關IP,並禁止在伊朗以個人或是實體身分創建廣告帳戶。另外,Google也封鎖了IRIB組織的帳戶,總共39個YouTube頻道,這些頻道的影片在美國相關觀看次數達13,466次,另外還有Blogger的6個部落格,與13個Google+帳戶,Google對此還在調查中。
不過,來自國家資助的政治操弄攻擊也不只有IRIB相關的攻擊者,去年Google與網際網路研究機構IRA共同揭露,來自愛爾蘭共和軍的內容攻擊,共移除了42個YouTube頻道58個英語影片,以及相關的帳戶。
媒體BuzzFeed開源其受Google身份識別代理(Identity Aware Proxy)啟發所發展的單一登入認證代理(Single-Sign-On Authentication Proxy,SSO),以支援員工全球化的工作模式,為旗下多應用程式網站提供單一登入服務。
由於BuzzFeed的軟體生態系由數百個互相交互的微服務組成,部分這些應用程式會在網路上公開,有權限的人才可登入使用。BuzzFeed提到,由於全球員工成長,將工具曝露在網路上,供內部員工使用的需求明顯成長,因此安全方便的身分認證需求也跟著增加。
為了建立真實單一來源的身分,BuzzFeed過去使用了Bitly的開源Oauth2_proxy服務,這個反向代理使用第三方包括Google或是GitHub等OAuth2供應商服務來認證並授權請求,BuzzFeed以Oauth2_proxy加速應用程式的開發,讓開發人員不需要每次建置服務,都要重新實作身分驗證功能。過去有一段時間BuzzFeed大量的使用Oauth2_proxy解決方案,但是隨著服務成長,發現可擴展程度不如預期發展。
BuzzFeed提到,對營運商來說,要管理爆炸成長的樣板授權代理服務非常的困難,身分驗證功能的關鍵安全性修復程序,需要進行超過百次的補丁和部署,因為每一個受保護的微服務都有自己認證代理服務,使得控制這些服務存取,成為一項很大的挑戰。而可擴展性也不是只有系統營運和開發會遇到,對終端用戶也會造成困擾,這些用戶需要單獨登入每個應用程式,讓工作流程過於繁瑣,而且也養成盲目點擊OAuth2登錄流程的壞習慣,員工容易遭受釣魚攻擊。
BuzzFeed自行開發了SSO來解決這個問題,現在使用者只要登錄一次,就能夠授權存取所有的應用程式。SSO由sso-auth以及sso-proxy兩個部分組成,分別執行巢狀授權流程以及代理請求,sso-auth是一個中央授權服務,可以直接透過第三方服務完成OAuth流程。sso-proxy則能確保所有請求都經過授權,才將使用者請求導至上游服務。
用戶第一次登入受SSO保護的網站時,會被轉址到sso-auth進行認證,當用戶存取另一個受SSO保護的網站時,瀏覽器會先被轉址到sso-auth,由於身分已經過驗證,便會進行自動登入,接著被導向sso-proxy。SSO不只讓員工登入應用程式變得更容易,而且現在開發人員維護身分驗證服務的安全性也更輕鬆,只需要修復一個地方就可以了。
勤敏聯合會計師事務所朱財寶,在一場天遠律師事務所舉辦的「加密貨幣的法遵及銀行實務」研討會,與律師劉立恩針對加密貨幣用戶與業者最關心的課稅問題,進行深度對談。
朱財寶表示,目前國稅局將加密貨幣定義為商品,所以加密貨幣的買賣,也被視為商品交易,就需要課徵營業稅。他也透露,金流是最好的證據,金錢的流動,凡走過必留下痕跡,未來國稅局一定會從銀行端撈取金流數據,只要國稅局發公文給銀行端,就一定追查得到金流數據。
他也提醒,課稅追溯期是5年,所以,從加密貨幣獲利的用戶,未來5年內都要小心被國稅局找上。不過,國稅局的原則是抓大放小,若用戶有大額金錢進出帳戶,要有心理準備,會成為國稅局首先開刀的對象。
朱財寶也進一步解釋,國稅局查稅的依據,是以銀行帳戶持有者整年度的存摺存入與支出的差額做為基準,存入金額若遠大於支出成本,國稅局就會採信,此帳戶持有者是有利得。此時,用戶需要主動告知國稅局有多少交易、多少利潤。
如果一直都沒有主動告知,國稅局就會以某一通則,例如同業核課利潤,當作核課數據,直接核課帳戶持有者。若要反駁,則需拿出核課期間的交易對帳單,向國稅局證明核課金額不確實,朱財寶再次強調,金流的證據絕對跑不掉。
他更以臺灣知名的加密貨幣稅務案件舉例,有位虛擬貨幣投資人在場外交易(OTC)金額將近5,000萬元新臺幣,可能不小心從銀行被國稅局抓到金流,國稅局即課徵5%營業稅250萬元,還另加50%的營業稅罰緩125萬元,所得稅還要另外算,若國稅局認定他是高所得者,以同業核課標準,若認定他賺進400萬元以上,就會以40%的稅率級距,課徵所得稅160萬元,再另加50%的所得稅罰緩80萬元,前後估計要花上600多萬元繳營業稅、所得稅與罰緩。
ICO發行會不會被課稅,會計師怎麼看?
朱財寶提到,目前發行ICO的公司,都不太會在臺灣發行,因為當初就有考慮到稅賦的可能性,所以一開始都會建議客戶到境外發幣,所募得的錢才拿回來投資臺灣相關的子公司,用於產品開發、商品運作所必要花費的成本費用。
而且,在境外公司發幣獲得的錢,只要沒有立即付給最終受益人,其實看起來就如同IPO,公司與外部投資者募得一筆資金,用於公司運作。朱財寶強調,只要把錢放在境外公司,沒有流入最終受益人帳戶,基本上國稅局都課不到稅,除非在金流上抓到,有流入最終受益人帳戶,就會以當年流入公司的金流,核課營業稅或是個人所得稅。劉立恩也補充,ICO大部分的業者,其實幾乎都在境外公司發幣,瑞士、馬爾他都是流行的地點。
劉立恩接著舉例,如果一個公司ICO成功募得價值6億元新臺幣,但他的研發、管理、行銷團隊若都在臺灣本地,即便6億元都放在海外,難道不會有反避稅問題?朱財寶回應,即便許多公司的實際運作人員9成9都在香港、臺灣、日本這些地區,但大家都把錢放在境外公司,再分配到下面子公司進行實體運作,國稅局真的很難核課到,因為國稅局在核課反避稅時,是針對最終受益人是否有金流入帳戶,很少聽到放在境外被國稅局課稅,唯一聽到的都是內部檢舉,例如,公司會計去向國稅局舉報故意逃漏稅。
加密貨幣業者可能也會疑惑,明明是把自已發出的加密貨幣,換取以太幣或其他等價的貨幣,開發也要成本,並不是沒有付出,國稅局怎能以對價換取的貨幣來進行課稅?劉立恩表示,在臺灣認定加密貨幣是做出來的商品,換取的貨幣當下是有其市場價值,國稅局會認定是業者銷售虛擬商品所獲得的營業收入,而這也是目前法律跟稅務上的最大問題。朱財寶也補充,若業者不想被課太多稅,可向國稅局舉證營業成本,包括人事、技術、管銷、硬軟體設備等等。
此外,業者如果是在境外發行ICO,但在臺灣有進行公開招募,而募集到的加密貨幣都不換成法幣,可能在公司境外註冊地發展新創事業,國稅局有辦法課稅或罰鍰嗎?朱財寶提到,國稅局當然很想課稅,但要看誰提供給國稅局資訊,若是有人檢舉、告密,國稅局也較難對境外公司有追溯權與處罰權。
主要是因為,國稅局只針對追稅主體,前提是在國內有交易行為,國稅局才會課稅,若在臺沒有登記任何實際營業處,又只有募集ICO的這個動作,只要沒有任何金流,也不歸國稅局管轄範圍。朱財寶也提醒,若業者被投資者指控以ICO吸金,應該要擔心的是被檢調機關找上,國稅局反而會是被動的角色,去配合法務部調查局的動作。
ICO業者製作財報,所面臨的挑戰
而關於公司ICO後的資產負債表,擁有的加密貨幣到底算是資產或負債。朱財寶也為相關業者解釋,當ICO發行時,資產負債表就會產生一個價值,業者可能是拿到美金、比特幣、以太幣作為對價貨幣。此時,首先要定義的是,ICO將來是否會換算成股東權益,若不能換算成股權,它在短期對業者來說就是個負債。但如果在發行代幣當下,是明訂不用償還給認購代幣的投資者,未來此負債若轉換成公司營收也是有可能。主要還是要看發行ICO的條件、定義,甚至是回購條件,才能將它定義為資產或是負債。
另外,劉立恩表示,四大會計事務所,包括PwC、Deloitte、KPMG、Ernst&Young,沒有任何一家會為ICO公司進行查核簽證,財務簽證、稅務簽證都不會出。主因是審計準則公報或是各個會計師公報,到目前為止沒有具體的規範內容,所以會計師也會很擔心,萬一簽了查核簽證,未來若被告,就會把事務所的聲譽都賠下去。
最後,劉立恩指出,若有新創公司在初創階段發行ICO募資,募到2、3千萬美金,對新創公司初期的募資階段或許很夠用,但要擴張到全球市場,這筆錢只能塞牙縫,到時可能需要2億美金,甚至會有申請IPO的需求,而過去在ICO時期,已沒有獲得四大會計事務所的查核簽證,會產生的影響為何?
朱財寶表示,在臺的四大會計事務所還是對ICO保留著一定的距離,在完整法規訂定出來前,不會去幫ICO業者背書、跳下來擔責任,所以暫時也不會承接ICO的案子。但他也提到,或許未來1、2年,國外陸續會有案例進來,到時候四大會計事務所的就會有參考依據,不過前提是業者的內控、內稽可遵循法規,四大會計事務所才有可能幫忙簽。
在資安的防護上,人工智慧的應用,算是相當常見,但對於企業而言,可能不會想到,能透過這樣的技術,改善企業流程上的某些問題。在2018年趨勢科技舉辦的CloudSec大會上,該公司的全球研發資深副總周存貹認為,企業應從鼓勵的角度,讓員工內部開發,將人工智慧的技術,帶入企業環境。
周存貹指出,趨勢科技的內部,一共擁有超過50個人工智慧應用的專案,不光是改善惡意威脅偵測的效率,也包含營運上流程的強化,像是用來預測客戶的忠誠度,藉此讓業務能調整維持顧客關係的資源比重,得以發揮更好的效益。
對於人工智慧在趨勢科技的資安應用,周存貹舉出了許多案例,因應人類可能難以直接判別、幾可亂真的情形。例如,針對電子郵件的變臉詐騙,他們就讓人工智慧學習執行長彙寫信件的風格,進而區別大多數由詐騙集團假冒執行長寄給財務長的電子郵件。
對於人工智慧的應用,趨勢科技全球研發資深副總周存貹舉出他們分析變臉詐騙郵件的方法,根據不同職位的員工寫信的特色,歸納出一些特性,例如,執行長(圖中桃紅色)普遍用詞精確,而財務長(綠色)會大量使用重覆性字句,至於財務主管(灰色)的信件中,會含有許多的大寫字母等現象。
藉由前述舉出的例子,周存貹說,隨著開發工具和建置教學的資訊,很容易從網路上取得,因此他認為,真正的關鍵,還是在於企業看待人工智慧的態度,所以,周存貹指出應用的4大要點,並且不要害怕失敗。
周存貹表示,這些要點,同時也是人工智慧應用的開發流程。這4個要點分別是確認需要解決的問題(Aspiration)、尋找能夠利用的資料(Data)、選擇採取的演算法和模型(Algorithm),以及實際專案執行(Execution)的管理與溝通,進而開枝散葉,開發更多的專案。
其中,最重要的,應該莫過於開發的動機,也就是要如何應用人工智慧。周存貹舉例,像是為了解決員工工作量太大的問題,企業為此進行開發的目標,可能就是要降低工作量。再者,企業有沒有可用、甚至是已經正規化的資料,也是相當重要的前提,因此,人工智慧所需學習的資料來源,也是相當關鍵。
有了目標與能夠用來機器學習的資料後,並挑選合適的演算法後,專案執行的過程,也有一些要留意的地方,像是與上級主管的溝通,開發團隊可能要讓主管理解專案進行的情況,而在專案中,往往也要跨部門橫向溝通、協調,才能完成。
周存貹指出,人工智慧專案的執行,與上級主管的溝通,是最為重要的關鍵。再者,則是在開發的過程中,可能往往會面臨到誤判(False Positives,FP)和漏判(False Negative,FN)比率,不如開發者預期的情形,因此也要評估其誤差帶來問題的嚴重程度,以及要採用何種方式加以改善。
在開發人工智慧的應用時,趨勢科技也遇過失敗的專案。周存貹說,他們曾經想要用來找出含有色情圖片的網站,然而實際開發後,發現機器學習難以歸納出擁有這種特性的規則,導致無法實際應用。不過,周存貹表示,開發人工智慧應用時,不需過度害怕失敗,實際的開發過程中,往往也需要調整演算法,或是學習模型等情況,甚至是重新來過,而失敗的專案,很有可能成為讓下一個專案能夠成功的關鍵經驗。
而周存貹也提到,企業開始運用人工智慧,或許應該考慮由內部的有志之士開發,讓公司開始「+AI」,而不是外包給其他專門開發的公司做(AI+)。透過提供課程、舉辦競賽等方式,培養內部員工,進而改善企業的體質,成為公司一部分的價值。
08/15~08/21精選容器新聞
容器基礎新創Robin System近日宣布,推出第一個超融合架構Kubernetes平臺(hyper-converged Kubernetes),可以提供Kubernetes應用所需的運算、儲存和網路架構功能,集中到單一平臺上提供應用程式生命周期管理平臺,尤其還推出了大數據、資料庫、AI/ML應用的自助式App商店,讓企業可以快速自建這類應用在K8s環境中。Robin官方表示,上述幾類應用的自動擴充、轉移、快照、升級或系統更新,都能提供一鍵執行的功能,讓企業快速管理和部署。另外也可以一鍵控管不同應用的網路品質,來確保SLA設定。Robin這套K8s超融合平臺也支援混合雲架構,支援三大主流公有雲,AWS、Azure和GCP,也可部署於企業內部的伺服器上,不論虛擬機器或實體主機皆支援。
波士頓顧問公司旗下資料科學團隊BCG Gamma日前公布了自家如何快速大量派送AI和機器學習模型給顧客的軟體供應鏈作法,目前這套安全持續派送系統已經在6月正式上線運作。BCG Gamma主要業務是協助企業顧客設計和訓戀機器學習分析模型或應用,但要如何盡快將經常翻新改版的新版ML模型或應用,交付給顧客,由30名工程師組成了一個GammaX專案,將資料科學家和資料工程師開發出來的ML應用或模型,打包成Docker映像檔,再利用Docker Trusted Registry(DTR)搭配Circle CI服務,來建立一個控管Docker映像檔的持續派送服務,來控管這些映像檔的存取權限,讓位於自家企業內網外的服務對象其開發人員,能快速且自動取得最新版的ML模型和應用Docker應用檔。
近日HPE宣布,自家混合雲平臺OneSphere開始可以支援部署在VMware私有雲環境中的Kubernetes實例。HPE雲端工程和產品總監Harsh Singh解釋,短期內,VMware仍就是企業在內部部署Kubernetes的常用環境。企業可以直接在現成VMware環境中,啟用虛擬機器,透過OneSphere目錄介面,或透過API,就能快速部署一個企業級Kubernetes叢集,來做為內部容器服務平臺(Container-as-a-Service)之用。除了Kubernetes,OneSphere也支援Docker Swarm和Mesosphere作為替代容器調度平臺。除了VMware,OneSphere目前也支援在AWS公有雲上的VMware環境中部署Kubernetes叢集。
近日Docker又傳出新公關危機,現在該公司不再提供URL連接下載桌面版Docker,開發者必須先登入Docker Store,才能下載。此舉引起開發者高度不滿,現在該消息在知名論壇Hacker News上也討論得沸沸揚揚。
開發者反映,下載Mac、Windows版Docker前,必須先登入Docker Store,但過去可直接透過URL連結下載,不需要多這道麻煩的手續,期望Docker公司恢復先前的做法。儘管Docker公司維護者立即回覆解釋,此舉是為了改善使用者體驗,但仍舊引起許多開發者的批評,部分開發者表示,即便甲骨文,該公司也提供不用登入就能下載的管道,讓使用者可以取得社群版MySQL。
為了強化Kubernetes引擎的安全性,Google引入了二進位授權,讓使用者可以確保只有受信任的工作負載才可以部署到Kubernetes引擎中。二進位授權是一個整合到Kubernetes引擎部署API的安全性功能,提供使用者策略性的控制手段,讓只有或完整簽章或是授權的映像檔在環境中運作。二進位授權使用標準加密PGP簽章,而這將允許使用者輕易的整合CI/CD工具鏈,包括建置、測試與漏洞搜尋等各階段。另外,二進位授權也支援使用名稱模式的白名單映像檔,使用者可以透過路徑指定特定的程式碼儲存庫,或是一系列允許部署的映像檔。
近日Docker宣布擴大自家產品對美國聯邦資訊處理標準FIPS 140-2的支援,除了去年已將加密功能原生整合Docker Engine外,Docker企業版中其他的元件,也都要符合FIPS 140-2標準,包含私有容器資料庫、容器中控中心,以及Kubernetes調度系統。此舉目的是為了讓企業用戶或高度監管產業,也能導入容器技術。因為不只軍事機構,美國政府機構及政府承包商,也都得符合美國聯邦資訊處理標準的規範。今年釋出的Docker企業版18.03版,為該公司第一個符合FIPS 140-2標準的產品,已提送給美國國家標準與技術研究院(NIST),進行CMVP加密模組計畫的驗證。Docker公司預估,四道驗證,目前已通過前三關,預計再過幾個月,Docker引擎就會通過全部認證。
容器安全新創Aqua今年陸續強化容器安全產品,推出映像檔掃描工具MicroScanner,以及讓該工具串接Jenkins流程的機制。最近又開源釋出一款容器資安工具Kube-hunter,鎖定了Kubernetes容器基礎架構環境,可以執行滲透測試任務,加強自家容器環境的安全性。Kube-hunter總共有被動、主動此兩種模式。該工具預設為被動模式,可以用來探測企業用戶Kubernetes環境內潛在的存取弱點。在主動模式中,Kube-hunter執行的任務範圍,包含檢查Kubernetes SSL憑證中的電子郵件位址、掃描Kubernetes既有通訊埠是否有開放端點,以及Azure Kubernetes叢集部署是否有按照正確組態設定等。
微軟IDE開發工具Visual Studio 2017最近釋出15.8正式版。新版除了支援多重插入編輯來提高撰寫程式碼的方便性,也強化了效能分析工具,新增了.NET物件分配追蹤工具(.NET Object Allocation Tracking Tool),能對目標應用程式的每個.NET物件分配進行堆疊追蹤收集。另外,新版也加強了ASP.NET單一容器專案的開發管理機制,讓開發者用Visual Studio來布建和除錯Docker容器應用,可以補強Docker Compose工具的不足。
責任編輯/王宏仁
更多Container動態:
@資料來源:iThome整理,2018年8月
不論是行車,或是人際溝通,懂得保持距離,的確是預防彼此受到傷害的有效方式,不過,就當前資訊系統的使用方式而言,不論是透過個人電腦或智慧型手機,存取各種企業內部和外部的網路應用服務時,所面臨的危險性已經與日俱增,我們需要的防護配備越來越多,例如防毒軟體、網路防火牆、郵件過濾系統、網站安全閘道、APT防護方案,但又無法百分之百保證不會受到惡意軟體的感染,難以倖免於形形色色的網路攻擊手法。
除了擔憂所使用連網設備會因此破壞,而無法上網,同時,我們也害怕敏感、機密的資料外洩,導致個人隱私、企業智慧財產受到損害。而過去企業也投入許多資源,建置了資料外洩防護系統、文件安全控管系統。甚至,有些公司大費周章地導入了虛擬桌面基礎架構(VDI),將原本分散在多臺個人端電腦的作業環境,透過遠端桌面服務(RDS)、桌面虛擬化(Desktop Virtualization)、應用程式虛擬化(Application Virtualization)等形式的軟體平臺,全部集中到幾臺伺服器來執行;而使用者僅透過精簡型用戶端電腦(Thin Client)連接企業應用系統的網頁入口,並且僅能執行企業配置好的個人端桌面模擬環境,或是允許員工使用的應用程式,以及存取位於內部網路的檔案伺服器,而營造出所謂的雙網隔離環境。
其實,在這之前,針對這樣的遠端存取需求,最早是歸類在VPN加密網路連線的應用之中,尤其是當SSL VPN崛起之際,網頁應用程式也在企業IT環境當中日益普及,而促成了這類遠端安全存取應用。在這樣的環境之下,使用者可透過瀏覽器登入對應的企業網站入口,即能在SSL加密連線的保護之前,存取位於企業內部的網站應用系統,甚至是檔案伺服器、網路芳鄰,而不需手動設定、安裝專屬的VPN用戶端程式;同時,使用者在連線期間的環境,形同一種沙箱(Sandbox),過程當中產生或用到的暫存資料,也會在連線中斷後消除,不會遺落到使用者當時所操作的個人電腦上。
然而,單靠這樣的機制,僅能確保使用者在連線過程的安全性,對於所存取的每一個網站、網頁應用程式,基本上,都是不設防的,若需要強化相關防護,仍須想辦法在當中,搭配網頁安全閘道等解決方案來提供防護,而且,此時,同樣會面臨無法判斷未知威脅的風險。
所幸,從今年開始,我們發現有新的資安產品類型進入臺灣市場,能夠因應上述的防護與管控需求,而這就是本周封面故事所要探討的主題:遠端瀏覽器隔離系統(RBI)。
其實,之所以報導這個議題,有好幾個緣起。首先,4月初,我們的技術編輯周峻佑以此為題,先介紹了Ericom Shield;到了7月,我們在製作《零信任!重新定義資訊安全模式》的封面故事時,也聯繫到Symantec,得知他們有一套Web Isolation,可以提供類似的功能;在7月底、8月初舉行的iThome資安焦點論壇,代理Menlo Security的代理商達友科技也在北、高兩地,介紹他們的RBI產品。
不過,在接觸這類型產品之初,令我們感到困惑,因為,關於隔離的技術,先前大家比較熟知的是網路隔離(Network Isolation)或是網路存取控制,看到廠商打著「瀏覽器隔離」、「網頁隔離」,甚至誤以為是用沙箱模式執行的瀏覽器,但其實不然。遠端瀏覽器隔離系統可涵蓋的防護與管理層面更為廣泛,同時應用到遠端存取、檔案掃描與重組、集中控管等功能,以「後市可期」來形容這類型產品的未來發展性,並不為過。
隨著經由網站發動攻擊的手法日新月異,企業難以透過現有的機制防範,而在近期興起的瀏覽器隔離之中,運用了遠端執行的容器環境,讓使用者能夠以更安全的方式,存取各式的網頁應用系統,若是遇到有害內容,端點電腦也不致直接受到波及
由於遠端瀏覽器隔離系統(Remote Browser Isolation,RBI)擁有遠端存取的概念,對於許多人而言,或許會與桌面虛擬化(VDI)和遠端桌面服務(RDS)比較,其中最顯著的差異是,RBI只提供上網瀏覽,而沒有桌面環境,因此,一般來說,相較於其他兩者,RBI的資源需求較低。(資料來源:iThome整理,2018年8月)
想要防治來自外部的威脅,員工上網是首要防護的領域,一般來說,企業會採用防火牆或網頁安全閘道,阻擋員工瀏覽惡意網站,禁止任何違反公司政策的上網行為。
隨著新興威脅越來越難以防範,特別是已知為安全的網站,也有可能被植入惡意內容,光是倚靠防火牆和網頁安全閘道等機制,過濾已知惡意網站,對於資安廠商尚未納入相關情資、特徵碼的威脅,仍有機會放行。因此,為能夠更徹底防範未知攻擊手法,企業也開始考慮採用「隔離」的方式,避免這種威脅進入內部網路。
想要達到內外網路的隔離,過去可能會採取實體隔離的做法,也就是在企業內部的電腦之外,另行提供專門用來上網的電腦。內部的電腦僅可連線到企業內部環境作業,不能存取外部的網際網路,而上網專用的電腦,則無法取用企業內部環境的資源。
如此一來,往往需要購置數量多一倍的硬體設備,不過,也的確達成了企業內部與外部隔離的目的。
但是,這種做法也衍生不少問題,例如,檔案傳送時,許多使用者為此需將將外部取得的資料複製到USB隨身碟,再以此安裝在內部電腦存取,不僅相當費時、麻煩,同時,因為外接裝置使用不當所帶來的資安風險,也隨之產生。
為了能夠避免實體隔離所額外產生的負擔與問題,以及難以集中控管的情形,有些企業乾脆採用遠端桌面服務(Remote Desktop Services,RDS),或是虛擬桌面環境(Virtual Desktop Infrastructure,VDI)架構等,達到內外部網路隔離的效果。一般來說,遠端桌面服務通常是以終端伺服器,提供一致的應用程式,供使用者從遠端取用。
而虛擬桌面環境的架構,原先是應用在企業資料不落地的措施,員工必須連線到虛擬桌面的工作環境作業,不能直接將資料存放到本地電腦上,藉此避免資料外洩。
不過,如果只是要單純透過上述的兩種方法,隔離網際網路的存取,藉此保護內部環境,投注的資源可說是相當龐大,因為,採用微軟的RDS或Citrix Xen App,須購買Windows Server的相關授權,導入VDI則需投資非常高的成本,甚至要大幅調整企業內部的網路架構。
隨著Docker與Container的興起,有些廠商就將這些技術應用在上網防護,提供使用者可遠端執行的瀏覽器,藉此實行對外部網路的隔離,也就是所謂的遠端瀏覽器隔離系統(RBI)。
在這樣的做法中,所有網頁內容的載入,都在遠端容器裡面的瀏覽器處理,即使所存取的網頁遭到駭客植入惡意內容,對於位在企業內部的使用者電腦來說,不致直接受到這些攻擊指令影響。
而利用容器執行的瀏覽器,所需的基本系統資源,也較採用RDS或VDI這類虛擬桌面環境來得少,此外,這種型態的上網防護,更強調使用者仍可執行原來本機電腦中的瀏覽器,就能得到保護,而不需大幅改變使用習慣。
某種程度上,RBI與桌面虛擬化有幾分相似。主要是專屬上網隔離系統中,採用容器,取代虛擬化環境所執行的完整作業系統。因此,同樣的硬體組態,能提供瀏覽器運用的處理器和記憶體資源,便比虛擬桌面來得充裕。
也因為這樣的做法,當中不少廠商提供的解決方案中,更強調使用者開啟的每個網頁,甚至是每個瀏覽器分頁(Tab),都透過個別的容器執行,藉此減少網頁裡可能帶有的惡意內容,造成不同分頁之間橫向感染的情況。
經由遠端隔離強化上網安全
針對企業內部員工的上網安全,近年來,有不少業者提出了遠端瀏覽器(Remote Browser)防護機制,在架構上,企業可自行在內部環境建置專屬平臺,或是直接採用廠商提供的雲端服務(Browser as a Service)。(圖片來源/Gartner)
基本上,若是單純論及上網的隔離機制,不光是我們這次提到,以遠端瀏覽器提供的上網隔離系統,就連瀏覽器軟體本身,也開始內建類似在沙箱中執行的機制,避免存取到惡意網頁內容時,直接影響到作業系統本身。
其中,較早提供這種機制的瀏覽器,是內建於Windows 10作業系統的Edge,微軟將這項特色稱為Windows Defender Application Guard,而Google Chrome在63版,也開始加入相關功能。
至於Firefox,Mozilla則是於去年發布的55版中,先針對網頁中的外部內容,提供了First Party Isoation過濾機制,而對於網頁執行隔離,他們則是在測試版當中,推出代號為Project Fission的功能。從這些主流瀏覽器的廠商,也相繼投入隔離機制的開發來看,透過類似做法來增加上網的安全性,在使用者電腦系統與網際網路之間,闢出一條護城河,將彼此區隔開來,顯然已是各家業者的共識,一旦出現異常情況時,即可避免電腦直接受到網頁存在的惡意內容波及。
事實上,若是從廣義的角度來看,與上網隔離有關的解決方案,在國外也有工具和產品,是從端點電腦著手,提供與應用系統隔離的安全上網環境,像是瀏覽器擴充套件的部份,有Apozy推出的NoHack,以及微型虛擬機器系統,例如Bromium的Secure Browsing等。
然而,對於企業而言,若是需要集中控管使用者上網行為,而且也想要將載入網頁的環境,獨立於端點電腦之外,便需要採用我們前面提到的遠端瀏覽器隔離系統。透過這種專屬的系統,提供使用者能夠在遠端存取網頁上的內容,電腦端的瀏覽器,則是接收到已經處理完成的畫面,這樣的隔離措施,還是比較能延伸有心人士企圖滲透的防線,因此,我們這次探討的網頁防護措施,也是以這種型態的系統為主。
關於這種型態的企業上網防護機制興起,其實,已經有一些市場研究機構發現到此種態勢,並加以研究、彙整。
例如,在Gartner的報告中指出,單靠徹底攔截威脅的做法,已經不足以保護企業的上網安全。企業必須假設自身已經遭到滲透,也因此近年來,針對使用者和端點提供行為偵測、反制的系統,像是使用者行為分析(UBA)、端點偵測與反應系統(EDR)等類型的產品,快速崛起,也成為資安廠商想要找出尚未發現的攻擊事件的做法之一。
然而,這些都是偏向攻擊事件發生的過程中,或是已經遭到攻擊之後的因應措施。對於企業上網的防護而言,若是想要從中確保存取網頁的過程中,不致受到攻擊,從前述的威脅減測系統也難以在第一時間找到未知的攻擊手法。因此,若是藉由遠端瀏覽器機制,可以創造出相對安全的距離,企業便能將實際存取網頁行為,隔絕在企業內部網路環境之外,所以不少廠商對於這樣的系統,稱為上網隔離(Web Isolation)。
而從架構上來看,這種透過遠端的系統,提供內部使用者上網保護,也稱為遠端網頁瀏覽(Remote Browsing)。
而Gartner今年3月發布的報告中,則正式整合了兩種類型的命名方式,改稱為遠端瀏覽器隔離措施(Remote Browser Isolation,RBI)。
瀏覽器軟體開始內建隔離機制
隨著網頁中的威脅越來越難以防範,如今就連常見網頁瀏覽器軟體,也開始提供隔離機制。以圖中的Chrome 68版便提供前述功能,主要是防範有心人士利用Spectre處理器漏洞,攻擊瀏覽器。只是該功能會對於效能產生明顯影響,預設為停用,使用者需要自行開啟。
利用遠端瀏覽器,將內部使用者與網際網路隔離的方法,其中最大的優點,就是由於實際的網頁載入,都在前面提到的系統中執行,因此不需消耗大量使用者電腦上的硬體資源。而且,由於這種系統的機制中,大多都是在使用者停止瀏覽網頁之後,當時所啟動的容器也一併隨著瀏覽器捨棄,因此,可免除埋潛藏在其中、尚未發動攻擊的威脅。
而這樣的防護機制中,也相當強調使用者不需更換執行的瀏覽器,只要透過代理伺服器導引到RBI系統,就能得到進階的上網防護。
基本上,RBI對於使用者端電腦的要求,主要是本地端瀏覽器的版本和規格,通常是必須支援HTML5標準,因此,目前常見的電腦版瀏覽器,無論是能跨作業系統平臺的Chrome與Firefox,以及IE 9到11版、Edge,還有Safari等,都能執行,甚至,Android與iOS行動裝置版本的瀏覽器,也都在這種隔離瀏覽器的支援範圍。
雖說在使用者端執行的要求並不高,甚至是幾乎沒有平臺的限制,然而,以企業提供的遠端瀏覽器系統中,由於網頁的內容載入,都是由平臺上的瀏覽器執行,因此對於網頁的相容性,也仰賴RBI系統採用的瀏覽器種類。基本上,前述在容器上執行的瀏覽器,幾乎都是Linux版Chrome,若是企業中仍有部分的重要應用程式,必須透過舊版IE才能讀取,就無法納入這種防護機制。
與瀏覽器相容性的情形,也發生在外掛程式(Plug-ins)的支援上。儘管前述主要的網頁瀏覽器,已經相繼停止支援像是Adobe Reader、Flash Player,以及Java等軟體的瀏覽器外掛,然而在企業中,還是有不少應用系統透過Java開發,也有部分是使用IE的ActiveX元件,但在這種新興的上網防護機制中,除了Chrome已經內建的PDF檢視器,與Flash播放器元件之外,其餘外掛程式可說是幾乎不相容。
再者,雖然使用者可透過自己原來執行的瀏覽器上網,然而對於上網瀏覽的操作,也有所變化,最顯著的是瀏覽器右鍵功能,全數由這種上網隔離措施給取代,因此,右鍵選單往往只剩下基本功能,像是網頁的重新載入、前往下一頁或是上一頁,以及另存圖片等。此外,對於某些員工,電腦上的瀏覽器長久使用下來,已經安裝了許多延伸套件(Extensions),在這樣的防護機制裡,也很可能會失效。因此,企業若是想要導入這種型態的防護系統,便需要對員工會透過瀏覽器存取的網頁應用程式,加以評估採行後會帶來的影響。
雖說這樣的隔離機制,目前仍然存在一定的局限,例如,無法存取必須靠舊版瀏覽器才能執行的網站,或是不能支援特定網頁應用程式所需的外掛軟體。然而,相較於透過遠端桌面服務或是桌面虛擬化,在RBI這樣的解決方案中,架構已經更為精簡,更重要的是,建置成本相對較低,能夠在較為有限的預算中,達成進階上網防護的作用,也能與現有的保護機制搭配運用。
而對於目前已經在臺灣上市的3款產品,我們也看到能與指定品牌的網頁安全閘道整合,此時,企業可先行透過網頁安全閘道,過濾已知有害的網站,對於不確定是否潛藏威脅的網頁,再使用RBI這種網頁隔離機制載入。
再者,RBI上網隔離防護措施,在使用者下載檔案的檢測機制上,各家做法仍有不同之處。例如,部分品牌內建檔案的消毒與重組(Content Disarm and Reconstruction,CDR)機制,也提供多層掃描的做法。
不過,無論是那一種方式,都突顯了這種保護措施中,目前還是偏重以網頁瀏覽、存取網頁應用程式為主的防護策略,但事實上,如何確保從外部下載的檔案安全性,以及其他也要上網的應用程式(例如Outlook),同樣應納入防護範圍,或許,這些層面會是RBI遠端瀏覽器系統日後的發展重點。
當使用者透過遠端瀏覽器隔離系統上網時,網頁載入的流程,都是在遠端執行,對於使用者而言,網頁的內容呈現會是否產生影響,便成為特別需要留意的問題。我們這次,透過了代理商達友科技提供的Menlo Security Isolation平臺,與一般直接連接到網際網路的瀏覽器,同樣存取Google網頁,比較兩者呈現的內容差異。
結果顯示,網頁顯示的內容算是相差無幾,搜尋框、按鈕,以及頁面上的連結等,都能正常運作。只有因為本次的測試平臺,為架設在日本AWS的服務,因此Google識別為從日本連線,並提醒使用者是否要切換到日文版網頁,而這是此類雲端服務在臺灣企業導入時,可能會出現的現象。
直接存取網際網路
看似風格極為簡潔的Google搜尋首頁,背後的網頁程式碼竟有329行之多,我們執行了Firefox 61.0.2版,來比較網頁內容呈現的差異,其中最明顯的不同,是左下角Google首頁偵測到我們位於臺灣,而利用架設在日本的遠端瀏覽器隔離服務後,實際存取網頁的地點位於日本。(圖片來源/達友科技)
採用遠端瀏覽器隔離系統
我們以同樣的Firefox瀏覽器,透過遠端瀏覽器隔離上網服務,瀏覽Google搜尋首頁,執行的速度與尚未採用前,可說是沒有差別,網站上的各項連結、按鈕,搜尋框都能正常使用。不過,從原始碼來看,電腦的瀏覽器只讀取了17行指令,而占用的記憶體,也略少於直接執行的需求。(圖片來源/達友科技)
相關報導 用瀏覽器隔離建立上網新防線
企業想要建置遠端瀏覽器隔離上網系統(Remote Browser Isolation,RBI)這樣的上網防護機制,大在管制使用者上網的功能中,RBI提供的遠端瀏覽器隔離平臺,不只能規定使用者,能夠存取那些網站,也都能在政策的設定中,限制使用者是否能執行進階的操作功能,像是列印、檔案的下載與上傳,或是前述的輸入文字、複製網頁內容等。
而在制訂這些上網規則的做法上,由漢領國際代理的Ericom Shield、達友科技代理的Menlo Security Isolation Platform,以及Symantec買下Fireglass後,推出的Web Isolation這3款RBI防護產品也有所差異,例如,Menlo安全隔離系統與Symantec Web Isolation,它們都提供了以網站類別設定的做法,而後者則是進一步,可另外依據風險等級的高低,套用對應的政策。
至於Ericom Shield,它雖然沒有提供上述的網站群組機制,但卻擁有預設值,以及強制全域規定(Override)等2種規則,減少管理者需對於各式網站逐項設定的情形。
企業想要建置RBI,大致上可區分為內部建置和雲端服務的選項。而這3款產品中,Menlo的系統平臺的選項較為豐富,同時涵蓋了上述兩種型式,甚至內部建置的做法上,也在建置於虛擬化平臺的純軟體之餘,提供專屬實體設備。
而在Symantec提供的部署方式而言,Web Isolation同時具有純軟體與雲端服務可用。此外,企業若是採用該廠牌雲端版網頁安全閘道Web Security Service,也可選購遠端瀏覽器隔離的功能。
至於Ericom Shield,目前只能以純軟體的型式,建置在企業內部的虛擬化平臺,不過代理商漢領國際表示,原廠也打算推出雲端服務,供企業選購。
若是企業評估要在內部虛擬環境中建置,便要從需要執行這種上網環境的使用者數量,以及這些平臺提供上網時,所運用的處理器和記憶體資源,加以整體評估。
漢領國際指出,根據原廠提供的資料,1個處理器核心可因應5至6位使用者上網,而每個瀏覽器分頁平均會占用約200MB的記憶體,一般而言,若要規畫記憶體的需求,通常是以每個使用者會執行10個分頁計算。根據達友科技提供的資訊,以8個處理器核心、32GB記憶體的環境,Menlo隔離系統約能因應50個使用者同時上網。而從Symantec Web Isolation的建議需求來看,在擁有24個處理器核心與88GB記憶體的環境裡,大約能供500個使用者上網防護。
此外,無論是上述的任何一款產品,也都訴求能與現有上網防護搭配運用,因此,不少企業便會先以網頁安全閘道,先行過濾已知的有害網站,再將灰色地帶網域交由RBI執行。
.png)
可自訂運算資源的分配機制
相較於另外2款產品,Ericom Shield提供了不少能自訂容器耗用資源的政策選項,管理者可因應實際應用的情形,調整容器可使用的記憶體多寡,或是偵測到分頁未使用一段時間後,能夠回收系統資源的間隔。
提供可自訂的封鎖訊息
對於出現使用者瀏覽遭到封鎖的網站,或是限制只能讀取的網頁等情況,Menlo在用戶端瀏覽器所呈現的訊息,管理者可以自行調整,值得一提的是,雖然管理介面只提供英文,但這裡的文字能輸入中文,並可在瀏覽器中正常顯示。
能診斷連線異常來源
若是遇到連線異常的情況時,Symantec Web Isolation提供了檢測工具,只要在網址結尾加入/fgdfag#,便能啟用如圖中的診斷功能,測試後也有利於回報管理者,從有問題之處著手排除網路障礙。
針對遠端瀏覽器隔離系統中,所用來傳遞畫面的做法,用戶端的瀏覽器也要支援HTML5標準,因此太舊的軟體便無法使用,為此,在Menlo的隔離防護平臺上,便提供了如圖的瀏覽器版本管理政策,若是遇到使用者執行的軟體不夠新,可禁止上網或是停用防護功能。
由於遠端瀏覽器隔離上網系統(Remote Browser Isolation,RBI)這種新興的防護措施中,透過了HTML5標準,將遠端容器裡載入後的畫面,傳送給電腦上的瀏覽器,因此,使用者執行的瀏覽器軟體,也要支援這種規格,才能讀取遠端瀏覽器隔離系統提供的內容。
前述的網頁標準,由全球資訊網協會(World Wide Web Consortium,W3C)在2014年10月完成相關的規格制訂,目前市面上主要的瀏覽器軟體,支援HTML5已是行之有年,因此,遠端瀏覽器隔離系統的廠商,普遍標榜使用者能延用自己熟悉的軟體上網。
然而,對於企業中早期建置的網頁應用系統,必須透過特定版本的IE才能使用,由於IE在第9版正式支援HTML5,仍然執行之前版本的IE,便無法納入遠端瀏覽器的防護範圍。
面臨企業裡可能存在執行舊版IE電腦的情形,各家廠商提供的做法不一。例如,原先提供桌面虛擬化架構的Ericom,他們便在Ericom Shield上,額外提供企業建置IE模式的選用模組,藉由架設額外的Windows終端伺服器,管理者再透過政策設定,讓使用者瀏覽指定的網頁時,自動切換到終端伺服器上的IE,執行載入網頁的工作。
而Menlo的安全隔離防護平臺中,則是內建了主要瀏覽器版本的控管功能,若是低於管理者設定的版本,系統可禁止使用者連上網際網路,或是對該瀏覽器停用相關的防護機制。
相關報導 用瀏覽器隔離建立上網新防線
有別於桌面虛擬化訴求的資料不落地,無可避免的,遠端瀏覽器隔離上網系統(Remote Browser Isolation,RBI)的運作過程中,雖然將實際存取網頁的過程,都透過使用者電腦外部的環境執行,但對於想要存放到電腦上的檔案或是資料,便可能成為駭客用來滲透的管道,為此,由漢領國際代理的Ericom Shield、達友科技代理的Menlo Security Isolation Platform,以及Symantec買下Fireglass後,推出的Web Isolation這3款RBI防護產品提供了各式的檢測機制,或是支援與其他防護系統整合。
以Ericom Shield來說,對於使用者下載的檔案,它內建了Votiro的檔案內容消毒與重組(Content Disarm and Reconstruction,CDR)機制,藉此重組微軟Office文件、PDF檔案,以及圖片內容,並去除可能有害的巨集或指令碼。而最近的新版本18.07,支援Check Point SandBlast Cloud雲端檢測服務,因此企業也可選擇這項服務,與Ericom Shield搭配,檢查使用者下載的檔案。
而Menlo安全隔離上網系統中,則是內建了3項檢查流程,並且能夠結合外部沙箱的措施。這項檢查的進行,先是與VirusTotal特徵碼比對,再交由Sophos Intercept X掃描,最後送到Sophos Sandstorm雲端沙箱。若是企業內部已經建置了沙箱檢測設備,像是Palo Alto WildFire,Menlo也能連接,執行第4種檔案檢測機制。不過,這款產品尚未支援檔案內容消毒與重組,代理商達友科技表示,原廠計畫未來整合Opswat的解決方案,不過,尚未有明確的時程。
至於Symantec Web Isolation的部分,在支援檔案掃描的防護系統上,包含類型算是最多元,有沙箱、防毒檢測,以及Google威脅情資(Safe Browsing),也能運用Votiro和Opswat檔案內容與重組系統,讓使用者在存取網站而下載文件或是圖片時,也能得以藉此消除其中有害程式碼。
不過,在檔案下載的處理中,這3套產品的做法也有所不同。Menlo與Symantec推出的系統裡,對於文件、圖片、壓縮檔案等,提供了預覽的機制,相較之下,Ericom Shield只有顯示執行檢測的進度,使用者無法利用前述的預覽機制,確認下載檔案的內容。
再者,則是對於採用密碼保護的文件與壓縮檔案,Menlo與Symantec的RBI產品,支援使用者手動輸入密碼後,再行預覽內容。而在Ericom Shield當中,管理者僅能採取直接放行或是封鎖,比起另外2款系統的處理方式,較缺乏彈性。
除了能夠針對下載的檔案進行檢查,Ericom Shield與Symantec Web Isolation等2款系統中,也對於使用者端電腦剪貼簿的內容,提供相關管制功能,避免使用者將網頁上可能有害的內容,複製到電腦中。其中,前者主要是限制指定使用者瀏覽特定的網域時,無法使用複製和貼上的功能。
相較之下,Symantec Web Isolation所具備的管制措施,便豐富許多,像是能指定禁用的類型,例如能允許使用者複製頁面上的文字,但無法取得網頁中的圖片,或是網頁中的HTML內容等。附帶一提,對於敏感資料的複製和取用,這套系統也可記錄當下複製的內容,管理者日後若是想要從Web Isolation裡,找尋攻擊事件的蛛絲馬跡,這些記錄就能做為佐證的資料。
由於這種遠端瀏覽器隔離的上網防護系統,訴求即使網頁中出現了有害內容,也不會直接波及使用者的電腦,因此,在存取網頁的策略上,普遍盡可能讓使用者能檢視想要存取的網站。相較於現有的上網防護機制,像是次世代防火牆,或是網頁安全閘道而言,我們前面提到的3款隔離上網產品,都額外提供前述防護系統中,所沒有的管制政策。例如,只能檢視網頁的唯讀模式(Read-Only),換言之,設置這種管制政策後,使用者還是能夠瀏覽網頁,但是無法在頁面上的對話框,輸入任何內容。
當然,這種唯讀模式的目的,主要便是在放行和禁止之間,提供能夠檢視網頁的彈性,但禁止使用者輸入任何內容,以避免產生資料外洩的風險。而當管理者啟用了這樣的政策之後,使用者若是存取被限制只能讀取的網頁時,防護系統便會在瀏覽器的下方,以訊息視窗顯示,這個網頁受到管制,目前以唯讀模式執行。
雖然,市面上可取得的3款RBI產品中,管理者都能針對特定類型或是網域的網頁,採取頁面唯讀的管制政策,不過,做法上還是有些差異。
像是Symantec Web Isolation中,便增加了可由使用者確認後,暫時解除唯讀模式的按鈕。對於部分需要批準才能使用的線上電子郵件信箱,或是協作平臺等網站,員工便能在知會主管並取得許可的前提下,能夠輸入文字、剪貼內容到這些網站上。
而對於防範使用者隱私資料外洩的風險,Symantec Web Isolation也整合了自家的威脅情資,在系統與情資比對下,若是發現疑似不安全的連線時,自動禁止使用者送出已輸入在網頁上的內容。
以維運狀態為主軸的儀表板
對於Ericom Shield系統的資源控制,是這套產品著重的功能之一。從它的儀表板中,優先顯示與負載有關的資訊,便可見一斑。圖中的儀表板上,呈現了處理器、記憶體,以及儲存空間等資源的使用情形,並列出系統中各個伺服器的基本資訊。
以詳細的分析結果列出各項訊息
面對網頁防護的情勢,Symantec Web Isolation雖然也採用了多種圖表,但與前述Menlo儀表板不同之處,在於Symantec加入了許多進階功能,像是與網路環境有關的統計數據,而左側也提供事件型態的篩選機制,讓管理者能鎖定特定的目標,得知上網所出現的威脅。
統整流量與威脅情勢的儀表板
在Menlo的管理界面首頁中,儀表板列出了來自上網流量與電子郵件的威脅情勢,並針對流量和威脅提供有關的分析圖表。而管理者也可向下追蹤,對於單一圖表檢視較為詳細的資訊。
相關報導 用瀏覽器隔離建立上網新防線
面臨變化多端、潛伏在網頁中的威脅,有別於現有的上網防護措施,改用在遠端瀏覽器隔離執行的方式,同時避免可能埋藏其中的惡意內容,直接影響到使用者的電腦,甚至是成為攻擊者進入到企業內部環境的滲透點。隨著容器技術的成熟,採用執行完即刪除的容器,提供遠端載入網頁,再傳送畫面到使用者電腦上的防護機制,也開始有廠商推出相關產品。
單純就廣義的遠端瀏覽器隔離機制(Remote Browser Isolation,RBI),做法其實相當多元。然而,目前新興的機制,則是透過容器的技術,做為實際載入網頁的環境,而且,使用者執行結束之後,系統便直接將這些容器刪除,避免可能留存在容器環境中的有害內容,橫向擴散波及企業其他的設施。
而對於用戶端的操作體驗,也是這種做法訴求的重點之一。主要的目的,就是盡可能不影響使用者原先的上網方式,其中,最為重要的便是讓用戶執行原本慣用的瀏覽器軟體,不需更換成管理者提供的專用瀏覽器,或是登錄到另外一個桌面環境上網。
因此,近期多家廠商推出以上述提到的動態容器,執行網頁內容的上網隔離措施,成為了受到關注的焦點。
目前提供這種能夠集中控管,採取執行完便刪除的容器,載入網頁內容的系統,相關的產品並不多,在臺灣能夠取得的解決方案,主要包含了由漢領國際代理的Ericom Shield、達友科技代理的Menlo Security Isolation Platform,以及Symantec買下Fireglass後,推出的Web Isolation等3款產品。
透過遠端瀏覽器執行保護端點電腦
在這種透過遠端載入網頁的做法中,實際網頁的程式碼下載、執行,以及頁面的渲染,都是在防護系統裡執行,再將畫面以HTML5的語法,傳送到端點電腦的瀏覽器分頁上,若是網頁中含有惡意內容,不致直接影響這些接收畫面的電腦。(圖片來源/Symantec)
上述的新興解決方案,都標榜使用者可執行原有的瀏覽器,網頁的存取、載入,都是由遠端容器環境中的瀏覽器處理,電腦上的瀏覽器便是透過HTML5標準的語法,接收來自遠端環境執行的所得到的畫面,因此,用戶端使用的網頁瀏覽器,只要支援上述的標準就能執行,但瀏覽器版本若是太舊,可能就無法採用這種防護系統。
不過,以現在市面上常見的瀏覽器而言,支援HTML5可說是行之有年,大部分的網站中,也廣泛應用這種標準的語法,或是其中涵蓋的CSS3樣式表等,因此,無論是使用者端還是網站的部分,HTML5都是相當成熟的標準,反過來說,若是執行不支援這種標準的舊版瀏覽器,上網可說是處處碰壁,根本無法正常瀏覽。若是企業採用了遠端瀏覽器隔離系統,來強化員工上網的安全,一般而言,不致產生用戶端的瀏覽器軟體相容性問題。
前端電腦只要設定代理伺服器
基本上,使用者若要取得RBI這種防護機制,基本上不需要安裝額外的軟體,上網前唯一要做的準備,就是設定由系統提供的代理伺服器(Proxy)。
而實際在企業中的做法,便可能透過像是群組管理原則(GPO)的方式,遠端派送代理伺服器的設定,要求使用者都要透過遠端瀏覽器隔離系統,並經由帳號與密碼的身分驗證之後,才能存取網際網路上的內容。但除此之外,無論是網頁上內容的呈現,還是畫面中的各種功能,基本上,都與一般上網沒有差異,以我們實際測試前述多家產品的經驗,幾乎沒有遇到網頁排版的內容變形,或是網頁無法使用的情況。
在套用這種防護機制做法上,除了利用代理伺服器之外,其中,Menlo安全隔離存取平臺上,便額外提供了不需修改網路設定的方法,使用者便能在無法修改電腦代理伺服器設定時,藉此得到同樣的上網防護。具體的做法,便是使用者要連線到系統指定的網頁,依據頁面上的內容,通過身分驗證後,輸入想要存取的網址,就能透過Menlo的平臺執行頁面載入,算是較為特別的做法。
無法相容早期版本瀏覽器軟體
基本上,除非使用者執行非常早期的瀏覽器版本,不然幾乎都能搭配遠端瀏覽器隔離系統,並受到保護。以微軟的IE瀏覽器來說,他們在2011年推出的第9版上,首度正式支援RBI系統中,所列為基本需求的HTML5標準,這款瀏覽器推出的時間,距離現在已經長達了7年之久。這段期間,無論是各主流瀏覽器HTML5的支援程度,還是網站中應用相關語法,都已經行之有年,換言之,執行不支援這種標準的舊款瀏覽器,機會可說是越來越少。
附帶一提,就企業實務上的應用來說,對於仍要延用舊版瀏覽器的情況,由於開發廠商多半已經不再提供相關的漏洞修補,這些瀏覽器軟體可能潛藏著高度風險,因此,企業勢必限制這種軟體可存取的範圍,甚至將它們隔離在特定的區域,以避免這些瀏覽器遭受外部攻擊所帶來的風險。
雖然,遠端瀏覽器隔離系統必須使用HTML5語法,無法直接向下相容這些尚未支援上述標準的瀏覽器,然而就實際的運用上,多數員工不會使用前述的舊版軟體上網,所以,3家提供這種系統的廠商都表示,根據他們的經驗,用戶對於這種相容性的需求,其實並不高。
雖然,這種型態的防護系統,著重在提供了上網隔離機制,增加使用者電腦的安全性。因此,推出相關產品的廠商,並不像桌面虛擬化和遠端桌面服務業者,訴求能夠減少頻寬,或是可執行需要大量圖像運算的工作。但是,若是占用了大量的頻寬與系統資源,也會影響端點使用者執行順暢與否,算是相當重要的關鍵因素。
更節省頻寬與端點系統資源
基本上,上網流暢度的疑慮,我們不只經由實際測試,也與廠商確認,無論是Menlo安全隔離平臺,還是Symantec Web Isolation,提供前述產品的2家廠商都表示,使用者需要的網路頻寬,並不會因此大幅增加。達友科技進一步指出,根據他們的資料,透過Menlo平臺上網,電腦端所需的頻寬,介於原來的50%至110%之間。換言之,套用這種機制後,基本上不會消耗更多網路頻寬。
而在我們的實際測試中,也反映出這樣的現象。在播放YouTube影片時,在端點電腦網路連線品質不太好的情況下,我們直接連線到網際網路時,只能播放720P解析度影片,但透過Menlo平臺,同一部影片卻能流暢以1080P播放(該平臺是Menlo建置在日本AWS平臺的RBI服務,所以擁有較大的頻寬)。
由於網頁內容的讀取,都由這種平臺處理完成,電腦端的瀏覽器只負責接收渲染完成的畫面,因此在導入這種防護機制後,理論上,使用者端瀏覽器消耗的資源,也會較直接存取網際網路來得少。而我們實際的測試中,也印證了這樣的情形。以64位元的Firefox 61.02瀏覽器存取Google搜尋首頁時,透過工作管理員,比較記憶體的使用量,結果測試下來,經由Menlo存取時,大約少了5MB至10MB。
可存取電腦端瀏覽器上的書籤
由於企業使用RBI系統後,使用者還是執行自己電腦上的瀏覽器,因此,對於需要使用瀏覽器中的書籤功能,藉此快速存取特定網站,仍能正常運作。
再者,若是使用者利用了瀏覽器儲存網站的帳號和密碼,由於這些設定都在電腦端,理論上仍能使用,對於採用自動登入的網站來說,這樣的防護並不會影響,不過,若是每次開啟瀏覽器後,需要手動輸入登入資料的情況,後續透過RBI存取這種頁面時,很可能只出現了使用者的帳號名稱,而不見得會一併填入已儲存密碼,對於相當仰賴瀏覽器密碼儲存功能的用戶,就會產生影響。
不過,密碼暫存的措施上,RBI系統也提供了彈性,像是Ericom Shield就在管制政策裡,可針對特定網站或是網域,開放或是禁止使用電腦上的Cookie,避免使用者同時在瀏覽器上,以同一組帳號在不同的分頁中,存取多項網站服務時,例如要執行Gmail、Google Docs、YouTube網頁,便能在其中一個分頁驗證完成後,以同樣的身分,在另外2個分頁存取不同服務。
假如使用者在多臺裝置之間,利用了瀏覽器內建的設定同步功能,同樣會因為實際由遠端瀏覽器對外連線,而無法正確連結、執行。
瀏覽器操作方式仍有部分差異
其中,我們這次接觸到的3款上網中,部分產品仍設法改良,企圖維持原有的操作性,例如Menlo藉由名為Adaptive Clientless Rendering的獨家轉譯技術,它仍然能夠維持電腦上,瀏覽器原始右鍵功能,因此,使用者便不需要重新適應遭到更換的選單,也比較不會覺得操作的流程受到影響。
尤其,這類防護系統中,遭到置換的右鍵選項,也往往改以英文顯示,因此,使用者很容易察覺這樣的變化。至於Symantec Web Isolation,雖會以內建在系統的選單,替代瀏覽器原有功能,不過,對於會提供自定選單的網頁,像是Google Docs、Gmail等,這套系統便會以網頁的右鍵選單為主,不會更換。
不過,這種防護系統應用到企業內部時,誠如前言所述,由於以遠端瀏覽器實際執行網頁載入,再將呈現內容以畫面傳送給使用者電腦的做法,網頁內容的讀取都是遠端瀏覽器執行,因此,對於使用者電腦上的瀏覽器軟體操作,還是會造成一定程度的影響。
其中,最大的限制,就是對於需要利用外掛程式(Plug-ins)存取的網站,由於RBI系統容器裡的網頁瀏覽器並不支援,因此無法存取需安裝像是Java、ActiveX,或是Silverlight等外掛軟體的網站,同時,若所要連接的網站應用程式,需運用工商憑證和自然人憑證,也無法透過這種防護措施上網。
儘管,隨著各家的瀏覽器不再支援這些外掛軟體,這種以隔離瀏覽的防護措施,RBI廠商順理成章沒有納入支援。但實際在企業環境中,這些軟體可能仍舊在特定的應用系統上運作,因此實務上,無論是只能使用前述舊版IE瀏覽器執行,還是需要外掛軟體的網站,廠商都是傾向建議在這類系統的主控臺中,設定為例外的方式,略過遠端瀏覽器隔離上網的防護機制。
在瀏覽器的版本與外掛軟體之外,對於RBI終端使用者最為顯著的變化,應該是套用這種防護系統後,電腦上瀏覽器的右鍵選單,便可能遭到系統替換,只剩下基本的常用功能,像是上一頁、下一頁,重新讀取網頁等項目,而非本機瀏覽器上原來的功能。而且,這樣的變化,也可能會影響到使用者已經安裝的瀏覽器擴充套件(Extensions),導致無法100%符合使用者原有習慣。
提供檔案的下載前預覽機制
對於使用者會存放到電腦中的文件或是壓縮檔案,部分RBI系統也提供了線上預覽的機制,可確認是否為需要下載的資料。以圖中為例,使用者需先在左上圖中的Menlo驗證網頁上,輸入密碼,才能開啟右圖的電信單據PDF文件,線上預覽這份文件的內容。
.png)
結合檔案無害化的處理措施
針對下載檔案的檢測,Ericom Shield內建Votiro的檔案消毒與重組機制,並能管制各種類型資料的檢查的設定。而在較新的版本中,這款軟體多了Vendor選項,企業可改用Check Point的解決方案。
採取4層檢測機制
對於檢查使用者下載的檔案內容,Menlo隔離上網系統總共提供了4種關卡,從初步的檔案雜湊值比對、防毒引擎掃描,到使用雲端沙箱,若是企業已經部署了Palo Alto WildFire沙箱,這套系統也可將檔案交給內部沙箱設備,再次觸發。
支援與多種檢測系統搭配
在Symantec Web Isolation裡,對於使用者下載檔案的檢測機制,包含了自家的防護功能外,能夠搭配的惡意軟體偵測系統選項,也是3款產品中最多,且同時涵蓋了防毒引擎、沙箱、內容無害化等類型,並可接收Google Safe Browsing的威脅情資。
相關報導 用瀏覽器隔離建立上網新防線
官方預告即將在今年下半年釋出的TensorFlow 2.0,重點目標將擺在易用性改善上,而最有看頭的特色將圍繞著Eager Execution正式發布,這個命令式程式開發環境,能立即執行程式碼評估操作,也就是說開發者能夠進行即時除錯,這正是社群期盼已久的功能,將在TensorFlow 2.0正式提供。更多內容
開源DevOps服務供應商Sonatype發表DepShield,這是一個針對GitHub的應用程式,能自動識別開源相依專案程式碼中的漏洞,提醒開發人員需要修補的部分,提高企業對於開源治理的能力。更多內容
自今年初爆出Meltdown與Spectre兩款針對處理器的推測執行旁路攻擊手法之後,來自魯汶大學、以色列理工學院、密西根大學、阿德雷得大學及CSIRO Data 61的研究人員於今年1月再度向英特爾(Intel)與各大業者揭露第三款處理器攻擊手法—L1終端故障(L1 Terminal Fault,L1TF),英特爾與Google等業者則在8月14日公布L1TF的細節與修補途徑。
L1TF同樣屬於推測執行旁路攻擊(Speculative Execution Side-Channel)手法,上述研究人員找到的漏洞為CVE-2018-3615,影響支援英特爾「軟體保護擴充」(Software Guard Extensions,SGE)的某些處理器產品,英特爾的進一步研究則發現另外兩個與L1TF手法有關的漏洞—CVE-2018-3620與CVE-2018-3646,其中的CVE-2018-3620涉及作業系統與系統管理模式,CVE-2018-3646則涉及Hypervisor軟體,針對上述3個漏洞的攻擊可導致L1快取中的資訊外洩,迄今尚未傳出攻擊事件。
英特爾表示,該公司於今年初陸續釋出的微碼更新已是緩解上述3個漏洞的重要元件,再加上作業系統業者與Hypervisor軟體供應商本周開始發表的修補程式,將能協助消費者、IT專家或雲端服務供應商取得他們所需的保護。更多內容
針對英特爾本日發布的L1終端故障(L1 Terminal Fault,L1TF)漏洞, Google也在部落格宣布,在Compute Engine中採用主機隔離功能,能夠確保不同虛擬機器不會共享同一個核心,避開漏洞攻擊的可能性,還部署了監控服務偵測特定類型攻擊的發生。Google提醒,自行運作多租戶服務的用戶,最重要的是趕快更新系統映像檔。
這個L1終端故障攻擊手法,同屬於Google Project Zero團隊當初發現的推測執行旁路攻擊(Speculative Execution Side-Channel),相關的漏洞有三個,其中CVE-2018-3615與英特爾軟體保護擴充有關,CVE-2018-3620影響作業系統與系統管理模式,而第三個CVE-2018-3646則和虛擬化技術有關。Google提到,和過去的攻擊不同之處在於,新的L1TF變體透過攻擊處理器等級的資料結構來進行推測執行攻擊,而不是之前從程式控制流下手。更多內容
今年3月時,SAP旗下的差旅支出管理服務團隊宣布,在Slack推出兩款聊天機器人,分別是旅費管理Concur Expense和行程規畫Concur Travel,當時Concur Expense已經推出公開測試版。而這次輪到Concur Travel,SAP在近日宣布,該款Chatbot已經邁入Beta階段,開放給Slack、Concur Travel的用戶測試。更多內容
微軟發布Visual Studio 2017的15.8版本,這個版本重點放在提升生產力、性能提升與錯誤修復。
Visual Studio 2017現在支援多重插入編輯(Multi-caret Editing),使用者現在可以快速在檔案的多個位置進行編輯,只要在文件的不同位置放置插入符號或是圈選文字,就能同時在多個位置加入、編輯或是刪除文字。更多內容
繼五月Google宣布線上儲存方案Drive改名為Google One,這幾個月來所有付費版Google Drive已逐步升級為Google One。這項服務於8月16日正式上線開放美國用戶訂閱。
Google One方案針對Google Drive做了些調整。包括新增月費2.99美元的200GB儲存空間的服務、原有9.99美元的1TB方案取消,2TB儲存服務月費由19.99美元調降為9.99美元。其餘100GB(1.99美元)、10TB(99.99美元)、20TB(199.99美元)及30TB(299.99美元)方案不變。而15GB的免費方案仍然維持。更多內容
近期Google 雲端平臺服務(Cloud Platform)部門持續加碼企業市場,推出針對企業而設計的AI預包裝服務,第一波將讓客服、人才招募等作業整合AI。
為了讓AI服務切合產業的特殊需求,Google將推出兩種方案。首先是預包裝(pre-packaged)的AI方案,透過和夥伴廠商的合作,這些預包裝的方案已整合了特定產業的專業而且更容易整合到現有企業流程。更多內容
為了推動無現金支付,臺北市政府帶頭做起,和OK超商合作在市府一樓設立迷你超商,由4臺自動販賣機組成,讓民眾體驗無現金支付的便利性。
台北市長柯文哲日前在智慧數位支付會議中表示,臺北市將電子商務列為施政重點,而推動無現金支付則是第一優先,希望由內而外,由公而私帶頭消滅現金。首先是在臺北市政府一樓設立無現金支付體驗專區,引進OK超商的OKmini迷你超商。更多內容
繼4月網頁版Gmail改版加入機密模式(Confidential Mode),8月Google宣布這項功能擴大到Android、iOS版App。
機密模式能防止用戶敏感資訊遭未授權人士存取,適用於郵件中的文字和附件。在Gmail機密模式下,收信方無法轉寄、複製/貼上、下載或列印郵件及附件,寄信者也能設定郵件的到期日,例如一周、一個月或數年等,時間一到,對方將無法再檢視該郵件。更多內容
資訊服務商精誠資訊在8月17日宣布,與美商圖策智能科技(Graphen)合作,將代理提供Graphen的AI反洗錢(Anti-Money Laundering,AML)解決方案,要協助金融、證券客戶加強偵測洗錢與詐欺行為、降低誤判機率、預測新的洗錢模式,為金融機構提升反洗錢系統效果之餘,也要降低違規罰款風險與人力成本的耗費。更多內容
各式IoT連網裝置受到入侵,將能被有心人士利用、濫用,或可能成為跳板發動DDoS攻擊而不自知。資安業者Palo Alto Networks表示,最近出現了以Mirai及Gafgyt惡意軟體衍生的殭屍網路活動,鎖定家用路由器為目標,並將利用它們來執行DDoS攻擊,進而癱瘓特定網站,提醒使用者必須注意。更多內容
印度銀行Cosmos Bank近日遭駭客入侵,在8月11日與13日分別遭受攻擊,包括ATM伺服器入侵與SWIFT系統盜轉,國際多家媒體報導此一事件,約有9.4億盧比(超過新臺幣4億元)的資金被盜取,目前這起事件仍在調查中。
根據路透社在8月14日報導,駭客入侵了印度Cosmos銀行,並竊取銀行近9.44億盧比。攻擊者利用ATM服務器上的惡意程式,竊取了客戶資訊後,在8月11日的短短兩個多小時內,發起了14,849筆交易,共提取了8.05億盧比,分別是在全球28個國家的ATM中提出。而在ATM盜領提款之外,駭客還利用SWIFT系統轉帳1.39億盧比至一家香港公司。該銀行也已經尋求專家的幫助,以了解授權交易是如何在各個國家同時進行。更多內容
金融法規變動快速,全球金融機構業者,為了因應各國法遵要求,在法遵、治理、風險管理的人力成本逐年攀升。因此,金融業者也越來越重視,如何採取新興技術,進行複雜的法遵管理。
在法遵科技(Regtech)的應用上,臺灣有些企業會選擇向國外廠商購入AI進行應用。但是,AI在臺發展仍面臨法規未健全、資料庫未在地化、中文技術未成熟等三大困境。所以,在使用法規資料訓練AI時,也只適用於英文法規,中文法規在導入時仍有障礙。
其中又以資料庫在地化的挑戰,是臺灣法遵科技能否真正落實的關鍵之一。工研院在8月初資通訊日活動中,揭露了他們在法遵科技的研發進展。在工研院資訊與通訊研究所負責金融與監理科技應用研發的王慶堯博士表示,工研院企圖用AI打造一套法遵管理應用服務平臺,提供分析、管理工具,以期能提高臺灣金融機構執行合規要求的效率。更多內容
臺灣無人便利商店將有新選擇。台灣大車隊持股40%投資的零售新創傾國科技(Seven Go Technology)在台北華山文創園區,發表了首家24小時營運的迷你無人商店Bingo Store,結合了人工智慧、電腦視覺、自助結帳與行動支付等技術,來提供更便利購物體驗,讓消費者以手機支付結帳後,就能拿著商品走出店外,不用排隊等待。傾國科技預計第一家店9月將進駐大同大學,之後2號店也已經選定將在松山捷運站落腳。更多內容
圖片來源/SAP、Google、台北市政府、傾國科技
今年初某日,統一超商旗下統一資訊內部的一場閉門會議上,身為董事之一的陳景星,當著其他董事和高階主管的面,報告他花了3個月針對統一超商所完成的IT策略營運報告,所有人看過都吃了一驚。因為,這分報告中,陳景星不只大篇幅對於未來超商IT營運策略的發展提出諸多重大建議,也犀利點出許多現有流程缺失,以及如何改進的建議等,就連前不久才剛接任統一超商總經理,當時也是董事的黃瑞典聽到後,都大表讚同,馬上指示下屬按照陳景星的建議來調整,對於這位有著10多年流程再造實戰經驗的資深老將十分倚重。
即使統一企業與統一超商早已分開多年,營運各自獨立運作,並由統一資訊專門負責超商資訊維運與管理,但是講到流程改造和IT經營策略規畫,沒有人比陳景星更有經驗。
除了負責長年IT營運策略規畫與發展,陳景星還有另一個重要職務,就是統一企業的資訊部經理,持續推動統一IT改造與流程優化許多年,直到2017年底,屆齡60歲的他才終於卸下資訊主管一職,陳景星現在新的身分是總經理辦公室經理,看似退居IT幕後,但他其實背負更大使命,不只要協助IT推動統一企業朝向新零售發展,還要負責規畫公司未來IT營運策略重要方針,來提高整體營運。
身為臺灣食品界龍頭的統一企業,最早以麵粉生產製造起家,深耕臺灣多年站穩事業根基後,開始向外擴大經營規模,公司成立20年之際,正是1980年代後期,統一經營策略出現大轉變,從原先全面投入食糧與流通事業,轉而開始朝向多角化來經營,並改以集團化經營模式,大舉併購和投資公司成立新事業。迄今,統一企業轉投資相關國內外企業,已多達240家,而旗下更有超過60個品牌,涵蓋了速食、綜合食品、乳飲、烘培等上百種食品。
陳景星是在1984年從海外留學歸國後進到統一企業,頂著國外碩士高學歷的他,和其他母校畢業的學長姐不同,畢業後不選擇進入外商,反而毅然決然地進到一家臺灣傳統食品業,也就是統一企業,「比起在外商聽命其事,還不如待在本土企業,能獲得更好的發展空間。」他回憶起這段日子說道。
原本就兼具企管與資訊功夫底子的陳景星,一開始,先在統一資訊部門磨練打下資訊的深厚基礎,並一路當上課長,幾年後轉調企畫部,開始負責經營策略規畫,期間更完成了數個重要大型專案,包括1990年統一與美國威登食品(Wyndham)合併案,陳景星幾乎全程參與,更曾兩次赴美協助這家餅乾公司進行組織的重整和管理,甚至後來,統一與百事可樂,以及龜甲萬的合資及合作案,都是由他親自出面談成的,是統一早期能夠快速擴大事業版圖幕後的一大功臣。
直到2011年,陳景星才又重回資訊部門職掌IT。但回到資訊單位前這段期間將近10年多,他的工作內容,並非都與IT毫無關聯,甚至,可以說是與資訊密切相關。
統一企業很早就開始推動資訊e化,來配合業務需求和營運策略發展,但多年以來,因為各大事業單位缺乏橫向聯繫整合,加上許多重覆性的作業流程,使得e化推動成效不彰,成為業務發展的一大阻礙。
到了2007年時,統一企業在經營企畫部成立業務流程改造小組(簡稱業革小組),並找來陳景星領軍,開始大力推動統一內部組織與業務流程改造。而這次的流程再造是一大工程,不是修修補補或做表面的改變,而要從根本上,徹底拋開舊包袱,重新改造部門建立新組織運作模式,更要簡化原有的業務流程。對於陳景星也是一大挑戰。
像是在通路流程改造上,陳景星採用了集中訂貨作法,來改善原有各事業部分開訂貨而導致重覆投資的情形。
「因為我們是集團企業,很容易出現流程方面的重覆。」陳景星不諱言地指出,統一是事業部制,由上而下,一條鞭指揮下來,每個事業部都有各自一套經營策略,且獨立運作,因此容易衍生重覆投資的問題。比如以冷凍調理部與肉品部來說,兩個部門95%的客戶都重複,卻各有各的經營據點,而且皆有自己的辦公室,還配有業務人員、冷凍食品櫃及送貨用車輛,同時向同一批客戶銷售產品,反而造成浪費。
後來,陳景星遂向公司高層建議,改將這兩個事業部門整併,只需配置少數人力與物力,就能夠完成原本需要兩個部門來處理的訂貨作業。不只能避免重覆投資的浪費,還因此替公司省下大量人力資源。對於客戶來說,現在也能一次完成下單,不用分開訂貨,訂貨作業也更為方便。
另外,為了改善統一業務員與經銷商之間的付款、核帳、催收等重覆性作業,陳景星還在2002年時針對經銷商的訂貨付款流程,導入自動扣款機制,盡可能減少人為介入操作,全部改由自動化完成匯款、收款作業。
陳景星表示,以往這些食品經銷商都是採用人工方式匯款,若是逾期未繳,負責的業務員就會向欠繳的客戶催收,作業往返耗時費日,加上一個客戶可能同時與統一數個事業部往來,因此財務單位收到匯款時,光是逐一核對沖帳的對象與款項,常常得花3到7天,因此沖帳效率低,容易造成收款延後,需要更多會計人員一起對帳。而在導入自動扣款機制後,現在,貨品一出貨,相關訂貨資料就會上雲端,兩周後,合作銀行就會自動依據客戶訂貨數量與金額自動完成扣款,財務單位收到款項後可以馬上知道經銷商何時匯款、金額是多少,以及是沖到哪個事業部的哪筆帳,待會計人員核對總金額後,只要按個鍵,就能完成所有沖帳作業。
陳景星指出,透過這套自動扣款機制,不只能夠減輕財務單位的負擔,對於業務員而言,一來不用再經手現金或支票,能減少無謂紛爭和可能衍生的弊端,二來原本的這些人力,公司也能做更好的安排運用,來提高整體生產營運。「流程改造成功的關鍵,從來不是資訊技術問題,而是要改變使用者的工作習慣。」陳景星說。
統一企業總經理辦公室資訊經理陳景星說,流程改造成功的關鍵,從來不是資訊技術問題,而是要改變使用者的工作習慣。攝影/洪政偉
在他任內,不只將業務流程全面翻新,從整個訂貨到收款、核帳流程,全部重新整合,改以自動化方式取代,遇到資訊系統太老舊時,陳景星也與資訊部合作,協助汰換舊系統,並逐步升級或採用最新系統,甚至後來更翻新IT架構,改用大型主機作為新一代資訊架構,並同時導入IBM R6大型主機及甲骨文ERP系統,以取代舊有的王安電腦系統,要透過IT改造,來簡化作業流程,從而提高營運效率。
統一企業於2011年時,將業革小組與資訊部門合併而成立新的資訊部,陳景星也正式接任資訊部主管,他上任後做的第一件事,就是不再委外開發倉儲管理系統(WMS),而是要求資訊人員全部從頭自行開發寫程式,打造統一自己的倉儲管理系統,以提供管理者更有效率的管理進貨、銷貨及存貨狀態。「現在,所有成品倉庫使用的,幾乎都是我們自行開發的倉儲系統。」他驕傲地說。
隨著近幾年,食安意識抬頭,政府大力推行各項食安政策,身為食品龍頭的統一企業也大量投入許多人力、物力,來防範可能隱藏的食安風險,不只成立食品安全中心,針對供應商、原物料、製程、產品進行更嚴格的把關,甚至也通過IT協助加強食安管理。
陳景星以原物料追蹤追溯系統為例,他們為了要提供完整食品追溯記錄,先後導入許多系統,解決系統資料對接等不同環節的問題,從而將產品端的製造生產管理,進一步向外延伸到上游的食品原料供應商,使其納管,以建立詳實生產履歷。他表示,現在,統一食品工廠每批生產製造的貨品,都會留下完整生產記錄,包括原料、批號等;每次成品要出貨時,還會在外箱貼上批號作識別,一旦零售商拿到有問題的貨品,可以馬上從這批食品找到源頭的上游原料供應商,將食安損害降到最低。
陳景星去年11月卸下資訊主管職務,現在的他仍負責統一企業未來長期IT營運策略規畫與發展。他表示,今年統一企業將開始逐步汰換已使用多年的大型主機,最快2019年,部分系統將改用x86主機來取代,至於ERP等關鍵核心系統,他則說,因為功能測試時間較長,因此,暫時不急著先換。
而且不同於統一超商全力發展無人商店事業,統一企業下一階段則要打造一個新零售平臺,能夠提供線上訂貨到付款完整配套流程。陳景星表示,這個新零售平臺,跟中國阿里巴巴喊出的「新零售」精神類似,都是要打通線上與線下的隔閡,他說:「未來這個新零售不只經銷商能用,就連全臺3萬家零售店,小到傳統雜貨店,大到量販店,都可以用這個新平臺來訂貨與付款」。
當然,對於產品橫跨逾60個品牌,旗下多達240家關係企業的統一企業來說,要做到這件事,勢必也是一大IT挑戰。不過,陳景星則說:「資訊技術不是問題,而是店家舊有的作業習慣要跟著改變。」
CIO小檔案
陳景星
統一企業總經理辦公室資訊經理
學歷:美國密西根大學企管碩士
經歷: 在統一企業任職逾30年,曾在資訊部負責王安電腦系統開發,更擁有多年商場經營策略歷練,還是流程改造小組負責人,一手推動多個重大流程再造。2011年接任資訊主管,持續推動IT改造與優化流程,去年底卸任退居資訊幕僚,負責公司長期IT策略營運發展與規畫
公司檔案
統一企業
● 成立時間:1967年
● 主要業務:食糧、速食、綜合食品、乳飲與烘培等製造加工
● 員工數:5,300人
● 年營收:約3,998億元(2017年)
● 創辦人:高清愿
● 董事長:羅智先
● 總經理:侯榮隆
資訊部門檔案
● 直屬主管:侯榮隆
● 資訊部門主管職稱:總經理辦公室資訊經理
● 資訊部門主管:陳景星
● 資訊部門名稱:資訊部
● 資訊部門人數:約80人
● 資訊部門分工:內部/經銷ERP維護、IT基礎設施、流程改造
● 年IT預算:約1~2億元
IT大事記
● 1997年:經營企畫部成立業務流程改造小組(簡稱業革小組),推動組織與業務流程再造
● 1999年:先後導入IBM R6大型主機及甲骨文ERP系統,以取代舊有的王安電腦系統
● 2008年:導入Commerce One電子採購平臺系統
● 2011年:合併原有的業革小組與原資訊部門成立資訊部、自行開發新一代倉儲管理系統(WMS)
● 2013年:捨棄原有的Commerce One電子採購平臺系統,重新自行開發新版電子採購平臺上線
● 2014年:原物料追蹤追溯系統推出上線
● 2018年:開始規畫逐步汰換傳統IBM大型主機,部分系統將改以x86主機來取代
區塊鏈的潛在優勢不只侷限於經濟層面,其應用可以延伸到政治、公益、社會和科學領域,而且區塊鏈科技已被某些團體拿來解決現實世界的問題。舉例來說,為了消弭政治壟斷,可以利用區塊鏈科技創建一個去中心化的雲端功能,提供過去由管轄機構管理的服務。這顯然對像維基解密(WikiLeaks,因創辦人史諾登涉嫌洩密被美國政府禁止使用信用卡捐款給該機構)以及政治中立的跨國組織(比如提供網際網路標準服務的ICANN和DNS)來說極有助益。
除了這些全球公共利益必須超越單一政府的情況之外,其他行業和社會階級可以藉由區塊鏈科技,擺脫受既得利益團體影響之下的不公平管制規約,而實現新的去中心化商業模式。儘管在某些傳統機構的遊說下,政府管制已經有效地削弱了提供消費者基因組服務的公司發展,但是像Airbnb和Uber的新型共享經濟模式已經在法律層面站穩腳跟。
除了在經濟與政治的應用上具備優勢,區塊鏈的協同合作、記錄保存和交易的不可撤銷性等特性,很有可能是全球社會進步發展的基石。舉個例子,我們可以看到在智慧財產權的註冊與保障的應用上,區塊鏈即具備改變世界的潛力。新興的數位藝術行業提供了登記私人數位資產(任何檔案、圖像、健康記錄、軟體等)到區塊鏈上的服務。區塊鏈可以取代或補強所有目前已知的智財權管理系統。其運作原理是透過標準演算法將任何一份檔案壓縮成一組64位的代碼,稱之為「雜湊值」,與該份檔案對應。無論檔案有多大,就好比一份9 GB的基因組檔案,也會被壓縮成一組只有64位元,且無法逆向回推演算的安全雜湊值。這個雜湊值接著會被寫入一個區塊鏈交易中,同時加入時間戳記,證明該數位資產存在時點。這個雜湊值可以利用存於擁有者電腦上的原始檔案再次生成,以便確認檔案內容是否有變動。
標準化機制,就如合約法的出現,已然成為推動社會進步的決定性因素,區塊鏈智財權(數位藝術)也完全可以成為這種具革命性的轉捩點,它將推動更加流暢、更大規模的社會合作,因為有越來越多的經濟活動是由激發的創意而驅動。
由於比特幣和區塊鏈科技的發想與概念是全新且需要相對複雜的技術,因此常有加密貨幣對主流大眾來說太複雜的疑慮。然而,當初網際網路出現時也曾遭受質疑,一般而言在任何新科技剛問世時,「這是什麼?」、「如何使用?」是大眾最關心的技術細節。而這類疑問並不會阻礙人們運用新科技。
就像我們沒有必要為了發送電子郵件去鑽研TCP/IP 協定,只要有適當、可用、可靠的前端應用出現,新科技就能為一般大眾所用,而不需要深入解釋技術細節。例如,並不是所有用戶都需要看到一串32位英文字母與數字的公共位址,更別說是手動輸入了。像是Circle Internet Financial 與Xapo 這種「主流電子錢包」公司正專為比特幣主流應用打造專屬前端應用,期許在前端可用性方面成為「比特幣的Gmail」,攻佔比特幣錢包市佔率。
由於比特幣和電子錢包涉及金錢,用戶使用服務時會格外小心,因此更需要建立用戶信任。為了使大眾對加密貨幣與電子錢包有更深一層的認識,將有許多加密貨幣的隱私安全問題有待解決,包括如何備份錢包裡的錢、當私鑰遺失時該如何補救、如果在交易中收到被禁用的硬幣(比如,之前被竊的硬幣)而你無法擺脫它時該採取什麼動作等。這些問題正由區塊鏈科技著手解決,而目前正蓬勃發展的金融科技,也可以將替代貨幣視為ATM、網路銀行及行動支付等金融網路以外的另一種節點。
因為有可信且可用的前端應用,區塊鏈在貨幣方面的應用對主流社會來說較容易接受。金融領域之外的其他應用可能較為微妙。例如,虛擬公證服務應用於智慧財產權註冊、合約、遺囑或相關文件等服務,無疑具有簡單、低成本、可靠性等特性,既可以永久保存,又可以隨時查詢。然而,因為一些無可厚非的原因(律師能提供人性化的建議、心理分析或是公證服務),人們更傾向於委託律師來處理這類事務。對這些人來說,使用新科技來提升辦事效率其實沒有太大吸引力。
總之,比特幣和區塊鏈若想成為被社會大眾接受的成熟產業,很可能需要像網際網路普及模式一樣分階段進行,讓不同的潛在客群對其明確的價值主張產生共鳴,從而使人們開始使用新科技。一開始,網際網路解決了學術研究者與軍隊這種小範圍組織的合作研究需求。接著,熱衷於網路遊戲的玩家加入,最後才是大眾開始廣泛使用網際網路。
在區塊鏈產業中,有一股混合的力量同時朝向中心化和去中心化的擴張。事實上,區塊鏈正是一種同時存在中心化及去中心化特徵的運作模型。除了網際網路這個大範圍(全世界)、標準化的去中心化模型之外,目前還沒有出現其他可在不同情境中組織活動的類似概念。
儘管去中心化是區塊鏈科技的核心思想(去中心化、無需信任的加密交易記錄系統與公共帳本),區塊鏈也面臨許多中心化的壓力。比如,用來發展區塊鏈經濟的標準管道層勢必往同一種結構靠攏(也就是益趨中心化)。在所有加密貨幣中,比特幣區塊鏈所佔市值為九成,有些計畫認為在比特幣區塊鏈這個現有基礎上建造3.0協定是最安全也最簡單的做法,因為不需要重新構建新的區塊鏈及挖礦機制。
挖礦行為是另一個面臨中心化壓力的領域。激烈的挖礦競爭,使得挖礦從簡單的個人挖礦設備發展成大型礦池,再延伸到訂製的ASIC 設備,這樣的趨勢使得只有少數大型礦池有能力挖出大多數新的比特幣區塊,而這些礦池也逐漸臨近51%攻擊的臨界點,有可能導致比特幣區塊鏈被單一挖礦單位掌控的風險。關於如何在以中心化模式實現經濟效率和以去中心化模式實現去信任交易之間取得平衡,依然有待觀察。
無論是對某個特定區塊鏈或整體區塊鏈體系來說,區塊鏈科技需要面對許多技術上的挑戰。
針對這些技術問題,區塊鏈開發者提供各種方案,展開熱烈討論,透過程式編寫,提出可能解決方案。關於區塊鏈產業是否能夠克服這些問題從而邁入下一個發展階段,業內人士的看法各異。因為比特幣區塊鏈的基礎架構被廣泛採用,以及它強大的網路效應,有些人認為這個產業的實際標準理所當然會是比特幣區塊鏈。有些人則著手架構全新且獨立的區塊鏈體系(像是以太坊),或是一些不使用區塊鏈的新科技(如Ripple)。
比特幣底層技術的首要挑戰就是如何提升目前每秒只能處理7筆比特幣交易的效率問題(VISA信用卡平均每秒可處理2000筆交易,在尖峰時段最高可同時處理10,000筆交易),這是讓主流大眾採用比特幣進行交易最需要克服的問題。還有諸如比特幣區塊擴容、解決區塊鏈膨脹、防範攻擊,以及對程式碼執行硬分叉(hard fork,不可回溯的變動)等問題。
商業模式也是一項重要挑戰,包括功能面及技術面。起初傳統的商業模式看似無法直接套用到比特幣上,因為這種去中心化點對點模式不存在收取交易手續費的第三方中介,而傳統商業模式就是仰賴中介角色獲利。
不過,在新的區塊鏈經濟中,依然有許多有經濟價值、可以產生利潤的產品及服務。開發對教育族群以及主流大眾友善的工具顯然較容易得到成效,而這個目標正是Coinbase、CircleInternet Financial 和Xapo 的努力方向,可以提升全世界範圍內的銀行業以及像Ripple這種支付網路的運作效率。當區塊鏈運作原則廣為大眾所知時,使用Ripple等支付系統進行交易就是理所當然的選項。展望區塊鏈2.0 時代,想要利用智慧合約重新建構舊有的商業貿易模式,其實執行起來是相當複雜且有難度的。所以,未來可能會出現提供技術方案、實施用戶教育訓練與其他加值服務等「服務供應商」的商機。
一些企業級軟體與雲端運算的商業模式也可以作為比特幣經濟的參考依據,如「紅帽模式」(開源軟體訂閱制)及SaaS服務以及客製化服務。未來一個可能的工作機會是「智慧合約審計師」,檢查區塊鏈上人工智慧的智慧合約是否依照預設程式執行,同時判斷與衡量智慧合約自主改寫程式以達到最大效益的程度。(摘錄整理自《區塊鏈|未來經濟的藍圖》)
書籍簡介
區塊鏈|未來經濟的藍圖
Melanie Swan/著
沈佩誼/譯
碁峯出版
售價:380元
作者簡介
Melanie Swan
Melanie Swan是Institute for Blockchain Studies的創辦人,擁有華頓商學院的MBA學位,以及英國金士頓大學與巴黎第八大學的當代哲學碩士學位。曾任職於Fidelity及JP Morgan。
從採用率(adoption)與使用率(usage)來看,Facebook是人類史上最成功的公司。全球有75億人口,其中12億人每日與Facebook互動。全美最受歡迎的行動APP包括「Facebook」(第1名)、「Facebook Messenger」(第2名)、Facebook併購的「Instagram」(第8名)。
用戶每日花50分鐘使用Facebook提供的社群網站及其他應用程式,每上網6分鐘,便有1分鐘用於看Facebook。每使用行動裝置5分鐘,就有1分鐘在看Facebook。
如果說規模大小很重要(的確重要),那麼Facebook稱得上人類史上最大的成功。
各位每天上35分鐘Facebook,加上Facebook旗下的Instagram與WhatsApp,使用時間躍升至50分鐘。除了家庭、工作、睡眠,人們花在Facebook平台上的時間超過其他活動。
各位要是認為Facebook 4,200億的市值過高,可以想像要是有一天網路被私有化,按時間計費,接著一間擔任世界數位棟樑的「網路公司」上市。那麼這間公司的兩成(首次公開募股〔IPO〕通常會出售的股份)值多少錢?我認為4,200億還是過低。
Facebook取得影響力的速度快過史上所有企業,原因是我們渴望得到⋯⋯Facebook上的東西。只要研究一下影響消費者掏錢的因素,就會發現Facebook占據「行銷漏斗」(marketing funnel)最上方的「激發需求」(awareness)階段。
我們在社群網站上看到的東西,尤其是Facebook旗下的Instagram呈現的畫面,讓人很想要得到。看見朋友貼出在墨西哥穿著J.Crew涼鞋,或是在伊斯坦堡蘇活飯店(Soho House Istanbul)喝古典雞尾酒的照片,我們就會也很想擁有/體驗那些事物。Facebook「生火」的程度,效果勝過任何推薦或廣告方式。我們心中一旦燃起欲望,就會上Google或Amazon研究如何取得那些東西。Facebook建議「我們可能想要什麼」(what),Google提供取得的「方法」(how),Amazon則決定了那樣東西「何時」(when)會送到家。
Facebook是史上絕無僅有的媒體公司,既有規模,又能瞄準個人。Facebook的18.6億使用者中,每一個人都建立自己的頁面,放上時間長達數年的個人內容。廣告主如果想瞄準個人,Facebook握有每一個Facebook帳號的行為數據,而這點正是Facebook比Google具備優勢的地方,也是為什麼Facebook這個社群網站正在搶走搜尋巨擘Google的市占率。Facebook靠著行動應用程式,如今是全球最大的展示型廣告(display advertising)賣家,這是相當了不起的成就。Google從傳統媒體那巧妙偷走廣告營收,也不過是這幾年的事。
諷刺的是,Facebook靠著分析我們每個人的所有資訊,可能比朋友還懂我們。Facebook透過我們點選的內容、留言、動作與交友網站,詳細且高度精確描繪出我們是誰。相較之下,我們發表的文章,那些刻意給朋友看的文字,則多數是在自我推銷。
各位在Facebook上呈現的自我,是你和你的人生修圖過後的結果。鏡頭被塗上一層製造柔焦效果的凡士林。Facebook是讓人炫耀與塗脂抹粉的平台,使用者放上自己最美好的體驗,那些希望自己記住與被人記住的時刻,例如在巴黎度週末,搶到音樂劇《漢密爾頓》(Hamilton)的好位置。很少人會放上自己的離婚證書,或是星期四累得像條狗的難看照片。使用者自行篩選貼文內容。
然而,負責操作攝影機的Facebook不會被愚弄,Facebook看見真相,廣告主也看到真相,這正是Facebook的力量來源。我們(Facebook使用者)看到的那一面則是誘餌,引誘我們把真實自我展現在Facebook面前。
2017年,全球六分之一的人每天上Facebook。使用者在Facebook上透露自己的身分(性別、所在地、年齡、教育程度、朋友)、自己做什麼、喜歡什麼、今天與近期計畫做什麼。
隱私權擁護者的噩夢,就是行銷人員的天堂。Facebook的開放本質,加上年輕世代相信「分享即存在」,帶來令人無所遁形的資料集與目標族群鎖定工具。
可以確定的是,Facebook有能力透過手機麥克風竊聽你四周的聲音,將聲音傳送至AI監聽軟體,判斷你和誰在一起、正在做什麼,甚至是你周圍的人在說什麼。這樣的鎖定令人毛骨悚然的程度,不超過你上網時像素(pixel)被放進瀏覽器,生成「再行銷廣告」(retargeted ad)。你上網時一直跳出的那雙鞋?你被鎖定了。真正恐怖的其實是Facebook技術的成熟度,以及Facebook能夠蒐集與分享資料的平台數量。點兩下Instagram上Vans鞋的照片,隔天你的Facebook動態上就可能出現一模一樣的鞋子廣告。「毛骨悚然」與行銷追求的「關聯性」(relevance)密不可分。
隱私權的問題我就不多談了,相關討論已經在其他數十個討論園地吵得沸沸揚揚。不過整體而言,美國社會出現「隱私權」與「關聯性」之間的冷戰,目前還沒人真的開槍(例如禁用Facebook),不過雙方(支持隱私權VS.支持關聯性)缺乏互信,衝突很容易升高。我們明知道發生什麼事,但依舊大量提供企業機器自己的生活資訊,包括日常活動、電子郵件、電話通訊,無所不包,接著期待企業會自律,把那些資訊用在對的地方。我們卻未能保護自己的資訊,甚至不當一回事。
目前為止,用戶表示相關平台用途多多,因此願意忍受自己的個資與隱私暴露於巨大風險之中。網路安全機制不足,Yahoo在2014年與2016年的資料外洩事件就是證據,數據駭客今日深入我們的生活,潛進每一個角落。我使用兩步驟認證,也經常更換密碼,據說這樣就已經比99%的人小心,但我目前尚未碰過有人因為擔憂隱私問題,不再使用智慧型手機或Facebook。各位如果隨身攜帶手機,又使用社群網站,等於是認為利大於弊,所以決定忍受自己的隱私權被侵犯。
我們是媒體平台的產物。媒體平台串聯起數十億人,促進同理心,為使用者帶來力量,價值自舊媒體公司流向新媒體公司。這樣的轉變將造成工作機會消失,同時也帶來危機四伏的動盪時期。
Facebook與Google是今日的雙頭壟斷媒體,兩間公司令人不安的地方,在於它們採取「別叫我們媒體,我們是平台」的立場,不願承擔社會責任,允許威權主義者與仇恨散布者肆意利用假新聞。人類的下一個大媒體,可能再度退回穴居時代的山洞牆壁。(本文取自《四騎士主宰的未來》第四章)
書籍檔案
四騎士主宰的未來
史考特‧蓋洛威/著;許恬寧/譯
天下雜誌出版
售價:450元
作者簡介
史考特•蓋洛威(Scott Galloway)
紐約大學史登商學院教授。他也是連續創業家,先後成立過L2、「紅包」(Red Envelope)、「先知」(Prophet)等九間公司。2012年獲選商學院資訊網站Poets & Quants「全球50大最佳商學院教授」。
在任何談論到編譯原理的書或文件當中,都會提到:程式碼不過就是一連串符號之組成,必須經由剖析器構造抽象語法樹,程式碼只是文字,語法樹才是真正可運算的資料結構……
好吧!知道這些,到底有什麼用呢?難不成要用語法樹來寫程式?
是啊!實際爬一下Python的語法樹,就是這麼一回事!
實作一門語言確實是有其難處,閱讀相關文件更是枯燥乏味,即便已經有實作ToyLang經驗的我,打開討論編譯原理的《Modern Compiler Implementation in C》,讀著其中充滿抽象化、形式化的內容,也是令人昏昏欲睡。這本書一開始,就討論著剖析器的詞法分析、語法分析,若不試著在先前的實作經驗找出可能的對照,書中內容就算再精華,看來也只像是天上的浮雲。
從程式碼到語法樹,的確是個不易跨越的關卡,因為剖析器的設計有其難處,在實作ToyLang的過程中,我體會到:剖析器生成語法樹之後,後續還有更多,像是賦予語意等更重要的工作要進行,所以,我僅將剖析器實作到堪用的程度,接著,就將重點放在語法樹等後續的構造上。
先前專欄〈用抽象語法樹寫程式〉就是此體會下的心得,我認為,想要理解語言實作,剖析器的洗禮不是絕對必要的一環,開發者可以在看到一段程式碼時,假想自己是剖析器,試著構造它的語法樹,嘗試給予執行時的語意,《深入理解運算原理》一開始也是直接談語法樹,剖析器的部份僅提示概念,以及可用之程式庫等資源。
日前,在〈對Parser的誤解〉(https://goo.gl/DbBxtF)看到:「在Kent Dybvig這樣編譯器大師的課程上,學生直接跳過parser的構造,開始學習最精華的語意和優化技術。」此時,不免產生一種踏實感,因為「用抽象語法樹寫程式」並非只有我在突發奇想。
曾有實作語言的經驗,在看語言相關文件書籍時,思考的角度確實會受到影響。過去我在撰寫語言相關文件,談及一些底層原理時,多半只能將其他文件書籍之內容,轉化為自己的描述方式,現在,則可以憑藉著實作語言的經驗,更為精確地描述若干語言原理,而這些原理多半與語法樹的實現有關。
然而,僅僅於此嗎?這類經驗只能作為瞭解語言,不能直接對撰寫程式上發揮實務上的作用嗎?想要多直接呢?若能摸到語法樹,甚至修改語法樹,應該就夠直接了吧!
Python的ast模組,就可以達到這個目的。例如,我們可以在import ast之後,執行node = ast.parse('n = 10'),node就是n = 10的語法樹節點,此時,如果想看一下節點描述,可以執行ast.dump(node)取得字串描述:
Module(body=[Assign(targets=[Name(id='n', ctx=Store())], value=Num(n=10))])
Python的原始碼檔案就是一個模組,這裡使用了Module來代表;[]表示模組中可以有一連串的陳述,而目前只有指定陳述;Assign是個指定陳述,Name代表變數名稱,Num代表數字節點。對照一下〈用抽象語法樹寫程式〉中談到的語法樹入門介紹,就可以輕易地看懂這個字串描述。ast模組可以作為語法樹的觀摩對象,想知道底下的函式定義與呼叫長什麼樣嗎?
def add(n1, n2): return n1 + n2 print(add(1, 2))
那就寫個讀取原始碼的簡單I/O程式,假設code代表讀取後的原始碼內容,在執行完node = ast.parse(code)之後,使用exec(compile(node, '<string>', 'exec'))就可以執行node這棵語法樹了,有興趣的話,可以ast.dump(node)一下,看看語法樹的字串描述,這會看到FunctionDef、BinOp、Return等節點。當然,函式定義與函式呼叫相對來說,已經是比較複雜的語法樹了,從簡單的運算式或陳述句觀察,會是比較好的開始。
可以觀察語法樹,似乎也沒太大作用,而ast模組也提供了走訪語法樹中各節點的方式,最簡單的是透過ast.walk(node),傳回的產生器會以node作為起點進行迭代,因此,可以搭配for in語法,若只對特定節點有興趣,例如函式定義節點,我們可以使用isinstance(node, ast.FunctionDef)方式,來進行相關的判斷。
更方便的方式,是有個類別繼承ast.NodeVisitor,並定義visit_XXX方法來走訪節點,XXX是感興趣的節點名稱,例如visit_FunctionDef,將定義的類別實例化之後,使用visit()方法,接著,我們就可以逐一造訪函式定義節點了,那麼,造訪節點有什麼實際作用嗎?
Python 3.5之後加入了型態提示,在這之前,有些工具可以提取DocStrings中撰寫的型態提示,進行型態檢查,如果對造訪節點已有心得,可以試著透過ast模組,來實作這類的功能(可參考https://goo.gl/1gErCq的簡單實作)。
除了單純走訪語法節點,進一步地,我們還可以修改語法節點。
如果想要達到這樣的目的,我們可以繼承ast.NodeTransformer,由於它是ast.NodeVisitor的子類別,同樣透過定義visit_XXX,就可以造訪特定節點,例如visit_BinOp(self, node),在取得node之後,若它代表加法運算子,node.op = ast.Mult()就可以將之修改為乘法運算子。
在語法節點全數造訪完畢之後,會傳回修改後的整棵語法樹,之後,試著執行它,會發現程式的行為,也跟著改變了(可參考https://goo.gl/jZwwJL的簡單實作)。
這算是meta-programming嗎?畢竟,它在執行時期是有改變程式碼的行為!
在先前專欄〈從實作看語言特性〉中談過,meta-programming提供的機制,多半就是在暴露底層機制,而ast模組直接給了整棵語法樹,由於meta-programming本身並沒有嚴謹的定義,若將之作為meta-programming看待,也是無妨,只不過更為直接(而且危險)。
相對於Python中的其他模組而言,ast模組在使用上並不複雜,模組文件內容相對來說,也簡短許多,只要稍具語法抽象樹的概念,就可以掌握ast模組來完成許多魔法。
而就好的一面來看,它可以用來實作型態提示、安全沙箱、測試框架等(可參考https://goo.gl/JTHu44)。
除了透過Python的ast模組,進行簡單入門語言實作之外,對於其他語言來說,我們可以試著尋找AST相關工具或程式庫。若以JavaScript而言,在〈AST in Modern JavaScript〉(https://goo.gl/ZPnAMV),就提到了不少的資源。
如果曾經覺得語言實作,對你來說遙不可及,試著從語法樹入門吧!非但有助於對語言本身的熟悉,藉由一些工具或程式庫,在實務應用上,也有可能發揮莫大的助益。
資安工程師Daniel Le Gall在SCRT資訊安全部落格發表文章,他發現臉書一臺伺服器存在遠端程式碼執行漏洞,在他回報臉書後,臉書已經修正漏洞並給作者5,000美元作為獎勵。
Daniel Le Gall經常性的對有參加Bug Bounty計畫的企業搜尋漏洞,而在他掃描臉書IP區段時,發現了託管在IP位置199.201.65.36,域名為sentryagreements.thefacebook.com的Sentry服務,Sentry是一個日誌收集網頁服務,以Python使用Django框架撰寫。Daniel Le Gall查看該服務發現,不明原因的有許多堆疊追蹤資訊會定期的出現在頁面上,這些資訊看似由於密碼重設功能使系統不穩定造成的,甚至有時候會崩潰,因為系統啟用Django除錯模式,因此環境參數都被顯示出來。
作者從列印出來的資訊,發現了利用Python物件序列化的二進位協定Pickle 駭入系統的方法,他提到,只要可以偽造包含任意Pickle內容的Session,就能夠在這個臉書的伺服器上執行任意程式碼,Daniel Le Gal從堆疊追蹤印出的資料SENTRY_OPTIONS,找到了用來Session簽入的密鑰。
Daniel Le Gal成功的利用這個漏洞建立了概念性驗證,置換既存Sentrysid Cookie的內容,並以任意物件填充讓系統休眠半分鐘。Daniel Le Gal在7月30日通報臉書後,臉書也即刻將系統下線,由於系統中沒有用戶資料,且位在單獨的VLAN中,因此沒有造成任何損害,臉書於8月9日修補完成系統重新上線,並給作者5,000美元作為獎勵。
美國電信業者T-Mobile上周揭露公司網路遭駭,約200萬名用戶的姓名、電子郵件或帳號密碼等個資外洩。
T-Mobile的網路安全部門在8月20日一早發現該公司伺服器發生事故,「一小部份」用戶資料遭非獲授權人士複製取走後立即切斷網路,並且立即報警。外洩的資料包括姓名、居住地郵遞區號、電話號碼、電子郵件、帳號及帳號類別(預付或後付)等。T-Mobile強調用戶的財務資訊(如信用卡號)、社會安全號碼並未外洩。
T-Mobile表示,來自「國際組織」的駭客透過API存取該公司的伺服器,進而竊取了用戶個資。但是該組織是網路罪犯或是國家資助的駭客,則尚不得而知。
T-Mobile公告中並未說明有多少資料外洩,不過該公司向Motherboard指出,受影響人數佔該公司7700萬用戶的3%,大約是200萬人。T-Mobile也在上周五開始以簡訊告知受影響的用戶。
值得注意的是,在最初的公告中,T-Mobile表示用戶密碼也沒有外洩。但後來被外部研究人員取得資料,發現其中包含用戶密碼檔,才向Motherboard坦承,密碼其實也在外洩資料之列,但是有加密保護。不過媒體經由外部安全研究人員得知,外洩的密碼可能是安全度不高的MD5,可以用暴力破解,或是利用密碼資料庫的大量雜湊以反向工程破解。
T-Mobile執行長John Legere 建議使用者最好定期變更帳號密碼。
這已是T-Mobile最新一次陷入網路安全的麻煩。去年10月有安全研究人員揭露這家電信業者網路上有漏洞,能讓駭客輕易查詢到用戶資料,如電子郵件、信用卡號碼,進而用作SIM卡綁架(SIM hijacking或SIM swapping)。今年5月間又被爆該公司員工使用的子網域漏洞,只要在URL輸入電話號碼即可查到用戶姓名、帳號或是認證密碼等。
在月初一則將公司下市推文引發軒然大波後,特斯拉(Tesla)創辦人兼執行長馬斯克(Elon Musk)上周決策急轉彎,表示將讓公司持續留在公開市場上。
馬斯克表示,這幾周以來他聽取特斯拉的投資人、外部顧問公司及大小股東的意見後,他獲得了結論是:大部份現任股東都認為維持在股票交易市場上比較好。許多機構股東(institutional shareholder)也表示,公司內部法遵的要求會限制對未上市公司的投資金額。此外公司一旦私有化,散戶會繼續持有股份也不確定;大部份股東都表達出不希望公司下市。
另外他也指出,公司私有化工程之大、耗費時間之多超出他原先想像,將會妨礙公司如火如荼推展的Model 3生產計畫及獲利目標,「如果財務不夠健全就無法實現革新永續能源的使命。」
但馬斯克強調做出髮夾彎的決定不是因為資金的問題。他說,在這幾周下來,他愈發相信絕對找得到遠超過公司下市所需的資金。
上周四馬斯克向公司董事會告知了他取消公司私有化的決定,董事會也表示同意。
這個公開宣佈或許可平息喧騰近三周的特斯拉風波。八月初馬斯克宣佈,為了不再使公司營運和決策受制於外部投資人甚至給股市禿鷹突襲的機會,計畫讓公司以420美元下市,而且資金已經到位。此後馬斯克就神隱不見,留下諸多疑點,引起美國證管會(SEC)介入調查是否有詐欺行為,也導致特斯拉公司股價暴起暴跌。
馬斯克8月14日出面澄清沙烏地阿拉伯主權財富基金,但表示最終結果需由特斯拉董事會成立的特別委員會做出評估。不過當周馬斯克接受紐約時報訪問時,透露這一年是他生涯中最困難、痛苦的一年。並有媒體報導他承受身心極大壓力,必須服藥才能成眠,種種健康問題導致特斯拉股價一度重挫近9%。
The Verge、 Ars Technica引述特斯拉特別委員會在馬斯克宣佈後發出的聲明指出,公司董事會和整個公司將竭力確保特斯拉的營運成功,也將在Elon(Musk)領導公司前進時給予全力支持。
周五特斯拉股價回到322.82美元水準。
