臺灣資安大會邁向第七屆,現場除了多項專業議程與資安能量展示之外,讓企業能夠一次掌握最新資安技術與瞭解資安解決方案,特別的是,今年大會還特別新規畫Cyber Talent資安人才論壇等一連串活動,並擴大CYBERSEC Playground規模,要讓未來資安人才獲得職能方向及發展寶貴的經驗,並讓現場所有與會者都能透過趣味方式,來體驗與接觸資安觀念。
對於資安人才培育,一直是近年政府與產業都關注的議題,如何讓未來人才瞭解企業端與資安產業的人才需求,進一步關注資安產業趨勢與職能需求,成為當務之急。今年資安人才論壇共舉辦18場議程,多元面向是一大特色,透過產業現況、職能與職涯剖析,以及專家座談與經驗分享,讓對資安有興趣的人與新鮮人,更容易找出自己的發展方向。
畢竟,資安領域技術範疇相當廣,必須檢視自身在技術面技能的興趣與不足之處,而在專業技能精進之外,興趣結合、心態與產業概況等不同面向,也都會是資安新血成就未來人才時所需考量。而現場也有招募攤位,同時促進人才媒合的機會。
另一方面,為了引起更多人對於資安的興趣,以及提升大眾資安意識,今年CYBERSEC Playground提供了7大活動,讓現場所有與會者都能藉由遊戲方式接觸資安觀念。今年新增設有5項,包括「資安人生物語」、「1337 Operation搜索實境」、「Who's Lily?」、「SSS的奇幻冒險」與「Phishing Buster釣魚剋星」,以及去年臺灣資安大會即推出的CyberWar資安桌遊大戰與CYBER IQ數位帝國保衛戰。
可別小看這樣的遊戲,內容其實非常具有巧思,將生硬的資安知識與技術轉化成遊戲/競賽來推廣,透過寓教於樂的方式,讓玩家在遊戲過程中獲得收穫。
將安全模型CDM概念融入桌遊,要讓玩家更懂企業資安防禦規畫
以「Cybercans:資安人生物語」而言,這是一款大富翁遊玩形式的桌遊,由奧義智慧所設計,特別的是,當中引入了安全模型Cyber Defense Matrix(CDM)的觀念,讓玩家在遊戲中也能瞭解CDM的應用,可以如何讓防禦做得更有效。
這是奧義智慧繼去年推出Cyber War卡牌類桌遊,並將MITRE ATT&CK資安框架融入遊戲概念的另一力作。
遊戲的核心玩法並不複雜,如同一般大富翁依骰子點數前進,走到格子抽起對應的牌執行指令,而每個玩家的角色,是扮演企業資安決策者,思考該如何決定配置策略抵禦攻擊。奧義智慧說明,遊戲一圈等同一年,如同模擬資安從業人員生活,這也是遊戲取名為資安人生物語的原因。
由於大富翁的玩法多數人都能理解,根據奧義智慧的說明,玩家都會拿到一張CDM矩陣的卡片,只要稍微先認識CDM 矩陣的五種資產類別(設備、應用程式、網路,資料與人員),以及攻防中的五個階段(識別、保護、偵測、回應與復原),不懂資安的人也能遊玩。當然,對於已經對資安與CDM熟悉的人,玩起來會稍具優勢,能更快地上手與找到樂趣。
如何從遊戲中認識企業防禦概念呢?基本上,遊戲中每次發生攻擊時,就會依照玩家手中的防禦卡來阻擋。舉例來說,如果玩家沒有購買「裝置」類別的防禦卡,在發生針對裝置的攻擊時,就會損失慘重,這可以讓玩家理解要購買不同資產的防禦,以及發現針對某些資產類別的攻擊較多,需花費多一點成本去防守,之後並體認到需要購買不同階段的防禦。奧義智慧表示,當玩家想把這款遊戲玩得更好的同時,其實等同於在利用CDM的概念去思考,如何把防禦做得更有效。
特別的是,我們看到遊戲上一些有趣的設計,例如擺放著防禦卡、攻擊卡、事件卡與新聞卡這4類型卡片,走到農曆春節雙十國慶格子需翻起兩張攻擊卡,奧義智慧表示,這呼應現實中長假和政治活動的期間,臺灣會遭受較平常更多攻擊的狀態,同時,也有臺灣資安大會與HITCON的格子,讓玩家能多認識臺灣的資安活動。此外,奧義智慧指出,像是新聞卡中有一張是資通安全管理法的修法,因應必須導入EDR,沒有相關防禦卡片的玩家則因為不合規將暫停行動一回合,還有現實中的重要資安漏洞,如ZeroLogon、Meltdown、HeartBleed、ShellShock等,卡片上有都有相關描述讓玩家多瞭解。
在資安攻防桌遊體驗區中,這款名為資安人生物語的桌遊,採類似大富翁的遊戲方式,結合了安全模型Cyber Defense Matrix,要讓玩家擔當企業資安決策者,思考如何把防禦做得更有效,而每位玩家都會拿到一張CDM矩陣的卡片,以理解五種資產類別與攻防五個階段的關連。
讓玩家透過實境遊戲來體驗企業資安事件調查
另一名為「1337 Operation搜索實境」的體驗區,由TeamT5杜浦數位安全打造,透過調查勒索軟體事件的遊戲情境,帶來了張力十足的實際體驗與效果。
最特別的是,TeamT5設計了遊戲的Line官方帳號,運用Line機器人串起整個遊戲過程,讓玩家透過手機就能暢完,相當別出心裁,並且在大會上布置了新聞事件播報、受害辦公室調查到駭客住所攻堅的場景。
以遊戲背景而言,是有公司遭遇勒索軟體事件委託國內資安業者處理,而攻擊的駭客族群其實相當惡名昭彰,受到FBI關注已久,因此雙方借此機會合作來追查駭客。
當玩家來到本場活動攤位進行遊戲時,只要加入遊戲的Line官方帳號,就能讓玩家成為調查探員,並透過Line機器人以接收FBI調查負責人肯特的指令。例如,一開始肯特會詢問玩家是否看過相關新聞報導?玩家將在攤位上觀看國際新聞,從中得知臺灣一家遊戲公司遭到勒索軟體ColdLock攻擊,並有多家國際業者受害,在玩家向探員回報看過新聞後,就會收到進一步的命令,是要玩家去合作夥伴TeamT5據點(也就是廠商攤位),以判斷該新聞事件指的是那一個駭客組織,之後還要找出操作記錄、攻擊者ID、攻擊者打卡的國家等資訊。
簡單來說,玩家只要回答出正確答案,化身為FBI負責人肯特的Line Bot,就會繼續引導玩家進入下一調查階段,若是答錯,則是會給予部分提示,讓玩家繼續摸索,同時遊戲內容也帶入了大地遊戲的概念,讓玩家在會場中需要跑來跑去。
不僅如此,在這一連串的遊戲過程中,活動攤位後方也布置了受害企業辦公室的模擬場景,讓闖關玩家進入調查,在受害辦公電腦與機房電腦找出線索,看出這家公司是怎麼中勒索軟體,並解密勒索軟體,最後更是可以揪出駭客所在位址,讓玩家體驗執法人員破門而入的情境。
特別的是,根據TeamT5的說明,他們在現場還準備了防彈衣、槍械等道具,在門外攻堅時還會設置一個可定時推門的小道具,當玩家順利破關後,主辦方為了讓玩家流深刻印象,在攻堅場景中其實架設了多臺攝影機,會錄製玩家破門的畫面,之後將會編輯成先前新聞的報續報導,讓玩家可以留下紀念。
.jpg)
在「1337 Operation搜索實境」體驗區中,玩家可以透過自己的手機,加入該遊戲的Line官方帳號,就能透過化身為FBI負責人肯特的Line Bot,依循指示針對勒索軟體事件進行調查。
在1337 Operation活動中,不僅布置了受害公司辦公室的遊戲場景,特別是玩家順利破關找到駭客位置後要進行攻堅時,現場還會透過多臺攝影機錄下影像,將這段影像套用到後續的破案新聞影片中,並透過Line Bot傳給玩家留念。
多元遊戲充滿挑戰性、趣味性與知識性,增進一般人資安意識同樣重要
對於人員資安意識方面,同樣成為今年大會遊戲焦點之一。例如,由主辦單位iThome設計的「Phishing Buster釣魚剋星」,就是練習識別釣魚郵件網頁遊戲,題目中包含不少真實的釣魚郵件詐騙內容,目的是要提醒玩家,需仔細查看電子郵件所夾帶的超連結,是否不尋常,並學習判斷網域,同時也要知道可從寄件者發現異常,以及知道寄件者可能被偽造的問題。
另一個由HITCON GIRLS策畫的「Who's Lily」,是希望藉由社交工程結合日常生活中,讓與會者體認到一些不以為意的舉動,都可能將自己的資料洩漏,甚至是洩漏公司商業資料。
基本上,遊戲主軸就是要找出Lily的相關資訊,遊玩方式上會透過一個線上的問答平臺進行,讓與會者針對問題並嘗試找出正確答案。因此,玩家可以透過公開來源情報(OSINT)方法得到,也可能是在活動期間透過找到Lily本人來獲取。
舉例來說,攤位現場布置了Lily的辦公桌,可以讓玩家找到線索,有部分題目也可透過FB、IG找到,目的就是希望一般人體認到保護資料的重要性,體驗到從一些簡單的小細節做起,就可以避免自己資料外洩、甚至是公司商業機密。例如,由於Lily的角色設定是公司資深高層主管,有一道題目是「請問Lily最近想拜訪的客戶?」而挑戰者可從Lily螢幕上的便條紙找到答案,還有題目是「Lily的FB ID是多少?」玩家將可在現場交換名片時,找到扮演Lily的工作人員,進而從名片取得資訊,或是透過HITCON GIRLS粉絲專頁找到曾經按讚的Lily帳號。同時,挑戰者還可以嘗試發送釣魚信件給Lily,從攻擊角度設想你要如何引誘Lily上當回應。根據HITCON GIRLS的說明,這個活動去年在HITCON曾舉辦,不過當時題目偏向CTF資安攻防賽的小技巧,這次則偏向日常生活中大家可能沒注意到的小問題。
另外,還有AIS3所設計的「SSS的奇幻冒險」,更是考驗對資訊有興趣的玩家,遊戲目標是要從5張紙卡中找出一組IP位址,但同時也結合跑大地的概念,讓展場的看板、攤位遊戲、宣傳單具有遊戲的重點提示,而紙卡中也考驗玩家對網路層的理解,也會用上16進制轉10進制等概念。
在「Phishing Buster釣魚剋星」的體驗區中,為了讓與會者對釣魚郵件更有識別能力,透過一封封電子郵件讓玩家挑戰,判斷是正常郵件還是釣魚郵件。
在「Who's Lily」的體驗區中,讓玩家瞭解可透過公開來源情報(OSINT)或在活動現場布置蒐集到資訊,藉此讓遊玩者體認到保護資料的重要性。
在「SSS的奇幻冒險」的體驗區中,玩家從5張紙卡要找出一組IP位址才能過關,當中需運用到資訊相關技術的熟悉度,並且融合大地遊戲的概念。