Quantcast
Channel: iThome
Viewing all articles
Browse latest Browse all 31352

韓國資安人才教父現身,揭露全球駭客競賽奪冠關鍵

$
0
0

每年八月舉行的DEFCON CTF資安攻防搶旗比賽,吸引全世界一流的選手參賽,不過,這兩年,來自韓國的參賽選手已經成為各國直接鎖定的關注對象,原因無他,因為2015年贏得DEFCON CTF比賽的冠軍隊伍就是來自韓國的DEFKOR,參賽成員就是來自韓國最頂尖資安人才培育(Best of the Best,簡稱BoB)計畫,在預賽時就和原本第一名的美國戰隊PPP,以極少的分數差異名列第二名,但到決賽時,則一路持續領先,最終穩得冠軍。

不過,韓國參加比賽能有這樣的好成績,並不是從天而降,而是韓國從政府到民間、學校,從2010年推出BoB計畫後,2012年正式召募韓國優秀的資安學生後,經過4屆的努力,勵精圖志,才能在2015年一朝奪冠、名揚天下。

讓這樣培育計畫得以超光速展開的幕後推手,就是曾擔任過4任反對黨國會議員、在2010年進入韓國特別公部門「韓國資訊科技研究中心」(KITRI)擔任第九任總裁的柳晙相(Yoo Joon-Sang)。

甚至有了解韓國政治情勢發展的資安圈前輩表示,像是BoB這種橫跨韓國政府、民間甚至學界的大型專案計畫,一定要有一個在資安圈、政治界和韓國社會中,具有舉足輕重的代表人物登高一呼,才能夠如此迅速凝聚共識。他認為,當初如果不是柳晙相毅然決然出面號召,或許,就沒有今天BoB的驚人成績。

不得不面對網路攻擊帶來巨大的實質損失

唐宋八大家之一的宋朝蘇洵在〈辨姦論〉一文中說到:「惟天下之靜者,乃能見微而知著。月暈而風,礎潤而雨,人人知之。」但事實上,能做到見微知著者,幾稀已,許多人都只能從真實的經歷中,學到生聚教訓而已。

對韓國政府而言,也是一樣,「不經一事、不長一智」,今天許多人只看到韓國在資安人才培育有驚人的績效,卻常常會忽略,韓國的BoB計畫其實是他們面對越來越嚴重的資安威脅時,痛定思痛的浴火重生計畫。

像是在2009年的時候,包括韓國總統府青瓦臺、韓國國會在內的政府網站,都被駭客植入惡意程式,相關政府部門的網站系統當機好幾天,也造成政府許多服務中斷、不能持續。

在當時,這樣的網路威脅帶來相當大的後遺症,根據韓國現代研究機構(Hyundai Research Institutes)的研究,光是2009年,韓國因網路攻擊造成的經濟損失高達3,370萬~5,050萬美金之間。也就是說,駭客的惡意攻擊行為,除了中斷政府網站的服務外,對於一般同樣遭受到類似攻擊的民間企業而言,也帶來更多實質的經濟損失。

網路攻擊的力道其實只有越來越強大,韓國在2011年,就有銀行的電腦系統遭到駭客入侵而當機,數萬臺電腦受到惡意病毒感染並遭到永久性的損害。這類網路攻擊究竟帶來多少實質損失其實不得而知,不過,韓國網路安全中心(KISA)也曾經指出,光是來自韓國本土及國外的網路攻擊已經逐漸增加,網路攻擊的比例2011年比2008年則增加37%,成長幅度驚人。

另外一起,大家耳熟能詳的韓國網路攻擊,其實就是在2013年3月20日爆發了黑暗首爾(Dark Seoul)的網路攻擊事件,當時,就已經造成韓國銀行和電視臺總計48,700臺電腦被植入惡意程式破壞硬碟,造成電視臺中斷報導、銀行無法提款等資安事件,同年六月還有類似的攻擊手法出現。

甚至於,在今年6月,韓國也有媒體報導,有160個韓國大企業、公共機構、政府部門的網站遭到朝鮮網路駭客攻擊,超過4萬份的機敏資料外洩,甚至於,有可能外洩美國F-15戰鬥機機翼設計圖以及預計2020年才會對外亮相的無人機設計圖等。韓國警方表示,這樣攻擊方式和2013年韓國發生的黑暗首爾事件手法如出一轍,如果再度發生類似事件,受駭電腦數量可能超過13萬臺,也會比2013年造成9千億韓元的損失更驚人。

從這些持續不斷且層出不窮的資安攻擊事件來看,小到鎖定單一單位,大到以整個國家作為鎖定攻擊的對象,都可以看出到,這類網路攻擊早已經是韓國日常都必須面對的威脅之一了。

痛定思痛,開始培育自己的資安人才

韓國資安人才培育計畫(BoB)是柳晙相擔任特別公部門韓國資訊科技研究中心(KITRI)總裁後,才在2010年開始推動的一個重要專案。

柳晙相從1980年代就積極參與行政體系相關的經濟與科技相關的委員會,對於資訊發展和應用也相當重視,加上長年擔任國會議員,總共擔任了4屆反對黨的議員,深厚的政治實力和人脈資源,不論是從行政和立法的角度來看,都是韓國政壇上相當具有影響力的一號人物;再加上,韓國總統朴槿惠當選後,還聘用柳晙相為國政顧問,其影響力更是不言可喻。

柳晙相認為,因為這個BoB的預算是從政府而來,甚至是不設任何投資上限的投入資安人才培育,就一定要獲得國會議員對於相關預算的支持。因此,柳晙相還在國會中成立一個「K-BoB論壇」,就是希望可以讓國會議員對於資訊安全有更深入的了解,「當國會議員都可以意識到資安的重要性時,當然也就會更願意支持相關的預算。」他說。

韓國政府以預算無上限的方式,從2012年正式招募對資安有興趣的優秀人才,至今已經完成四屆培訓,培訓人數逐年增加,今年6月招募第五屆BoB人才。

剛開始,BoB的召募有點像是在試水溫,2012年第一屆只有召募了60個人而已。不過,等到到了2013年第二屆招募時,恰好該年3月20日爆發了黑暗首爾(Dark Seoul)的網路攻擊事件,因此,柳晙相決定,將第二屆BoB甄選名額增加一倍,卻吸引了480名韓國白帽駭客來爭取120人的名額,這樣的增額錄取,也意味著政府帶頭重視資安,對於資安發展都很正向。後續第三、四屆招募人數也都持續成長,每年至少增加10個錄取名額。2015年全球DEFCON CTF比賽中,BoB團隊精銳進出,獲得CTF比賽第一名就是培養成果的最佳展現。

韓國資訊科技研究中心總裁柳晙相在韓國國會成立「K-BoB論壇」推廣資安,讓國會議員意識到資安的重要,進而願意支持資安人才的培育預算。

BoB引進產官學配套資源,建立輔導人才的導師制度

不過,政府重視資安、要培養資安人才,除了確定政策方針並投入大量的資源之外,柳晙相表示,更重要的是,在規畫BoB的人才培育計畫時,連這些培養出來的優秀資安人才,在畢業之後,從當兵開始,到後來的就業機會,BoB都有完善的配套措施。

像是,除了獲得政府資源大力支持外,BoB也直接和各種資安與IT相關產官學結合,像是包括韓國賽門鐵克、BlueCoat等跨國資安公司簽訂合作的備忘錄外,也和韓國在地的資安業者、IT業者、政府與政府投資的企業、創業支援中心以及相關的大學等簽署合作備忘錄,讓BoB的資安人才培育,永遠可以和最頂尖的技術發展與研究做整合。

除了引進產業界和學術界的資源外,BoB人才培訓的另外一項特色就是,建立所謂的「導師」(Mentor)制度,從第一屆開始,就會聘請資安業界中優秀的資安研究員,協助輔導這群培訓對象,除了提供技術上面的指導外,還包含未來職涯發展的協助。

BoB的訓練課程內容,除了基礎的加密學、作業系統安全、網路安全、法律以及相關的資安政策外,還包括了六大安全領域,包括:數位鑑識、資安諮詢顧問、弱點分析、行動裝置安全、融合式安全(Converged Security)以及雲端安全等。

先從基礎課程教起,慢慢篩選出有興趣、能力更好的學生來接受更難的訓練課程,每一屆最後都會挑出10個最優秀的學生,不只頒發2千萬韓圓(約臺幣55萬元)的獎金,還推薦他們進入資安公司或軍隊工作。

資安在韓國已經是全民重視的產業發展項目,所以,BoB培養的資安人才中,有很大一部分是女生。進一步分析韓國BoB招募的人才分布比例,招收女生的比例從第一屆只有6.7%,隔年增加到10%,到了第三屆女生比例甚至高達18%。BoB透過鼓勵與培訓機制,也將資安專業知識推廣到女性。

參加BoB資安人才培訓計畫以高中生、大學生和研究生為主,很少有超過30歲的培訓者,從年輕人開始培養對資安領域的專業,也讓資安有機會慢慢成為韓國資訊產業中的顯學。

根據韓國政府統計,韓國大約有36萬間企業,對資安有意識的企業不到4萬間,BoB計畫希望最終可以培養至少1萬名優秀的資安人才,真正鞏固到韓國網際網路的安全性。

BoB要培養有資安專業技能並對國家忠誠的專業人才

現在網路的恐怖攻擊越來越嚴重,柳晙相認為,這不僅牽涉到國家安全,也已經擴及到像是亞洲的區域和平,甚至是全球的和平都與資訊安全息息相關。

韓國政府在相關的資安政策上扮演政策方向的舵手,並率先投入資源、壯大發展風潮,之後,各種民間資源就會跟著投入,就會造成百花齊放的景象。這也是為什麼韓國政府在投入資安人才培育不過4年的時間,成果豐碩。

不過,柳晙相也指出,資安是國家最重要的政策,各種網路攻擊都是由人發動攻擊;要做好資安防禦和分析的關鍵也是人。他說:「『人』才是政府資安政策發展中,最重要的關鍵。」

所以,推動BoB的專案目的是要做資安人才的培育,除了要有高超的技術外,柳晙相也強調,因為資安是一種具有攻擊,甚至有能力為對方帶來損壞的一種高超技能,所以,具有這樣能力的人,也必須要有一定的道德認知,知道要將這樣的技能用在正面、對人們有助益的面向上。

更重要的是,「對國家的忠誠度是非常重要的,」柳晙相表示,在韓國,資安政策其實就是國家數位領土防護能力的一環,這些具備有高超技能的資安人才,就必須要對國家有足夠的忠誠度,一旦遇到國家有危難時,才會願意立刻站出來幫忙、協助解決困境。

韓國BoB專案至少有10名專職人員,加上場地租金,不包含培訓資安人才時所需要使用的經費,不設限的資源投入,就已經讓人羨慕。

反觀臺灣,在相關資安人才的培育上,即便政策方向是正確的,但是,政府相關的經費補助,只有20到100萬元不等,但中間繁瑣的稽核和報帳流程,光是將計畫人力用在寫政府報告上,就已經差不多了,幾乎沒有多餘的心力可以用來推廣資安人才培訓。

從臺韓的資安人才培育計畫做比較,兩者獲得的資源更是有如天壤之別,人才培育是需要長期的、大量的資源投入,臺灣政府過度小氣而且謹慎的資源投入,並無法讓資安人才的培育真正落地生根,對於臺灣長期的資安人才培育並沒有帶來真正的幫助。或許,新政府在規畫相關的人才培育時,也應該正視各種經費和資源的投入,都應該是長期的才是。

韓國透過最頂尖資安人才培育計畫(Best of the Best,簡稱BoB)培育年輕資安人才,經過4年,2015年時一舉在美國CTF決賽奪冠。(左起第四位即為柳晙相)

 

 韓國資訊科技研究中心 

Korea Information Technology Research Institute (KITRI)

總裁:柳晙相(Yoo Joon-Sang)

總部:韓國首爾

成立時間:前身是計算機研究中心,最早成立於1985年9月,在1992年2月正式改組為KITRI

主要業務:在韓國扮演推廣和提供ICT技術和相關教育訓練的機構,培育最佳的資安人才與IT人才,並透過參加國際比賽,促進韓國ICT技術發展

網址:www.kitri.re.kr


Viewing all articles
Browse latest Browse all 31352

Trending Articles