闕志克/工研院資通所所長
蔡英文總統自二○一六年上任以來,就大力鼓吹「資安即國安」的願景及信念。今年七月蔡總統核定國安會的「國家資通安全報告:資安即國安」,並於九月十四日正式對外公布。「國家資通安全報告」明訂三大戰略目標,第一、打造國家資安機制,確保數位國家安全,第二、建立國家資安體系,加速數位經濟發展,第三、推動國防資安自主研發,提升產業成長。前兩個目標力圖建立有效資安防護體系,以確保政府體制的安全運行並促使日漸數位化的民間經濟活動順利開展,報告上對如何達成這兩個目標所規劃的作法尚稱允當。而第三個目標則著重在台灣自主資安技術能量的培養,以增強國防實力並促進資安產業的建立。「國家資通安全報告」對達成此目標所提議的做法則平鋪直敘、稍顯消極,今試申論之。
因為資安已成為現代資通訊系統應用不可或缺的要素,就整體國家戰略而言,「資安即國安」有消極跟積極的兩層意涵。在消極層次,台灣的民間與政府組織必須建置起精實完整、與時俱進的資安防衛機制以有效抵擋平時和戰時的外在網路攻擊。在積極層次,因未來戰爭型態極有可能以資訊戰先行,台灣需以類似「國艦國造」、「國機國造」的決心與規劃有系統性的發展軍民兩用的自動資安攻防技術,以確保在未來資訊網路戰爭中與敵國有對搏抗衡的實力。
國軍的資通電軍雖已於二○一七年成立,但其資安戰力的養成策略似乎以駭客人才的招募與培訓為主,對資安攻防軟體工具的理論探索與精進研發幾無著墨。此「重人力、輕工具」的策略與其他世界資安強國如美國國安局的TAO(Tailored Access Operations)、以色列國防軍的8200部隊、中國網軍單位PLA Unit 61398的發展方向有點背道而馳。因為資訊系統越來越複雜,使用攻防工具,而非人力搜尋,以找出並運用目標軟體的弱點來進行攻擊乃不可逆的趨勢,所以未來資訊戰爭將取決於兩軍攻防工具的能力,而這些攻防工具必然是由每個國家自主發展的。
再則,由於資安人才在公開市場極為搶手,資通電軍的駭客招募成果並不如預期,而且短期內很難改善,合格資安人手的缺乏更凸顯自動攻防工具的重要性。
美國國防高等研究計畫署(DARPA)於二○一六年舉辦了第一屆自動資安攻防競賽(Cyber Grand Challenge, CGC),卡內基美倫大學隊的自動攻防軟體成功地修補了自己電腦的弱點並攻擊其他隊電腦的弱點,成為比賽中最後存活的一隊而奪得冠軍。這個結果一舉證明了自動資安攻防並非天方夜譚,其基本技術可行性已毋庸置疑。
雖然台灣駭客在世界各項CTF(Capture the flag)競賽時常名列前茅,但大部分的台灣駭客都不擅於攻防工具的技術精進或功能開發,對自動攻防演算法的理論探析興趣更低。尤有甚者,現今台灣學界投入於自動資安攻防領域的研究能量也相對薄弱。鑑於自動攻防技術的戰略重要性,為今之計,政府應在最短時間內結合學界、法人與軍方的資安研發能量、強力籌組國家級自動攻防技術研發團隊,以圖快速迎頭趕上,進而與對岸並駕齊驅,俾能及早體現「資安即國安」的積極意義。