美國資訊安全分析新挑戰:巨量資料(Big Data)之應用
在2013年的國際資訊安全會議(RSA Conference)上,資安專家紛紛表示,將Big Data技術應用於資訊安全分析的項目上,確實可以幫助企業建立更佳的情勢判斷能力,但在實際執行過程中是一大挑戰。
資安廠商如RSA和賽門鐵克公司,在會議上表示目前的策略是透過新的數據匯集、比對和分析協助企業篩選、過濾結構化和未結構化資料的威脅指標,這是傳統的特徵偵測(signature-based)安全工具無法做到的。
不像傳統的安全手段著重於阻斷攻擊,新的技術強調偵測並立即回應違犯行為,也就是提前遏止任何違犯行為,協助企業作全面性的偵測而不擔心有所遺漏。
由於越來越多的美國政府機關和民間企業遭受到針對性和持續性的攻擊,巨量資料技術的應用需求激增。企業內部都累積著大量的數據和多元的數據種類,而需要動新技術來保護這些數據資料免於惡意人士或對手的竊取或其他侵害行為。企業應該要因應實際面臨的威脅和所獲悉的威脅情報來建立安全模型,取代部署特定產品和外圍系統的防禦。
美國無論是政府機關或民間企業都被捲入了不對稱戰爭-對手是武器精良、準備充分並有嚴密組織的網路敵人。
「駭客只需要攻擊成功一次,但我們必須每次都是成功的」賽門鐵克的總裁deSouza表示。「因此與其專注的在阻擋所有威脅,更好的辦法是使用巨量資料技術偵測侵入行為並消解之」。而在會議中資安專家都肯認至少從理論上來說,以巨量資料技術強化資訊安全是很好的想法。
不過另有其他的說法,金融服務企業LSQ的首席安全及法務主管皮爾遜認為,許多人的電腦紀錄檔和所有的電子裝置都早就被侵入滲透了,這才是問題所在。他表示,目前現存的SIEM(安全性資訊及事件管理)工具可以讓企業聚集來自許多個安全設備的巨量登錄數據整合在同一系統內,但真正的問題是,SIEM工具必須要有能力分析數據並找出關聯性,如此才能偵測到駭客入侵的前兆證據和真實的入侵行為,這和彙整數據是不同的兩件事。許多企業所面臨的問題不是缺乏數據資料,而是要如何為資訊安全的目的建立關聯規則和應用方式,以有效率的方式找出有用的巨量數據並進行分析,和留下可供進行訴訟使用的證據。
歐盟在2015年9月11日至2015年12月7日期間進行電子通訊網路及服務法規架構檢視公共諮詢,檢討目前電子通訊法規發展方向。2016年3月3日歐盟提出摘要報告,諮詢主題可分為五項,分別為:網路接取規範、頻譜管理與無線連結、電信服務產業管制、普及服務規範、以及機構設立與監理等。在此次公共諮詢當中,可歸納出幾項發展趨勢,包括: 一、基於消費者或市場需求,網路已成為促進數位社會、經濟發展之主要方式。 二、網路連線品質待改善。多數認為應支持基礎建設來因應未來廣泛的需求。 三、多數認為目前法規架構無法促進內部市場發展,未來應朝向電信市場自由化方向進行,特別是基於使用者利益以及市場競爭考量。 四、頻譜管理部分,無線寬頻網路固然重要,但未來仍應朝向促進新行動通訊技術發展,如5G技術等。 五、未來對於頻譜的規劃與應用應更具彈性,且進行技術領域調和。 六、許多會員國因應科技技術的進步更新電信法規,透過促進下世代基礎建設投資以及其他方式,未來希望能使電信法規更具有彈性與簡化。 七、未來將著重考量長期投資研發帶來的效益。 八、消費者希望未來能重視服務競爭,而非僅強調基礎建設。且針對基礎建設本身,亦應重視基礎建設投資的成本分擔。 九、重新思考普及服務,亦即給予會員國更多的彈性來決定如何進行資金補助與履行服務。 十、消費者組織立場認為需要進行產業管制,以及設定使用者保護規範,而基於電信事業立場,特別是在服務部分,則需要整合性規範。部分也認為電信法規亦適用於相同性質之服務,例如OTT。 十一、多數認為,歐盟層級的管制機構應該重新檢視,以協助未來法規的修正。
日本〈塑膠資源循環戰略〉及新發展日本環境省因應海洋垃圾、全球暖化等課題於2019年5月31日發表〈塑膠資源循環戰略〉(プラスチック資源循環戦略),在重點戰略之一的減量(Reduce)方面,提出「塑膠袋收費制」措施,擬於2020年7月1日正式上路,經濟產業省則從同年1月6日開始設置可服務企業與消費者的諮詢窗口,也將與相關主管機關合作,致力於塑膠袋收費制內容之公告說明及自行攜帶購物袋之宣導等減少一次性塑膠製容器包裝及產品的使用,並透過尋找其他替代的容器包裝及產品等方式,達到一次性塑膠排放量在2030年前減少25%之目標。 因此經濟產業省產業構造審議會下的塑膠袋收費制檢討工作小組,及環境省中央環境審議會循環型社會部會下的塑膠袋收費制小委員會,自2019年9月至同年12月間召開4次聯合會議,並經過公眾意見程序後,修正《容器包裝再生利用法》(容器包装リサイクル法)的相關省令,並公布〈塑膠製購物袋收費制實施指導方針〉(プラスチック製買物袋有料化実施ガイドライン),供各零售業者參考,以確保塑膠袋收費制的順利施行。
美國國防部5G戰略因應5G通訊技術快速發展與關鍵應用逐漸普及之趨勢,美國國防部於2020年5月2日由部長批准「國防部5G戰略」(Department of Defense 5G Strategy,以下簡稱5G戰略);同月發布之公開版(unclassified)5G戰略,為美國軍方第一份公開發布的5G戰略性指導文件,主要內容包含指出國防部面對5G帶來的挑戰、設定5G技術發展目標、擬定5G發展行動計畫(lines of effort)等,以確保美國在軍事與經濟上的優勢地位。 5G戰略指出,5G技術對於維持美國軍事與經濟優勢至關重要,為關鍵戰略性科技(critical strategic technology)。5G技術為產業與軍事帶來重大變革的契機,同時也帶來對資通安全的挑戰,特別是由於美國潛在的競爭對手國家,正試圖在美國的關鍵合作夥伴國家的5G市場占據主導地位,使得5G基礎建設供應鏈成為競爭對手利用有害元件、惡意軟體或非法存取等方式入侵美國與其合作夥伴的破口,最終將損害美國的國家安全與利益。 因此美國國防部將鼎力協助美國與其合作夥伴提升5G技術力、提高對5G的風險意識至國安層級、開發保護5G基礎設施與技術之措施。具體行動計畫包含:一、藉由大量的實驗場域驗證5G應用,推動技術發展;二、掌握5G資安威脅情報與威脅,評估、識別資安風險採取必要措施,並採取零信任(Zero Trust)反覆驗證之資安模式;三、積極加入5G技術相關標準訂定與規劃5G國防政策;四、吸引國際組織、國家與相關產業的合作夥伴,積極溝通協調以維持美國與合作夥伴間的共同利益,協助美國的盟友與合作夥伴識別5G風險。
知名歌手Bruce Springsteen拒絕與美國作曲家、作詞家、出版商協會共同要求康諾利酒吧和餐館支付著作權授權費用美國作曲家、作詞家、出版商協會American Society of Composers, Authors and Publishers (以下簡稱協會)與知名搖滾歌手Bruce Springsteen(以下簡稱Springsteen),和流行歌曲作者Clinton Ballard, Jr.對於紐約州的康諾利酒吧和餐館提出訴訟,原因在於酒吧和餐館沒有支付授權年費就允許樂團演奏Springsteen的歌曲。 當協會的代表發表此一聲明時,Springsteen實際上並不知道此一訴訟。Springsteen的代表指出:Springsteen事先並未被詢問是否要作為此案的原告,該協會是自作主張的將Springsteen列為此案的原告,而且即便協會事先詢問,Springsteen也不會同意作為此案的原告,也就是說不會提起此訴訟。 紐約每日新聞指出,因為協會並未獲得Springsteen的同意,Springsteen的名字應該會被移除。 協會資深副總裁Vincent Candilora(以下簡稱Candilora)表示,康諾利酒吧與餐館目前尚未發表任何聲明,而康諾利酒吧與餐館允許樂團於去年夏天演奏Springsteen的歌,但卻沒有支付授權年費給協會的行為可能會面臨三萬美元的罰金。 Candilora同時表示,為什麼這些有支付授權金的酒吧或餐館在有同樣法律約束的地區,要處於一個不利的競爭條件。提出此訴訟是給予有付授權費用的紐約酒吧一個公平的環境。