延續前幾期的資安議題,這次來討論一下台灣資安產業發展。其實大家可能不知到資安產業其實是政府產業發展的主軸之一。
一起來發現看看台灣在資安上的商機在哪裡。就好像先前我們在5G價值投資裡面有提到,有很多投資的機會其實可以跟著政府的產業發展主軸一起參考,政府的發展在哪裡,投資機會就在哪裡,價值投資的應用。
由於篇幅的關係,超過時間的部分會在下一集介紹。這次研究的一些報告應該大家自己應該不太會去閱讀,因為這些研究報告其實都滿厚的,需要整理一下用簡短的想法去整理一下。
藉由這樣的研究內容會比較深入資安的產業,盡量用比較白話的方式跟大家介紹。
本篇大綱
(1) 台灣52億元的資安教育課
(2) 台灣有資安大會?
(3) 政府資安計畫通,賺錢的機會就在那
(4) 全球的資安發展史
(5) 台灣的資安產業優劣勢
(5) 資安轉型機會,新公司新機會
(6) 台灣資安產值,近年每年成長11%
這個案件在當年還滿轟動的,影響了規模很大。主要大規模感染的病毒是WannaCry變種病毒。
台積電爆發大規模的病毒感染有兩個關鍵:
(1)原本新機臺上線的程序,是必須先通過防毒軟體的檢測,才能連上網路,但此次的疏失是,安裝人員先將機臺連上網路,再開始進行防毒處理。這樣當然防止不了毒。
(2)當時準備上線的這一部新機臺,本身內有病毒,在未經網路隔離及防毒系統處理的人為疏忽下,就連接到台積電的生產網路當中。
結果:
加上為了達到最佳的生產效率,台積電臺灣所有廠區的生產網路全部連結在一起,才會因為一臺病毒感染,就造成竹科、中科、南科廠區的相關設備受到大規模感染,導致如此嚴重的後果。看起來就是一個錯導致的悲劇。
最後的營收損失從78億元降低到52億元,但仍是破紀錄災損。
台積電全台產線中毒大當機事件,魏哲家在語重心長的表示:「裝過幾萬台,台積電第一次發生這種事情,我們才發現,人類不可能不犯錯。」
全球半導體龍頭,臺灣業界的資安優等生,都會犯錯。這一個看似無害的違反SOP小疏忽,最後竟導致52億元的預估營收損失,不只對台積電而言是一次慘重的教訓,也是臺灣全部企業的一堂資安震撼教育。
說到資安既然這麼重要,到底台灣有沒有在資安上面有建設?答案是有的。你知道台灣其實一直都有資安大會(CYBERSEC)這件事情嗎?
從2015年開始,由 iThome 主辦的「臺灣資安大會(CYBERSEC)」是臺灣最具指標性的資安會議,這個會議連續舉辦逐年成長、還與接軌國際,是目前亞洲地區重要的資安交流平台。
因為台灣的防疫有成,得以和美國 RSA 資安大會,並列全球唯二可以實體舉辦的資安會議,成就近萬人會眾報名,集結 250 家資安業者參與的大型展會場景
RSA名詞解釋,引用自財訊新聞:
RSA之名源自於3位美國麻省理工學院教授的名字。李瓦士(Rivest)和夏米爾(Shamir)想出加密演算法,而艾道曼(Adleman)則想辦法破解。多次試驗後,艾道曼破解不了李瓦士和夏米爾修正後的最後演算法,李瓦士和夏米爾據此寫出一篇論文。
兩人將艾道曼列為論文共同作者,最初為艾道曼拒絕,經力勸後,艾道曼同意擔任共同作者,但要求將自己名字放在最後。演算法以3人為名,依照作者順位排序,是為RSA。1977年3人公開RSA加密演算法,並第1次申請專利。
我覺得他們三個真的是好朋友,彼此都不拘功。
資訊技術界頗具盛名的資安大會RSA Conference,展示最先進的資安產品及解決方案。
每年參展廠商超過500家,資安議題討論達數百場,參加人數超過數萬人。主辦單位RSA Security是一家網路安全公司,成立於1982年,以RSA加密演算法為基礎,將之商業化。
傳聞在2004~2006年間,RSA Security收了美國國安局1000萬美元,在該公司的加密產品中植入後門,但此舉在2013~2014年間「被揭露」後引發譁然,資安專家因此抵制RSA會議。後來RSA Security被EMC併購,這是一家美國儲存設備公司。
今年CYBERSEC 2021於 5 月 4 日至 6 日舉辦。地點在臺北南港展覽二館。
大會規劃了超過 200 場次的主題論壇,因為疫情的關係開啟了資安的信任法則討論,也聚焦製造業安全、數位金融安全、醫療資安這些多元產業資安議題。
也邀請到從 HITCON 駭客的專家討論資安防禦思辨、從基礎知識到全民關注的 5G 網路與 IoT 物聯網資安話題,以及每年受到高度迴響的 CyberLAB 實戰攻防演練…,是全方位囊括產業市場趨勢、專業技術領域的資安知識饗宴。
補充小知識:
Hacks In Taiwan Conference (HITCON) 台灣駭客年會是台灣最大的駭客與資安技術研討會,是駭客們的聚會,駭客們一年一度的 Party。這個會歡迎所有對資訊安全有興趣的朋友一同參與這每年一度的盛會。
我覺得這個資安大會厲害的點不是在於有很多很高深的論壇演講給大家聽,重點是台灣有這樣的會議可以聚焦資安議題,讓相關的廠商跟學術單位或如政府的工研院等都可以一起來辦活動,共同思考產業的發展未來,最重要的是資安的人才能量本來就得靠培養跟競賽才能出現。
這個活動就非常棒,還有台灣駭客們一起參加,雖然我不懂他們攻防戰要怎們進行,但是聽起來就很酷,會不會都被國防部撈去做資訊戰的尖兵?
當然有興趣資安的朋友可以去參觀看看,反正時間在5月還有一段時間。
2.行政院資安產業發展行動計畫
為什麼要關注一下行政院在幹嘛?這個道理非常簡單,因為有政府關注的建設就會有錢投入,產業發展就帶動投資標的齊漲,你看看風電產業就是這樣,同樣的先前關注的5G基礎建設也是,先前我們討論自組的5G ETF就漲了20~30%,不過只是去年底的事情。
但是資安產業感覺很低調,因為你很難看到很巨型的建設在你身旁,但他默默的發生各式各樣的網路或系統上。
這份計畫是在107年發表,計畫規劃到114年。當然這份報告內容有63頁,只會針對我看到的一些重點作整理。要不然一般人看完就睡著了,根本不會想去下載看。那就一起了解一下這個節錄的精華,聽或看完會對台灣的整體資安產業發展會有一定的認識。
另外因為他是107年就發表了,所以關於產值之類的部分會以工研院最新報告來分享。
開頭先破題,台灣的資安是以硬體為最大宗,不是軟體,所以軟體有很大的發展空間跟產值。
全球的資安大產發展動態,因為新型態的攻擊模式,變成現在的防護方式要以自動化跟智慧化為主,降低人為的判斷跟回應。三大主軸,雲端整合、自動監控、威脅回應自動化 (依據寫好的腳本做防護)。
報告其中提到全球營收前10名的資安廠商,雖然營收有增加,但是是占率卻下降,主因是中小型業者的興起,以雲端網路為主要大廠,傳統的防火牆跟病毒的廠商就沒落了。
因為其實微軟目前也有自己的防毒軟體阿,所以防毒廠商的生意就更難做了,微軟防毒電腦灌好就有,雖然不一定很強拉,但加減可以用,可以不用花錢,他也會更新防毒資料。
新興資安產業類型,主要是物聯網安全分析,人工智慧應用於資安上等,相關的專利數量也逐漸變多。
台灣的資安生態體系以硬體為產業密度較高,模組跟硬體廠商佔了台灣資安產值57%。主要IC信任安全模組與指紋辨識等。
若軟體方面來看,台灣多集中於發展資料外洩防護、存取控制,但目前的產值還小。資安服務就是以資安營運管理、系統檢測與顧問服務為主。
台灣具有全球重要的資安戰略位置,因為政經情勢特殊,常常被攻擊拉,據統計全球約有1/4的惡意攻擊程式最先在台灣被發現,堪稱全球的資安靶場,所以樣本比其他國家來的豐富多樣化,吸引國外大廠Fortinet 來台灣收集工及特徵跟行為,若台灣可以用此優勢還可以發展出資安利基產品。
看到這裡我心裡想,這是優勢嗎?這是困境吧?一堆網路攻擊發生在台灣,該不會是某國的攻擊吧?化劣勢為優勢吧,好好利用這個缺點變成強大的優點,化危機為轉機。
我國資安發展的優點跟缺點機會跟威脅:
3.工研院的資安論壇報告
我覺得這篇報告其實還滿有料的,不知道有幾個有關注。一樣分享讀後心得。
2021年1月,工研院舉辦了一場資安論壇,題目是「展望後疫時代,通訊網路安全產業發展趨勢」。
內容主要有:
(1)後疫時代全球的資安發展趨勢
(2)台灣資安產業的挑戰與契機
(3)資安新創為台灣資安產業注入源源不斷的活水
這些名字可能聽起來很古板,聽了就講睡覺,白話來說就是因為疫情的關係,台灣的資安出現了一些轉機,研究報告中還有提到資安的發展歷史,如果沒有很了解的朋友,參考一下很好,會對資安的發展過程比較熟悉。
(1)後疫時代全球的資安發展趨勢
全球資安發展目前到第五代,第一代在1980年,那個年代是防毒軟體時代。第二代1990年是防火牆時代,預防網路攻擊。第三代是2000年,應用程式攻擊,資安關注於入侵防禦系統。
第四代是2010年左右,惡意程式行為分析,專注於惡意程式的攻擊。第五代2020年是自動化滲透測試時代,專注於物聯網的漏洞利用。感覺從石器時代進步到工業時代。第六代規劃到2030年,是零信任時代,專注於人工智慧威脅。
1980年的資安市場規模才500億,到了2020年已經是150000(十五)百萬美元。目前台灣的一般企業大概還停留在第三代的時代,看來是還有很多商機阿。
根據研究分析統計2019年的資安漏洞與2016年數據比較起來,成長了3.5倍,2021年資安防護應該著重於駭客行為與攻擊手法分析,降低產品風險與系統風險。看來隨著人類文明的發展,資安的漏洞也隨之成長。
2021年全球有很多產業前景不好,像是交通航空業、飯店業、零售業,但是鄉反過來因為疫情的關係所以導致店商很發達,還有遠距的醫療照顧設施、通訊系統相關,這就導致資訊安全服務的產業產值提升不少。
因為疫情的關係,亞太地區有70%的中小型企業因此加速業務數位化,著重在投資雲端、升級資安、IT基礎架構等。
其實我想尤其各個公司,因為疫情嚴重的關係,減少商務上的往來自然就得要增加雲端服務的需求,不然大家生意都不用做了,自然資安的IT的基礎架構一定得要提升,問題是這些公司投資的雲端有提升資安嗎?後面我們會再討論這塊。
疫情之後企業在資安這方面發生什麼改變呢?
(1)遠距工作,上班族的在家上班,導致工作跟私人資料用相同上網設備,變成資安問題。
(2)遠距協作工具的發展,變成企業營運安全的漏洞。
(3)全通路行銷時代提前來到,非接觸的數位付款安全性就變得很重要,就是行動支付這些。
(4)自動化無人化的共享資料安全加密,跟遠距身分認證。
2021年全球的資安市場結構:
資安產品佔48%,服務佔52%。在服務裡面有面有分軟體市場跟設備等。
國內資安產業轉型的機會:
(1)資安加速走向雲端整合,但是有個問題點在於國內的雲端市場要面對全球的大公司,自主能量較弱。
(2)國內中小型企業可以藉由既有的資安方案再次開發整合的服務,一體化雲端安全模式。
什麼是一體化,就是把企業的資料中心還有國外的據點系統與行動裝置系統等通通串聯在一起做整合,這些公司去訂閱資安服務,然後一次預防網路攻擊或資安問題。這個就是目前政府與名間業者想做的事情。
(3)另外因應特殊需求,針對這些公司客製化不同市場需求的資安方案。
目前全球政府制定相關的法規跟強化各類產品資安的保證,從使用者的隱私保護出發,再納入物聯網開發,進而保護供應鏈安全與國家安全。
這個滿好的由小到大做資安很確實。
一些國內近年的併購案,分享一下,也許投資商機也在裡面。
半導體類
歐生全科技主力產品是指紋辨識安全金鑰,並鎖定 IT 身分識別、存取控制與追蹤,以及區塊鏈冷錢包等市場。
一種新穎的高階晶片安全處理器,能幫助客戶更安全地採用硬體信任根,快速提高各種系統的安全級別,且無需在處理器核心或作業系統上增加額外負擔。
如晶片身分識別(UID)、真亂數產生器(tRNG),與用於金鑰存儲的加密一次性可程式設計記憶體(OTP)等安全功能。
消費者物聯網
佳世達投資動力安全,資產盤點。
中光電成立智能雲服資安計畫,資安監控
5G通訊
合勤成立黑貓科技,滲透測試
中華電信成立中華資安國際
工業物聯網
新塘投資椰棗科技
雲端運算
智邦投資zentera systems,零信任存取
串接國際爭取台灣主導國際資安標準,建議國際的半導體資安標準,輛台積電、聯電、日月光等這些公司至少20家。
這個我覺得很厲害,不過看標題就知道是偏向硬體類別的資安標準。
提升資安的意識,與台灣的企業現況:
(1)多數的製造產業資安預算低,無自主資安團隊,高階主管對於投入資安的報酬率無法理解,約佔台灣95%企業。
(2)資安中間份子,預算有300萬元台幣以上,但是自主團隊能力較弱,如研華、奇美、致茂等。逐步走向智慧生產,但是舊有的IT系統太龐大,無法有效管理,而且缺乏經驗,這樣的公司佔了台灣企業5%。
(3)資安預算高,擁有自主資安團隊,例如台積電、日月光這些大公司,以半導體產業為主,而且逐步朝上游設備商要求資安。
資安產業的契機:
(1) 協助建構標準與第三方管理機制,資安產品分級、認驗證
(2) 建立聯防機制,協助蒐集與分析情資場域實證協助發展整合Solution
(3) 提升高階主管資安意識• 發展套裝易導入資安產品/服務、資安成熟度、成本效益分析
聽完上面的案例是不是覺得其實台灣光本身的企業資安市場就很大了,有95%都是最弱等級的資安防護。
駭客社群為台灣的資安產業注入不斷的活水,我覺得這部分很不錯,可以利用現有的駭客社群,或新創的資安公司,整合他們的力量,讓現有的企業發生轉變。
政府陸續也會舉辦一些資安競賽,讓這些駭客人才可以產業化,加強本土資安實力。
帶動第一個資安社群HITCON成立,運用社群既有的活力與創新,串接企業與政府資源,辦理國際駭客競賽HITCON CTF、產品漏洞挖掘活動(Bug Bounty Challenge,BBC)、企業資安攻防競賽(Defense)等。
2020年首度進行新型態的競賽:
將BBC 活動由Web版升級為實體設備,並於HITCON 年會聯名發表攻擊手法,協助大廠進行未上市產品測試,確保臺灣製造安全品質;引領資安競賽新風潮,並帶動企業自辦BBC(合勤)
工研院團隊,不只單純商機媒合,從匯集與分析國際大廠資安需求,公開跨國徵案,到媒合供需提案內容輔導試煉,再與國際廠商(荷蘭)協作,發展跨國資安解決方案,共同爭取國際商機。
資安可以支持台灣的六大核心戰略產業:
5G通訊數位產業、綠電再生能源、民生戰備產業、國房產驗、健康產業、資安卓越產業。
資安產業在疫情出現的情況下,產值持續維持高速成長。從2017年來看,台灣的資安產值平均每年成長11%高於全球平均8%。2020年資安的規模來到552億。對比全球2020年資安成長率2.8%,台灣的11%很高。
其實台灣的資安硬實力很不錯,但軟實力還要加強,而且台灣大多的企業對於資安的防護意識還不高,很容易出大包,這部分的商機還很大,若未來國內的軟實力加強,比起國外的資安大廠更有在地化的服務優勢。
節目Line社群:
上班族的投資理財生活,沒有太複雜的語言,以一般人的角度做觀察。
以價值投資與指數投資為主,節目內容有投資新手村、讀書心得等,
投資人物觀察,藉由每集的分享一起提升FQ。