在安全威胁日益严峻的今日,企业的安全防护能力已不再是IT部门的单一课题,而是攸关企业存续与竞争力的核心关键。对于在全球拥有庞大据点与供应链的高科技制造业而言,这场没有硝烟的战争尤其艰巨。

鸿海科技集团旗下的鸿腾精密(FIT),正是这波安全浪潮中的积极应对者。从2023年3月正式成立专责的安全事件应变团队(CSIRT),到2024年10月成功加入国际安全组织FIRST(Forum of Incident Response and Security Teams,事件回应和安全团队论坛),鸿腾精密不仅为自身筑起更坚实的安全堡垒,更成为鸿海集团内第一个加入FIRST的成员,肩负起领头羊与集团安全联防窗口的重任。

鸿腾精密信息技术处资深经理杜伟钦表示,该公司CSIRT团队从无到有、从内部构建到迈向国际的历程,都凭借公司首席执行官亲自主导“由上而下”的变革,才能够让鸿腾精密的CSIRT团队真正扎根,并且扮演全鸿海集团领头羊的角色。

“我们的CSIRT团队是在2023年的3月成立,到正式加入FIRST国际安全组织,算起来也才一年多。”杜伟钦开宗明义地说道。相较于许多企业,鸿腾精密的安全团队成立时间并不算早,但背后的推动力与决心却异常坚定。

杜伟钦指出,成立CSIRT的首要原因,直指当前不断升级的外部安全威胁。他表示,随着黑客攻击手法越趋精密,企业必须具备更强的应变能力,才能有效保护公司最重要的数据文件与核心系统,进而确保业务的持续运行。这不仅是被动的防御,更是Proactive(积极主动)的应对。

然而,促成CSIRT团队诞生的关键,则是来自公司最高管理阶层对安全的强烈重视与支持。“其实是我们CEO非常重视安全这一块,他认为,整个安全对我们公司的发展是非常重要的。”杜伟钦强调,因为有首席执行官的重视,让安全从单纯的技术议题,一跃成为影响公司发展全局的策略性议题。

这份高度重视其来有自,尽管我们未直接证实与供应链攻击的关系,杜伟钦坦言,外部环境的安全威胁的严峻挑战,确实是重要考量。他说:“公司为什么会重视安全,也和外部的一些制造业遭遇一些黑客攻击,造成公司运营上的损失有关。”

他进一步解释,特别像是鸿腾精密这样在全球拥有约五、六万名员工、厂区资讯边界不断扩张的大型跨国公司,安全防御难免存在漏洞。“如果没有一个专责团队负责修补漏洞并抵御黑客入侵,就可能面临严重的安全风险。”他说。

“所以首席执行官就希望要尽快成立这个安全团队作为应对。”杜伟钦语重心长地说,安全防御最有效的方法,确实是“top down”,就是从上而下,而且从上而下它的效果才会快。

杜伟钦表示,正是在首席执行官的授意之下,CSIRT团队才得以快速且有效地组建起来。团队成立后,首要任务便是针对全球各厂区的漏洞进行检测与修补,并加强黑客入侵的防御。

一个专责的安全团队需要什么样的人才?杜伟钦透露,鸿腾精密的CSIRT团队目前有八位成员,全部都是专责的安全专业人员与主管。该团队的组成有其独特性,“我们当初其实都是从外界寻找合适的安全专业人才进来我们公司。”他说。

他进一步解释,原先公司内部,只有一位从资讯部门转调过来的安全人员,他深知,由外部引进专业安全人才立竿见影,能成为“即战力”,但了解公司内部人员的重要性也不容忽视。

“团队内部还是要有懂得公司和产业专业知识领域(Domain)的人,”他指出,公司的CSIRT团队成员可能不知道公司内部的地形、地貌,但是,因为有一个清楚公司里面地形地貌识途老马帮忙带路,也非常有利于安全团队的运行,以及对内外部的协调沟通。

因此,杜伟钦表示,鸿腾精密CSIRT团队成员的结构是这样组成的:一位是从公司内部资讯部门转任安全,其他七位则是从外部招募进来的安全专家。他认为,这种外部专业与内部经验的结合,目的就是在打造一支既有国际视野,但又了解公司内部运行的高效团队。

成立专责且高效的CSIRT团队,绝非仅仅安排人力与预算就能完成。杜伟钦也详细说明从三个方面投入资源,以支持团队的运行与增长。

首先是组织调整。他表示,公司设立安全部门,这是过去没有的;加上,这个专责部门在通报层级上也获得提升,目前通报给首席信息官,未来则会直接向CEO报告。

更重要的是,公司也着手成立安全治理委员会。这个委员会的主席将从首席信息官变更为CEO,成员则由各业务群的第一阶高端主管担任。杜伟钦强调:“这个安全治理委员会的成立,也让公司安全治理层级,从原先IT层级拉到公司治理层级。”这也显示,公司已将安全提升至与整体公司治理同等重要的战略高度。

其次是人力与培训。除了从外部引进安全专业人才,杜伟钦指出,公司也大力支持团队成员接受专业培训。例如,公司会派员参加安全院举办的CCOE课程,或是沙仑安全基地等机构提供的教育训练。

此外,鸿腾精密也积极参与境内的安全社交媒体与情报分享平台,例如SP-ISAC(科学园区安全资讯与分析中心)、TWCERT/CC(台湾计算机网络危机处理暨协调中心)以及台湾安全主管联盟。他说:“这些都是为了不断提升团队的专业能力与视野。”

最后则是技术资源。杜伟钦表示,公司投入资源、购置先进的安全工具与设备,用以强化监控能力并进行安全健康检查。然而,安全技术与威胁变化迅速,团队需要持续学习与更新技术,因为旧有技术已不足以应对外部威胁。特别是现在黑客也开始运用AI发动攻击,已成为新的趋势。为此,他表示,鸿腾精密甚至与公司内部的AI大数据部门合作,试图利用AI来发掘安全设备可能遗漏的问题。

在技术资源分配上,杜伟钦坦言,CSIRT团队也面临挑战,因为这不仅是购买安全设备的问题而已,还需要IT部门的配合,例如强化基础设施(Infra)的架构。杜伟钦解释,安全部门在做资源调配时,必须权衡考量,决定第一阶段要先强化哪些部分。例如,网络访问管控(Network Access Control, NAC)的强化、老旧防火墙的替换等,都是因为这些旧设备已无法应对新的攻击,需要采购新方案补强。

成立全新的专责安全部门,并在全公司推动安全策略,过程并非一帆风顺。杜伟钦坦言,最大的挑战之一就是跨部门协作。

他表示,安全部门作为一个新成立的单位,在推动安全策略时,常常会遇到其他部门的反弹,例如:以前可以这么做,为什么现在不能这么做等等。这往往需要投入大量时间进行跨部门沟通、宣导,甚至举办各种会前说明,解释为何这些政策是必要的。

鸿腾精密在公司内部向所有主管、同仁进行安全重要性的宣导,并解释社交工程等常见攻击手法,就是为了让公司的每个人能够意识到“资讯安全、人人有责”,因为,安全不是安全部门单独的责任,而是需要所有人共同参与。

杜伟钦感叹,不同部门的协作需要时间磨合,尤其是在安全事件发生时的快速反应。例如,如何界定安全事件的层级(一级、二级),需要通报到哪一层级的主管或哪个部门,这些都必须预先定义清楚,才能在状况发生时迅速应对。

另一个挑战则是技术更新。安全技术和威胁模式不断演变。杜伟钦指出,团队必须持续学习、更新技术,以应对日益复杂的攻击手法。例如,现在有许多黑客利用AI进行攻击已是现实,所以,安全团队不仅要懂得掌握传统的安全防御手段,还要思考,应该如何利用AI来协助防御。

在技术补强方面,杜伟钦特别点出了从“安全观点”和“IT观点”看IT基础设施(Infra)补强的差异。他认为,IT或Infra部门的补强措施,往往着重于各自的业务范畴,例如Infra团队专注网络安全,AP(应用程序)团队专注软件开发,彼此相对独立。

但是,如果从安全观点来看,补强措施必须是全面向的,包括软件、硬件设施,以及安全策略的管控等,需要能够从“点线面”进行全盘性的规划与落实。杜伟钦表示,安全的切入点通常是从系统的资讯流(flow)出发,借由查看资讯流经过哪些跨部门单位,需要进行什么样的强化或补强措施,“这是一种较少本位主义、更注重横向跨部门管理的视角。”他说。

不过,这也导致了跨领域沟通的困难。他强调,安全团队必须与Infra团队沟通基础架构的强化需求,与AP团队沟通软件安全问题;但这些沟通往往需要跨领域的知识(know-how)。

他强调,如果安全团队成员不具备足够的跨领域知识,在进行跨部门的讨论过程中,很容易被其他部门以技术细节“否决”,甚至被质疑专业能力。因此,杜伟钦强调,安全部门在招募相关的安全人员时,“真的是精挑细选”。

鸿腾精密与鸿海集团的关系,也影响了其安全战略。杜伟钦表示,鸿海作为母集团,会定期与子公司召开会议,宣导各种安全知识、分享安全事件或情报信息,而且集团也会要求所有子公司,不管在安全策略、宣导、训练与防御上,都必须保持一致性。

这源于安全界常说的“木桶理论”:一个木桶能装多少水,取决于最短的那块板,在安全领域,漏洞缺口就是最短板。因此,集团必然要求整体安全防护能力的一致性,避免任何一个短板成为整体风险。杜伟钦表示,这也促使鸿腾精密必须不断查看,确认内部还有哪些未完成或需补强的部分,并尽快落实。他说:“我们不敢说我们做到最好,可是我们会尽力把它变得更好。”

在谈论鸿腾精密为何选择加入FIRST组织之前,有必要先了解FIRST是什么。FIRST是“Forum of Incident Response and Security Teams”的缩写,意即“全球事件应变与安全团队论坛”。

FIRST被誉为安全事件应变领域的“premier organization”(顶尖组织)和“recognized global leader”(公认的全球领导者);其核心使命是“Improving Security Together”(共同改善安全),这也体现在其组织名称中。

FIRST汇聚了来自政府、商业和教育机构的各种计算机安全事件应变团队。其主要目标是:“促进事件预防方面的合作与协调,激发对事件的快速反应,并促进成员与广大社交媒体之间的资讯分享”。

加入FIRST,能让安全事件应变团队更有效地应对资讯安全事件,无论是reactive(被动应对)还是proactive(主动预防)。除了创建一个全球事件应变社交媒体中的信任网络,FIRST也提供多种增值服务。目前,FIRST在全球拥有超过700个成员,遍布非洲、美洲、亚洲、欧洲和大洋洲。

台湾已有多家公司陆续申请加入FIRST,杜伟钦表示,鸿腾精密选择以CSIRT团队身份申请加入FIRST,主要有几个原因。

首先是情报共享。在全球安全威胁无国界的时代,能快速获取最新的安全情报至关重要。他说:“希望通过这个FIRST国际安全组织,获得最新的安全情报,来提升我们的防护能力。”此外,FIRST组织也经常举办各种论坛和研讨会,也是提升团队专业能力的重要途径。

其次是国际合作。安全防御单打独斗难以成功,需要“联合防御”。杜伟钦强调:“希望能够跟其他公司,包含台湾或是国际的安全团队合作,共同应对全球的安全威胁。”他生动地比喻,这就像古代的烽火台,一个地方发出警讯,其他烽火台迅速响应,共同抵御敌人。这就是“一方有难、八方支持”的安全联防精神。他表示,当鸿腾精密安全团队从FIRST收到全球C2服务器的IP清单时,除了力即将清单导入公司防火墙最新规则外,也可以立即分享给集团,让其他子公司也能迅速进行防御阻挡。杜伟钦也体认到,加入FIRST国际安全组织,目的不只是要做到“独善其身”,更是希望能“兼善”整个集团,甚至对台湾科技业的安全联防有所帮助。

第三是学习经验。目前加入FIRST的台湾成员,截至去年十二月底约有22个而且还在持续增加中,加入的成员名单涵盖情报信息单位、高科技制造业以及安全公司等。杜伟钦表示,通过这个多样化的安全团队社交媒体,可以达到“学习其他公司成员加入FIRST的经验,以提升自身能力”的目标。他认为,公司安全团队从其他公司面对安全事件的应变作为中学习,并与其他成员分享自身的经验,借此不断自我提升与改善。

加入FIRST并非一蹴而就,需要经过漫长且严谨的审核过程。杜伟钦回溯了鸿腾精密的入会历程,“经过一年的酝酿跟筹备,我们大概从2024年的6月开始,邀请FIRST会员来推荐我们。”他们邀请了TWCERT/CC和TeamT5这两个台湾的FIRST会员进行推荐。

推荐后,FIRST会进行实地查验。杜伟钦提到:“FIRST在去年8月份的时候,就来鸿腾精密做现场的视察,然后鸿腾精密也跟FIRST进行相关演示文稿。”演示文稿内容则涵盖团队的能力与运行流程。直到去年9月份,鸿腾精密则收到了FIRST现场访视报告;并且该公司在9月中旬,正式向FIRST提交申请文件,进入审查程序;直到去年10月18号,才正式取得会员资格。

这个过程不只是一个简单的申请表单。杜伟钦解释,在审核过程中,公司必须证明其能力符合FIRST的要求,这包括,鸿腾精密必须提供团队成员的专业证照、公司安全治理的规范,以及安全事件应变流程等文件。这些数据都需要经过严格审核,甚至需要以流程图的方式清晰呈现团队的专业流程,并陈述加入FIRST的原因,而且,FIRST设有委员会,每个月都会召开会议,审查申请者的资格。

“我们不是从2023年成立CSIRT之后,就马上申请加入FIRST,而是筹备了好一段时间,先提升自身能量后,觉得已经准备好了才去申请加入FIRST。”杜伟钦强调。

他认为,光是为了准备加入FIRST所做的内部整顿与能力提升工作,本身就已经非常有价值了。而成功加入后,能够“第一手拿到一些重要的国际情报信息,然后又可以学习,又可以掌握一些攻击趋势等等”,对于公司整体安全防御能力的强化与提升“是非常有帮助的”。

加入FIRST之后,对鸿腾精密CSIRT团队带来了哪些具体的“质变”与“量变”呢?

在质变方面,杜伟钦认为最显著的是“提升安全团队的专业水平跟应变能力”,通过参加FIRST的培训与研讨会,团队得以学习最新的安全技术与趋势。

在量变方面,则是“扩大鸿腾精密取得的安全情报来源”,他表示,加入FIRST让该公司安全团队能够获取更广泛的安全情报,从而提升公司和集团的防护能力。

杜伟钦认为,对该公司带来的效益则体现在多个层面。首先是“提升或增强鸿腾精密在国际上专业领域的影响力”,进而在安全领域提升公司的品牌形象与市场地位。但他特别强调,最关键的效益是“商誉的提升”。

“让大家都觉得,鸿腾精密重视安全,那是一种很无形的信任度。”杜伟钦解释,这种信任度的提升,不仅来自客户和合作伙伴,也包括投资人,有助于促进公司的整体业务发展。

对于客户而言,鸿腾精密是其供应链中的一环,供应链安全至关重要。“强化自身安全能力,能增强客户的信心,进而对业务发展产生正面帮助。”杜伟钦说道,这就像半导体产业对供应商提出的SEMI E187设备合规要求一样,供应链安全已成为必要的合作前提。

此外,加入FIRST也有助于提升公司的合规性。他指出,公司内部规范得以符合国际安全标准与法规,这不仅让未来的产品制度更符合规定,也向客户传达产品经过严格管制的消息,这都对公司带来显著的成效。

在众多效益中,杜伟钦特别强调加入FIRST在情报信息时间差带来的优势。他指出,鸿海集团本身是TWCERT/CC的成员,而鸿腾精密除了加入SP-ISAC,现在又多了FIRST这个国际情报信息来源。虽然SP-ISAC和TWCERT/CC也会转发国际情报信息,但可能需要经过筛选过滤,存在情报信息的时间差。尤其TWCERT/CC是周休二日,并无法提供24x7的服务。

但他强调,加入FIRST之后,鸿腾精密可以“直接获得”第一手国际组织的安全情报信息,而拥有专责安全单位的鸿腾精密就可以立即进行第一手分析,甚至有机会在集团内部其他单位尚未收到相关的情报信息消息之前,以更快的速度对内部提供情报信息。杜伟钦认为,这不仅能防御鸿腾精密自身,也能协助防御整个鸿海集团。

杜伟钦语重心长地说,黑客最喜欢在周五下班后发动攻击,利用周末的空文件可以做很多事情,如果企业直到周一上班才发现遭到攻击,后果往往非常严重。通过FIRST提供的跨时区、全天候的国际情报信息,就像是“全世界的安全情报信息联合”,能弥补单一组织或区域中心的不足。

能否及时获取情报差异巨大。杜伟钦举例:“有公司可能前天被攻击,但你如果是一个礼拜后再知道,跟你前一天就知道,这是有差异的。”提早得知潜在威胁,就能提早预防。例如,将重要的IOC(入侵指标)或黑名单导入防火墙或杀毒系统,第一时间阻挡攻击,避免被植入恶意程序。这正是加入这个国际情报信息组织的主要目标。

作为鸿海集团第一家加入FIRST的公司,虽然成立CSIRT的时间相对较晚,但入会的积极性可谓走在前面。杜伟钦表示,鸿腾精密希望扮演“领头羊”的角色,通过自身的加入经验,带动集团内其他公司也加入FIRST。

“这并不意味着,鸿腾精密之后就变成窗口,而是希望通过我们加入FIRST,有示范效应,可以带动其他公司的加入。”他强调,就像当年群创光电加入FIRST带动其他高科技制造业加入一样;而鸿腾精密取得的第一手情报信息和累积的入会、运行经验,都会反馈分享给集团内的公司。

杜伟钦引用“一双筷子容易折断,但十双筷子折不断”的比喻,说明安全联防的重要性。当集团内有一个单位成为FIRST成员,累积了国际合作和情报应用的经验,并愿意分享,这对整个集团的安全防护力量而言,是一种提升。

他更将视野拉高到整个台湾制造业,当一个台湾企业遭到黑客攻击时,无论是基于政治或民族因素引发的攻击,如果能迅速通过国际平台或其他联防机制发出警报,其他企业就能立即提高警觉,采取防御措施。

他认为,这对于高科技制造业占据重要地位的台湾经济基础来说,创建安全联防标准并共同提升防御能力,是至关重要的。供应链任何一个环节的漏洞,都可能影响整体台湾的安全。

“通过这样加入的经验,能够让更多公司,包含我们集团内和外面的公司,有更多人来加入。”杜伟钦如此期盼。

成功加入FIRST之后,杜伟钦表示,鸿腾精密CSIRT团队的下一步,首先,持续提升自身能力,因为安全技术日新月异,团队必须保持在这个领域的领先地位。例如,不能等到其他企业已经在做AI防御了,自己却还停留在过去。因此,持续学习是必须的。

其次,深化国际合作。杜伟钦表示,这包括加强与海内外FIRST成员的合作,共同应对全球安全挑战。例如,有针对台湾企业发动的DDoS攻击,便可以通过与刑事单位或FIRST成员交流,分享攻击来源IP并讨论防御策略。他重申,面对全球性的网络攻击,单打独斗是行不通的,必须依靠合作。

团队也在思考,当其他企业遭受攻击时,自己能从中学到什么,以及当自身遭到攻击时,下一步应该如何应对。杜伟钦表示,CSIRT团队会通过报告总结经验,并与其他团队交流,探索技术创新。

例如,针对DDoS攻击的多种手法,特别是慢速攻击或针对VPN的攻击。他指出,台湾的高科技制造企业,经常觉得自身核心系统没有暴露在外网而忽视风险,但黑客通过攻击VPN可能瘫痪远程工作,造成公司运营中断。他认为,这些都是安全团队需要不断思考和准备的课题。

总体而言,鸿腾精密从成立CSIRT到加入FIRST,不仅是企业内部安全能力的跃升,更是将自身融入全球安全联防体系的重要一步。杜伟钦强调,作为鸿海集团的先锋,其经验的分享与带动效应,有望为集团乃至台湾高科技制造业的整体安全防护,注入更强大的动能,共同抵御无所不在的网络威胁。

“面对这场安全保卫战,唯有通过持续学习、深化合作与情报信息共享,才能在这场与黑客的军备竞赛中取得优势。”杜伟钦说道。