原标题:韩国资安人才教父现身,揭露全球骇客竞赛夺冠关键
韩国资讯科技研究中心总裁柳晙相
图片来源:iThome
每年八月举行的DEFCON CTF资安攻防抢旗比赛,吸引全世界一流的选手参赛,不过,这两年,来自韩国的参赛选手已经成为各国直接锁定的关注对象,原因无他,因为2015年赢得DEFCON CTF比赛的冠军队伍就是来自韩国的DEFKOR,参赛成员就是来自韩国最顶尖资安人才培育(Best of the Best,简称BoB)计画,在预赛时就和原本第一名的美国战队PPP,以极少的分数差异名列第二名,但到决赛时,则一路持续领先,最终稳得冠军。
不过,韩国参加比赛能有这样的好成绩,并不是从天而降,而是韩国从政府到民间、学校,从2010年推出BoB计画后,2012年正式召募韩国优秀的资安学生后,经过4届的努力,励精图志,才能在2015年一朝夺冠、名扬天下。
让这样培育计画得以超光速展开的幕后推手,就是曾担任过4任反对党国会议员、在2010年进入韩国特别公部门「韩国资讯科技研究中心」(KITRI)担任第九任总裁的柳晙相(Yoo Joon-Sang)。
甚至有了解韩国政治情势发展的资安圈前辈表示,像是BoB这种横跨韩国政府、民间甚至学界的大型专案计画,一定要有一个在资安圈、政治界和韩国社会中,具有举足轻重的代表人物登高一呼,才能够如此迅速凝聚共识。他认为,当初如果不是柳晙相毅然决然出面号召,或许,就没有今天BoB的惊人成绩。
不得不面对网路攻击带来巨大的实质损失
唐宋八大家之一的宋朝苏洵在〈辨姦论〉一文中说到:「惟天下之静者,乃能见微而知着。月晕而风,础润而雨,人人知之。」但事实上,能做到见微知着者,几稀已,许多人都只能从真实的经历中,学到生聚教训而已。
对韩国政府而言,也是一样,「不经一事、不长一智」,今天许多人只看到韩国在资安人才培育有惊人的绩效,却常常会忽略,韩国的BoB计画其实是他们面对越来越严重的资安威胁时,痛定思痛的浴火重生计画。
像是在2009年的时候,包括韩国总统府青瓦台、韩国国会在内的政府网站,都被骇客植入恶意程式,相关政府部门的网站系统当机好几天,也造成政府许多服务中断、不能持续。
在当时,这样的网路威胁带来相当大的后遗症,根据韩国现代研究机构(Hyundai Research Institutes)的研究,光是2009年,韩国因网路攻击造成的经济损失高达3,370万~5,050万美金之间。也就是说,骇客的恶意攻击行为,除了中断政府网站的服务外,对于一般同样遭受到类似攻击的民间企业而言,也带来更多实质的经济损失。
网路攻击的力道其实只有越来越强大,韩国在2011年,就有银行的电脑系统遭到骇客入侵而当机,数万台电脑受到恶意病毒感染并遭到永久性的损害。这类网路攻击究竟带来多少实质损失其实不得而知,不过,韩国网路安全中心(KISA)也曾经指出,光是来自韩国本土及国外的网路攻击已经逐渐增加,网路攻击的比例2011年比2008年则增加37%,成长幅度惊人。
另外一起,大家耳熟能详的韩国网路攻击,其实就是在2013年3月20日爆发了黑暗首尔(Dark Seoul)的网路攻击事件,当时,就已经造成韩国银行和电视台总计48,700台电脑被植入恶意程式破坏硬碟,造成电视台中断报导、银行无法提款等资安事件,同年六月还有类似的攻击手法出现。
甚至于,在今年6月,韩国也有媒体报导,有160个韩国大企业、公共机构、政府部门的网站遭到朝鲜网路骇客攻击,超过4万份的机敏资料外洩,甚至于,有可能外洩美国F-15战斗机机翼设计图以及预计2020年才会对外亮相的无人机设计图等。韩国警方表示,这样攻击方式和2013年韩国发生的黑暗首尔事件手法如出一辙,如果再度发生类似事件,受骇电脑数量可能超过13万台,也会比2013年造成9千亿韩元的损失更惊人。
从这些持续不断且层出不穷的资安攻击事件来看,小到锁定单一单位,大到以整个国家作为锁定攻击的对象,都可以看出到,这类网路攻击早已经是韩国日常都必须面对的威胁之一了。
痛定思痛,开始培育自己的资安人才
韩国资安人才培育计画(BoB)是柳晙相担任特别公部门韩国资讯科技研究中心(KITRI)总裁后,才在2010年开始推动的一个重要专案。
柳晙相从1980年代就积极参与行政体系相关的经济与科技相关的委员会,对于资讯发展和应用也相当重视,加上长年担任国会议员,总共担任了4届反对党的议员,深厚的政治实力和人脉资源,不论是从行政和立法的角度来看,都是韩国政坛上相当具有影响力的一号人物;再加上,韩国总统朴槿惠当选后,还聘用柳晙相为国政顾问,其影响力更是不言可喻。
柳晙相认为,因为这个BoB的预算是从政府而来,甚至是不设任何投资上限的投入资安人才培育,就一定要获得国会议员对于相关预算的支持。因此,柳晙相还在国会中成立一个「K-BoB论坛」,就是希望可以让国会议员对于资讯安全有更深入的了解,「当国会议员都可以意识到资安的重要性时,当然也就会更愿意支持相关的预算。」他说。
韩国政府以预算无上限的方式,从2012年正式招募对资安有兴趣的优秀人才,至今已经完成四届培训,培训人数逐年增加,今年6月招募第五届BoB人才。
刚开始,BoB的召募有点像是在试水温,2012年第一届只有召募了60个人而已。不过,等到到了2013年第二届招募时,恰好该年3月20日爆发了黑暗首尔(Dark Seoul)的网路攻击事件,因此,柳晙相决定,将第二届BoB甄选名额增加一倍,却吸引了480名韩国白帽骇客来争取120人的名额,这样的增额录取,也意味着政府带头重视资安,对于资安发展都很正向。后续第三、四届招募人数也都持续成长,每年至少增加10个录取名额。2015年全球DEFCON CTF比赛中,BoB团队精锐进出,获得CTF比赛第一名就是培养成果的最佳展现。
韩国资讯科技研究中心总裁柳晙相在韩国国会成立「K-BoB论坛」推广资安,让国会议员意识到资安的重要,进而愿意支持资安人才的培育预算。
BoB引进产官学配套资源,建立辅导人才的导师制度
不过,政府重视资安、要培养资安人才,除了确定政策方针并投入大量的资源之外,柳晙相表示,更重要的是,在规画BoB的人才培育计画时,连这些培养出来的优秀资安人才,在毕业之后,从当兵开始,到后来的就业机会,BoB都有完善的配套措施。
像是,除了获得政府资源大力支持外,BoB也直接和各种资安与IT相关产官学结合,像是包括韩国赛门铁克、BlueCoat等跨国资安公司签订合作的备忘录外,也和韩国在地的资安业者、IT业者、政府与政府投资的企业、创业支援中心以及相关的大学等签署合作备忘录,让BoB的资安人才培育,永远可以和最顶尖的技术发展与研究做整合。
除了引进产业界和学术界的资源外,BoB人才培训的另外一项特色就是,建立所谓的「导师」(Mentor)制度,从第一届开始,就会聘请资安业界中优秀的资安研究员,协助辅导这群培训对象,除了提供技术上面的指导外,还包含未来职涯发展的协助。
BoB的训练课程内容,除了基础的加密学、作业系统安全、网路安全、法律以及相关的资安政策外,还包括了六大安全领域,包括:数位鉴识、资安谘询顾问、弱点分析、行动装置安全、融合式安全(Converged Security)以及云端安全等。
先从基础课程教起,慢慢筛选出有兴趣、能力更好的学生来接受更难的训练课程,每一届最后都会挑出10个最优秀的学生,不只颁发2千万韩圆(约台币55万元)的奖金,还推荐他们进入资安公司或军队工作。
资安在韩国已经是全民重视的产业发展项目,所以,BoB培养的资安人才中,有很大一部分是女生。进一步分析韩国BoB招募的人才分布比例,招收女生的比例从第一届只有6.7%,隔年增加到10%,到了第三届女生比例甚至高达18%。BoB透过鼓励与培训机制,也将资安专业知识推广到女性。
参加BoB资安人才培训计画以高中生、大学生和研究生为主,很少有超过30岁的培训者,从年轻人开始培养对资安领域的专业,也让资安有机会慢慢成为韩国资讯产业中的显学。
根据韩国政府统计,韩国大约有36万间企业,对资安有意识的企业不到4万间,BoB计画希望最终可以培养至少1万名优秀的资安人才,真正巩固到韩国网际网路的安全性。
BoB要培养有资安专业技能并对国家忠诚的专业人才
现在网路的恐怖攻击越来越严重,柳晙相认为,这不仅牵涉到国家安全,也已经扩及到像是亚洲的区域和平,甚至是全球的和平都与资讯安全息息相关。
韩国政府在相关的资安政策上扮演政策方向的舵手,并率先投入资源、壮大发展风潮,之后,各种民间资源就会跟着投入,就会造成百花齐放的景象。这也是为什幺韩国政府在投入资安人才培育不过4年的时间,成果丰硕。
不过,柳晙相也指出,资安是国家最重要的政策,各种网路攻击都是由人发动攻击;要做好资安防御和分析的关键也是人。他说:「『人』才是政府资安政策发展中,最重要的关键。」
所以,推动BoB的专案目的是要做资安人才的培育,除了要有高超的技术外,柳晙相也强调,因为资安是一种具有攻击,甚至有能力为对方带来损坏的一种高超技能,所以,具有这样能力的人,也必须要有一定的道德认知,知道要将这样的技能用在正面、对人们有助益的面向上。
更重要的是,「对国家的忠诚度是非常重要的,」柳晙相表示,在韩国,资安政策其实就是国家数位领土防护能力的一环,这些具备有高超技能的资安人才,就必须要对国家有足够的忠诚度,一旦遇到国家有危难时,才会愿意立刻站出来帮忙、协助解决困境。
韩国BoB专案至少有10名专职人员,加上场地租金,不包含培训资安人才时所需要使用的经费,不设限的资源投入,就已经让人羡慕。
反观台湾,在相关资安人才的培育上,即便政策方向是正确的,但是,政府相关的经费补助,只有20到100万元不等,但中间繁琐的稽核和报帐流程,光是将计画人力用在写政府报告上,就已经差不多了,几乎没有多余的心力可以用来推广资安人才培训。
从台韩的资安人才培育计画做比较,两者获得的资源更是有如天壤之别,人才培育是需要长期的、大量的资源投入,台湾政府过度小气而且谨慎的资源投入,并无法让资安人才的培育真正落地生根,对于台湾长期的资安人才培育并没有带来真正的帮助。或许,新政府在规画相关的人才培育时,也应该正视各种经费和资源的投入,都应该是长期的才是。
韩国透过最顶尖资安人才培育计画(Best of the Best,简称BoB)培育年轻资安人才,经过4年,2015年时一举在美国CTF决赛夺冠。(左起第四位即为柳晙相)
?
?韩国资讯科技研究中心?
Korea Information Technology Research Institute (KITRI)
总裁:柳晙相(Yoo Joon-Sang)
总部:韩国首尔
成立时间:前身是计算机研究中心,最早成立于1985年9月,在1992年2月正式改组为KITRI
主要业务:在韩国扮演推广和提供ICT技术和相关教育训练的机构,培育最佳的资安人才与IT人才,并透过参加国际比赛,促进韩国ICT技术发展
网址:www.kitri.re.kr
相关:
好房网News记者陈佑婷/整理报道 2016年幸福指数排名出炉,我国排名世界16,较去年进步2名,超越韩国及日本等亚洲国家,其中在居住条件、所得与财富、主观幸福感等项目,都优于韩国许多,台湾“宜居”事实也再度获
米娜ChoiSomi个人资料背景 韩国女主播性感走红 [非常娱乐]
米娜ChoiSomi个人资料背景 韩国女主播性感走红 [非常娱乐] 姓 名:???
年 龄:25(属蛇)
生 日:1989-10-04
星 座:天秤座
居 住 地:韩国首尔
职 业:模特韩国女主播米娜ChoiSomi个人资料
张俪韩国街拍曝光 初秋就学她这么搭
说起娱乐圈有颜值有衣品的女星,张俪应该算的上其中之一,而近日,张俪也现身韩国街头为我们演绎了一次初秋时尚搭配,那下面小编就将这组街拍分享给大家,女生们初秋不妨
韩国男团“INX”8月2日才带着最新迷你专辑《ALRIGHT》出道,9月2日出到满月当天即公告将来台担任TVBS《女人我最大》─2106美妆大赏,担任颁奖表演嘉宾,预定9月10~13日在台停留四天三夜。而宝岛处女行刚好强碰前辈B
2018年俄世界杯预选赛中国vs韩国2:3惜败视频观看 [非常娱乐]
2018年俄世界杯预选赛中国vs韩国2:3惜败视频观看 [非常娱乐]2018年俄世界杯预选赛中国vs韩国2:3惜败视频观看在2018俄罗斯世界杯预选赛亚洲区12强赛A小组赛首轮的对决中,中国队做客面对老对手韩国队。第20分钟,郑智