Security Summit 2024：強化資安治理，打造決勝未來的超凡韌性

為期兩日的資安峰會，齊聚產官學研多位資安專家，為台灣企業擘劃資安韌性藍圖，圖為開幕合影。左起：卡巴斯基台灣銷售總監黃茂勳、Synology台灣事業處總經理李乾瑋、趨勢科技台灣暨香港區總經理洪偉淦、DIGITIMES暨IC之音董事長黃欽勇、數位發展部政務次長闕河鳴、國家資通安全研究院院長何全德、AWS台灣暨香港總經理王定愷、台北金融研究發展基金會董事長周吳添、亞利安科技資安技術支援部協理王添龍。DIGITIMES攝

近年資安攻擊事件越演越烈，除了令人聞之色變的勒索軟體攻擊、釣魚郵件／網站攻擊、社交工程攻擊、漏洞攻擊依舊猖獗外，肇因於企業使用開源軟體元件或函式庫所衍生的供應鏈攻擊，亦使得許多企業猝不及防，因而釀成關鍵服務停擺的悲劇。

更讓人擔心的，隨著生成式AI爆紅、混合雲架構盛行，加上地緣政治情勢升溫，種種變數接踵而至，而台灣向來是頻繁遭受攻擊的熱門區域，今後的資安情勢恐怕更加凶險，看來並無緩解跡象。

著眼於此，DIGITIMES特別開啟Security Summit 2024資安峰會活動。在第一天議程中，聚焦於「軟體x治理x人才」主題，期望協助企業翻轉資安防護架構與觀念思維，更有自信地應對各種資安挑戰與考驗。

重新定義／定位／定價，緊扣AI爆發商機

DIGITIMES暨IC之音董事長黃欽勇表示，2024年是動盪的一年。2023年底的時候，業界原本期待2024年PC與手機回溫，結果僅有1~3%微幅成長；另期待電動車帶來新商機，車用半導體卻呈現負成長狀態。然而AI加速器則令人驚艷，增幅不是用百分比算、而是高達2.5倍。

世局多變，導致AI氣勢如虹、正在顛覆我們的世界。欲解讀AI帶來的爆發性商機，必須理解Top-Down決定產品規格已然遠去，取而代之的是Bottom-Up時代，市場需要的是快速回應、技術超前的生態系統服務；過去數十年已淬鍊深厚基底的台灣，將迎來莫大機遇。

有人說AI吃掉軟體、軟體吃掉硬體，黃欽勇同意這般論點。但正所謂相依、相生、相剋，硬體吃掉AI的可能性相當大，因為「做不出來就贏了」，台灣不管半導體、伺服器等產業無可替代，因此我們必須善用新的工具與方法，重新自我定義、定位與定價，在AI引爆的價值翻轉中躋身大贏家。

政府防範AI風險，修正電子簽章法並成立AI評測中心

數位發展部政務次長闕河鳴指出，展望今後有幾個重大政策方向值得留意。環顧國家希望工程政策，總計八大施政目標中就有兩個與資安相關，首先是韌性台灣，旨在推動資安聯防、強化數位韌性，保障安全與民主。

其次是產業資安、資安產業。分析民間企業資安投資，一些知名的大型電子公司其實無需擔心，真正需要關注的是中小企業，他們經常遭受勒索攻擊。因此未來中小企業將是政策著力重點，會給予一些資源，幫助他們滿足基本資安需求；如產業署推動的DIGITAL+數位服務創新補助計畫，就帶有這樣的意涵。

至於下一重點正是AI。數發部很早就預見AI一定會衍生資安議題，也在一年半前研究深偽詐騙，儘管迄今尚無完整答案，但已研擬一些方法，所以著手修正電子簽章法，並且成立AI評測中心；與此同時會在公家機關積極推展零信任架構，希望中央部會在未來1~2年內導入完畢。

有效與可靠，為AI可信任的基石

國家資通安全研究院院長何全德強調，AI引爆全新的典範和機會，不僅加快雙軸轉型速度，也讓許多企業面臨極大壓力。所以據統計，全球逾六成CEO表示無論2024年經濟狀況如何，都會持續投資AI。

儘管GenAI帶動人類效率、效能與智力全面鉅變，但持平而論AI是矛也是盾，雖有轉機但也存在危機，故需留意風險治理問題，以期兼顧Speed和Security，讓我們可以安全地利用AI潛力，最大限度降低相關風險。傳統軟體基於程式邏輯，易於預測輸出，但LLM涉及上千億參數，無人能精確掌握其生成之道，可能帶來獨特甚或加劇的風險。

所以企業思考AI風險治理時，除需考量傳統CIA外，亦需注意Abuse與Misuse，防範不盡真確的AI幻覺議題，確保AI與人世間的道德價值對齊；誠如NIST觀點，有效與可靠是AI可信任的基石，因此數發部規劃成立AI產品與系統評測中心，道理便在於此。

借力雲端AI科技，避免攻防武器不對等

AWS台灣暨香港總經理王定愷說，IT產業經常存在一些刻板印象，如老闆或IT主管認為有使用VPN、通過ISO 27001認證、安裝防毒軟體及防火牆，且將資料鎖在公司機房不上雲，就安全無虞。殊不知駭客已採用先進技術與思維，用GenAI來發動攻勢，導致你的防禦武器不對等，因而陷入險境。

「GenAI正在改變資安運作，駭客已用槍砲，你豈能耍大刀？」王定愷認為別人道高一尺、我們就要魔高一丈。以亞馬遜為例，因年營收逾5千億美元規模，一向是駭客覬覦目標，故內部早已建立「Security is job zero」文化，期望打造最安全雲端環境，讓同仁安心探索新技術；另善用AI科技持續升級防禦武器，時時偵測與分析駭客異常行為，並自動化展開反制行動，不斷增強事故應變能力。

存取控制＋可視性＋日誌稽核，扎穩混合雲資安基本功

趨勢科技台灣暨香港區總經理洪偉淦表示，近年威脅態勢險峻，造成資安議題日益火熱。深究其因，為新興科技催化數位轉型快速發展，而雲端是轉型過程最關鍵的新興技術載具，加上大家對雲端不瞭解，以致衍生資安問題，包括純雲端或雲地混合攻擊模式皆有。

雲地資安差別何在？攻擊手法其實差異不大，但雲端變動快、衝擊大，尤其基礎架構程式（IaC）帶來便利但也伴隨Access Key外洩及被盜用風險。應對這些挑戰，建議企業務必訂定雲端資安政策且嚴格執行，其中須涵蓋存取控制、可視性、稽核（雲端日誌保存）、自動化（Security as Code）等重點。例如利用雲端安全態勢管理（CSPM）工具比對Log，釐清有無錯誤設定情形；或針對Github執行Hunting，檢查是否有Access Key不慎被丟上Github。

結合零信任、AI與PQC，因應資安新挑戰

亞利安科技資安技術支援部協理王添龍呼籲，面對資安新挑戰，企業應儘速研擬AI、量子運算衝擊加密機制的因應對策，再結合零信任與AI技術，打造動態且智能的資安防護，有效應對日趨複雜的資安法規，確保數位轉型旅程一路安全合規。

綜觀多項法規，「加密」出現頻率甚高，包含資安法、金融資安行動方案2.0、行政院建議之資料安全管理措施、安維辦法，乃至ISO 27001新增控制項目均有相關規定。惟值得一提，因量子運算恐破解現行PKI，企業宜著手將加密機制升級至後量子密碼學（PQC）；接著應盤點資源存取途徑，以零信任深化資安防護。

掌握威脅情報，提升資安維運效能

卡巴斯基（Kaspersky）台灣銷售總監黃茂勳表示，近年Kaspersky提倡一項很特殊觀念「網路免疫」，為一個簡單概念，藉由墊高攻擊成本與時間、使其得利益不及這一切，讓駭客放棄攻擊念頭，而實現此目標的關鍵養分便是情資。

Kaspersky認為，欲使SOC中心的資料更廣泛，務必建立好端點安全、威脅情資、安全日誌三大要素。其中情資對SOC至關重要，故應善用第三方資安廠商提供的大數據情資，達到快速定位問題根因的效果。為此Kaspersky提供CyberTrace平台，主動吐資料給企業，讓企業輕易獲得全球IP Reputation，包含C2主機的URL與相關IP、惡意程式的Hash，且更新速度甚快；企業只要加以比對，便可迅速揪出潛在禍患、提升安全維運效能。

完整實踐資料保護，加速達成ISO 27001合規目標

群暉科技（Synology）台灣事業處總經理李乾瑋指出，迄今群暉於全球累積銷售逾千萬台NAS，近年著眼用戶對資料應用需求轉變，逐漸聚焦四大領域，涵括資料儲存、資料備份暨災難復原、企業生產力、智慧影像監控；其中備份與容災更是企業滿足合規的重點。

群暉建議客戶從ISO 27001出發，係因它涵蓋RTO／RPO、還原演練計畫、備份3-2-1等基本規定。歸納ISO 27001在資料保護的重點有四，分別是保護來源資料、確保備份可⽤性、建構備份可還原性、多元還原及隨需取回。群暉對這些要點著力甚深，例如以Active Backup免授權軟體協助滿足各個平台的備份需求；透過Hyper Backup滿足備份3-2-1；藉由新推出的備份一體機ActiveProtect，助用戶透過CMS集中管理單一叢集下至多達2,500台備份伺服器。

循序建構零信任，為資安事件預做準備

勤業眾信聯合會計師事務所資深執行副總經理簡宏偉認為，零信任概念是自然而然產生的，係因傳統資安防護需要設定邊界，但如今邊界定義漸趨模糊，迫使企業須從另一角度思考風險管理，甚至將資安導向治理角度；此時即需從「零」開始發展服務與建構環境。

他提示幾個做好零信任的重點。例如將內網視同外網、從部門別來區隔網路甚至建立微分段，把每個Entity視為邊界、個個變成驗證主體。針對特權帳號管理，一定限縮到最小。蒐集充分的Log，做為信任推論的基準。以及推動零信任先不急著買Solution，務必先盤點你要保護的是什麼，再據此調整網路架構，會比較容易。此外從高風險低衝擊的場域開始試做，再根據箇中經驗建立SOP。

以多層次防禦，遏阻人為錯誤引發的資安風險

HENNGE台灣惠頂益行銷經理張克豪點出，談到企業最需警戒的資安風險，釣魚網站與社交工程手段肯定名列其中，它們與其餘風險最大不同，在於都是針對人的攻擊，任憑企業布建再先進的防禦系統、也終究防不勝防。

建議企業應對此建立多層次防禦。第一層先做社交工程／釣魚信件演練，藉此培養員工資安意識，練習事件發生時的正確應對。第二層為資料外洩防護（DLP），即便有人不慎受騙，在對外傳遞機密過程，亦可適時攔阻。第三層是身份識別控管做為最後防線，如啟用SSO或MFA，避免身份外洩造成資安疑慮。針對上述三層，HENNGE分別提供Tadrill、Email DLP／File DLP、Access Control／Device Certificate等完整方案。

部署新一代DDoS防線，瓦解地毯式攻擊

A10 Networks台灣區技術總監陳志緯表示，據DBIR報告，2023年DDoS佔所有攻擊40%堪稱頭號威脅。但值得留意，現今DDoS與過往有所變化，單憑傳統防禦機制恐因無法分析DDoS攻擊類型，導致誤擋或漏擋。

以往企業依閥值啟動防禦機制，反觀現在DDoS多是地毯式攻擊，攻擊目標分散化，以致單一目標的量不大、不會觸發閥值。所以做為新一代DDoS防禦，首先要能藉助多元化感知器，達到精準偵測。其次要有防禦等級之分，無攻擊時不放任何Policy，力求不誤攔；當攻擊流量進來，則動態依據Level 1~4嚴重等級啟動對應規則。再者由機器取代人來自動化分析攻擊型態，讓計算時間從30~60分鐘驟減至5分鐘內，以便及時迅速套用至防禦設備。而A10的Thunder TPS，便是符合這些條件的新世代防禦利器。

實踐完整資料保護，建立最強數位韌性

Veeam資深技術顧問陳紹鵬指出，不少人將資安視為成本，其實只要折中拿出3%做資料保護，便能有效防止企業環境遭破壞。但須注意，現今93%駭客主攻備份儲存庫，為此我們從法遵出發，從金融資安精進措施2.0等規範中拉出大方向，做好營運持續演練、強化資料保全，再以自動化達成上述目標，便有望建立足夠數位韌性。

Veeam長年專注發展資料保護技術，協助用戶高效執行演練、備份、還原、防勒、上雲，進而符合法規並通過驗證。係因Veeam可憑藉單一平台，全面支援實體機、虛擬機器、雲、Apps、SaaS或容器等業界最多元的工作負載，亦日復一日自動執行驗證，確保你的備份資料是否可用；另在備份時，透過AI確認其中資料有無問題、是否已遭入侵，經確認無誤，再放進無人可動的保險箱。

運用創新科技建立防線，防範數位經濟下安全風險

峰會第一天舉辦的兩場Panel，一是由IC之音‧竹科廣播「科技領航家」主持人朱楚文主持的「數位經濟下，產業如何透過上雲與創新科技因應資安風險」，與談人包括Authme共同創辦人暨執行長李紀廣、OneDegree集團資訊長Stanley Chou。

Stanley Chou認為隨著AI趨勢成形，已開始出現典範轉移。可預見愈來愈多的應用層，會從傳統Rule-based轉向機器學習ML-based。資安亦是如此，企業須確保其LLM不被攻擊者操弄、產生不正確或不公平回應，且有能力遏止數據洩漏或Prompt Injection風險。OneDegree可協助用戶執行紅隊演練、甚至達到演練自動化，以系統化機制驗證AI系統或LLM有無漏洞與風險。

李紀廣說，擅長金融KYC的Authme關注身分詐欺議題，研究如何防範駭客發動深偽（Deepfake）或AI詐騙；曾有因Deepfake而釀成某企業大筆財務損失之例，風險可見一斑。建議企業先從設備鑑別、MFA方法做起，分析是否為本人；若涉及網路交易或高風險交易，Authme可提供SDK協助用戶進行控管，識別影像來源是否為真，而非遭到中間人攻擊，亦確保並未被P圖過。

SSO＋MFA＋FIDO＋AI，打造阻駭反詐大防線

壓軸議程為「金融資安：以SSO／MFA／無密碼鞏固身分安全」Panel，主持人為朱楚文，與談人是富邦金控副總經理暨資安長蘇清偉。

蘇清偉強調，金融機構須確保客戶個資安全及交易正確性，故需防範因DDoS或勒索攻擊導致交易系統停擺。此外金融業者亦應關注防詐騙，富邦也花了許多心力來防範這一部分，避免影響與客戶之間的信賴。

富邦盡力讓假訊息儘快下架，不讓客戶接觸。但反制過程有其難度，因詐騙成本甚低，詐騙集團就算被迫下架，也會立即生成一樣的粉絲專頁。富邦曾因不斷檢舉、下架再生成，與詐騙集團週旋兩星期，所幸數發部意識到此事，要求網路廣告平台若被通知有刊登詐騙廣告，應於24小時內下架，可望增強防詐力道。

論及防駭與防詐關鍵技術，蘇清偉認為有SSO、MFA及FIDO，其中訴諸無密碼的FIDO，有機會成為身分驗證主流技術，係因驗證過程能有效避免帳密外洩。另一重要技術為AI，譬如北富銀為加強保護客戶個資隱私與交易安全，特别攜手刑事警察局開發「鷹眼模型」AI偵測技術，提升對可疑帳戶識別的精確性。