Security Summit 2024：强化网安治理，打造决胜未来的超凡韧性

为期两日的网安峰会，齐聚产官学研多位网安专家，为台湾企业擘划网安韧性蓝图，图为开幕合影。左起：卡巴斯基台湾销售总监黄茂勳、Synology台湾事业处总经理李乾玮、趋势科技台湾暨香港区总经理洪伟淦、DIGITIMES暨IC之音董事长黄钦勇、数码发展部政务次长阙河鸣、国家资通安全研究院院长何全德、AWS台湾暨香港总经理王定恺、台北金融研究发展基金会董事长周吴添、亚利安科技网安技术支持部协理王添龙。DIGITIMES摄

近年网安攻击事件越演越烈，除了令人闻之色变的勒索软件攻击、钓鱼邮件／网站攻击、社交工程攻击、漏洞攻击依旧猖獗外，肇因于企业使用开源软件元件或函式库所衍生的供应链攻击，亦使得许多企业猝不及防，因而酿成关键服务停摆的悲剧。

更让人担心的，随着生成式AI爆红、混合云架构盛行，加上地缘政治情势升温，种种变量接踵而至，而台湾向来是频繁遭受攻击的热门区域，今后的网安情势恐怕更加凶险，看来并无缓解迹象。

着眼于此，DIGITIMES特别开启Security Summit 2024网安峰会活动。在第一天议程中，聚焦于「软件x治理x人才」主题，期望协助企业翻转网安防护架构与观念思维，更有自信地应对各种网安挑战与考验。

重新定义／定位／定价，紧扣AI爆发商机

DIGITIMES暨IC之音董事长黄钦勇表示，2024年是动荡的一年。2023年底的时候，业界原本期待2024年PC与手机回温，结果仅有1~3%微幅成长；另期待电动车带来新商机，车用半导体却呈现负成长状态。然而AI加速器则令人惊艳，增幅不是用百分比算、而是高达2.5倍。

世局多变，导致AI气势如虹、正在颠覆我们的世界。欲解读AI带来的爆发性商机，必须理解Top-Down决定产品规格已然远去，取而代之的是Bottom-Up时代，市场需要的是快速回应、技术超前的生态系统服务；过去数十年已淬链深厚基底的台湾，将迎来莫大机遇。

有人说AI吃掉软件、软件吃掉硬件，黄钦勇同意这般论点。但正所谓相依、相生、相克，硬件吃掉AI的可能性相当大，因为「做不出来就赢了」，台湾不管半导体、服务器等产业无可替代，因此我们必须善用新的工具与方法，重新自我定义、定位与定价，在AI引爆的价值翻转中跻身大赢家。

政府防范AI风险，修正电子签章法并成立AI评测中心

数码发展部政务次长阙河鸣指出，展望今后有几个重大政策方向值得留意。环顾国家希望工程政策，总计八大施政目标中就有两个与网安相关，首先是韧性台湾，旨在推动网安联防、强化数码韧性，保障安全与民主。

其次是产业网安、网安产业。分析民间企业网安投资，一些知名的大型电子公司其实无需担心，真正需要关注的是中小企业，他们经常遭受勒索攻击。因此未来中小企业将是政策着力重点，会给予一些资源，帮助他们满足基本网安需求；如产业署推动的DIGITAL+数码服务创新补助计划，就带有这样的意涵。

至于下一重点正是AI。数发部很早就预见AI一定会衍生网安议题，也在一年半前研究深伪诈骗，尽管迄今尚无完整答案，但已研拟一些方法，所以着手修正电子签章法，并且成立AI评测中心；与此同时会在公家机关积极推展零信任架构，希望中央部会在未来1~2年内导入完毕。

有效与可靠，为AI可信任的基石

国家资通安全研究院院长何全德强调，AI引爆全新的典范和机会，不仅加快双轴转型速度，也让许多企业面临极大压力。所以据统计，全球逾六成CEO表示无论2024年经济状况如何，都会持续投资AI。

尽管GenAI带动人类效率、效能与智力全面钜变，但持平而论AI是矛也是盾，虽有转机但也存在危机，故需留意风险治理问题，以期兼顾Speed和Security，让我们可以安全地利用AI潜力，最大限度降低相关风险。传统软件基于程序逻辑，易于预测输出，但LLM涉及上千亿参数，无人能精确掌握其生成之道，可能带来独特甚或加剧的风险。

所以企业思考AI风险治理时，除需考量传统CIA外，亦需注意Abuse与Misuse，防范不尽真确的AI幻觉议题，确保AI与人世间的道德价值对齐；诚如NIST观点，有效与可靠是AI可信任的基石，因此数发部规划成立AI产品与系统评测中心，道理便在于此。

借力云端AI科技，避免攻防武器不对等

AWS台湾暨香港总经理王定恺说，IT产业经常存在一些刻板印象，如老板或IT主管认为有使用VPN、通过ISO 27001认证、安装防毒软件及防火墙，且将数据锁在公司机房不上云，就安全无虞。殊不知黑客已采用先进技术与思维，用GenAI来发动攻势，导致你的防御武器不对等，因而陷入险境。

「GenAI正在改变网安运作，黑客已用枪炮，你岂能耍大刀？」王定恺认为别人道高一尺、我们就要魔高一丈。以亚马逊为例，因年营收逾5千亿美元规模，一向是黑客觊觎目标，故内部早已建立「Security is job zero」文化，期望打造最安全云端环境，让同仁安心探索新技术；另善用AI科技持续升级防御武器，时时侦测与分析黑客异常行为，并自动化展开反制移动，不断增强事故应变能力。

存取控制＋可视性＋日志稽核，扎稳混合云网安基本功

趋势科技台湾暨香港区总经理洪伟淦表示，近年威胁态势险峻，造成网安议题日益火热。深究其因，为新兴科技催化数码转型快速发展，而云端是转型过程最关键的新兴技术载具，加上大家对云端不了解，以致衍生网安问题，包括纯云端或云地混合攻击模式皆有。

云地网安差别何在？攻击手法其实差异不大，但云端变动快、冲击大，尤其基础架构程序（IaC）带来便利但也伴随Access Key外泄及被盗用风险。应对这些挑战，建议企业务必订定云端网安政策且严格执行，其中须涵盖存取控制、可视性、稽核（云端日志保存）、自动化（Security as Code）等重点。例如利用云端安全态势管理（CSPM）工具比对Log，厘清有无错误设定情形；或针对Github执行Hunting，检查是否有Access Key不慎被丢上Github。

结合零信任、AI与PQC，因应网安新挑战

亚利安科技网安技术支持部协理王添龙呼吁，面对网安新挑战，企业应尽速研拟AI、量子运算冲击加密机制的因应对策，再结合零信任与AI技术，打造动态且智能的网安防护，有效应对日趋复杂的网安法规，确保数码转型旅程一路安全合规。

综观多项法规，「加密」出现频率甚高，包含网安法、金融网安移动方案2.0、行政院建议之数据安全管理措施、安维办法，乃至ISO 27001新增控制项目均有相关规定。惟值得一提，因量子运算恐破解现行PKI，企业宜着手将加密机制升级至后量子口令学（PQC）；接着应盘点资源存取途径，以零信任深化网安防护。

掌握威胁情报，提升网安维运效能

卡巴斯基（Kaspersky）台湾销售总监黄茂勳表示，近年Kaspersky提倡一项很特殊观念「网络免疫」，为一个简单概念，藉由垫高攻击成本与时间、使其得利益不及这一切，让黑客放弃攻击念头，而实现此目标的关键养分便是情资。

Kaspersky认为，欲使SOC中心的数据更广泛，务必建立好端点安全、威胁情资、安全日志三大要素。其中情资对SOC至关重要，故应善用第三方网安厂商提供的大数据情资，达到快速定位问题根因的效果。为此Kaspersky提供CyberTrace平台，主动吐数据给企业，让企业轻易获得全球IP Reputation，包含C2主机的URL与相关IP、恶意程序的Hash，且更新速度甚快；企业只要加以比对，便可迅速揪出潜在祸患、提升安全维运效能。

完整实践数据保护，加速达成ISO 27001合规目标

群晖科技（Synology）台湾事业处总经理李乾玮指出，迄今群晖于全球累积销售逾千万台NAS，近年着眼用户对数据应用需求转变，逐渐聚焦四大领域，涵括数据储存、数据备份暨灾难复原、企业生产力、智能影像监控；其中备份与容灾更是企业满足合规的重点。

群晖建议客户从ISO 27001出发，系因它涵盖RTO／RPO、还原演练计划、备份3-2-1等基本规定。归纳ISO 27001在数据保护的重点有四，分别是保护来源数据、确保备份可⽤性、建构备份可还原性、多元还原及随需取回。群晖对这些要点着力甚深，例如以Active Backup免授权软件协助满足各个平台的备份需求；透过Hyper Backup满足备份3-2-1；藉由新推出的备份一体机ActiveProtect，助用户透过CMS集中管理单一丛集下至多达2,500台备份服务器。

循序建构零信任，为网安事件预做准备

勤业众信联合会计师事务所资深执行副总经理简宏伟认为，零信任概念是自然而然产生的，系因传统网安防护需要设定边界，但如今边界定义渐趋模糊，迫使企业须从另一角度思考风险管理，甚至将网安导向治理角度；此时即需从「零」开始发展服务与建构环境。

他提示几个做好零信任的重点。例如将内网视同外网、从部门别来区隔网络甚至建立微分段，把每个Entity视为边界、个个变成验证主体。针对特权帐号管理，一定限缩到最小。蒐集充分的Log，做为信任推论的基准。以及推动零信任先不急着买Solution，务必先盘点你要保护的是什麽，再据此调整网络架构，会比较容易。此外从高风险低冲击的场域开始试做，再根据个中经验建立SOP。

以多层次防御，遏阻人为错误引发的网安风险

HENNGE台湾惠顶益行销经理张克豪点出，谈到企业最需警戒的网安风险，钓鱼网站与社交工程手段肯定名列其中，它们与其余风险最大不同，在于都是针对人的攻击，任凭企业布建再先进的防御系统、也终究防不胜防。

建议企业应对此建立多层次防御。第一层先做社交工程／钓鱼信件演练，借此培养员工网安意识，练习事件发生时的正确应对。第二层为数据外泄防护（DLP），即便有人不慎受骗，在对外传递机密过程，亦可适时拦阻。第三层是身份识别控管做为最后防线，如启用SSO或MFA，避免身份外泄造成网安疑虑。针对上述三层，HENNGE分别提供Tadrill、Email DLP／File DLP、Access Control／Device Certificate等完整方案。

部署新一代DDoS防线，瓦解地毯式攻击

A10 Networks台湾区技术总监陈志纬表示，据DBIR报告，2023年DDoS占所有攻击40%堪称头号威胁。但值得留意，现今DDoS与过往有所变化，单凭传统防御机制恐因无法分析DDoS攻击类型，导致误挡或漏挡。

以往企业依阀值启动防御机制，反观现在DDoS多是地毯式攻击，攻击目标分散化，以致单一目标的量不大、不会触发阀值。所以做为新一代DDoS防御，首先要能藉助多元化感知器，达到精准侦测。其次要有防御等级之分，无攻击时不放任何Policy，力求不误拦；当攻击流量进来，则动态依据Level 1~4严重等级启动对应规则。再者由机器取代人来自动化分析攻击型态，让计算时间从30~60分钟骤减至5分钟内，以便及时迅速套用至防御设备。而A10的Thunder TPS，便是符合这些条件的新时代防御利器。

实践完整数据保护，建立最强数码韧性

Veeam资深技术顾问陈绍鹏指出，不少人将网安视为成本，其实只要折中拿出3%做数据保护，便能有效防止企业环境遭破坏。但须注意，现今93%黑客主攻备份储存库，为此我们从法遵出发，从金融网安精进措施2.0等规范中拉出大方向，做好营运持续演练、强化数据保全，再以自动化达成上述目标，便有望建立足够数码韧性。

Veeam长年专注发展数据保护技术，协助用户高效执行演练、备份、还原、防勒、上云，进而符合法规并通过验证。系因Veeam可凭藉单一平台，全面支持实体机、虚拟机器、云、Apps、SaaS或容器等业界最多元的工作负载，亦日复一日自动执行验证，确保你的备份数据是否可用；另在备份时，透过AI确认其中数据有无问题、是否已遭入侵，经确认无误，再放进无人可动的保险箱。

运用创新科技建立防线，防范数码经济下安全风险

峰会第一天举办的两场Panel，一是由IC之音‧竹科广播「科技领航家」主持人朱楚文主持的「数码经济下，产业如何透过上云与创新科技因应网安风险」，与谈人包括Authme共同创始人暨CEO李纪广、OneDegree集团信息长Stanley Chou。

Stanley Chou认为随着AI趋势成形，已开始出现典范转移。可预见愈来愈多的应用层，会从传统Rule-based转向机器学习ML-based。网安亦是如此，企业须确保其LLM不被攻击者操弄、产生不正确或不公平回应，且有能力遏止数据泄漏或Prompt Injection风险。OneDegree可协助用户执行红队演练、甚至达到演练自动化，以系统化机制验证AI系统或LLM有无漏洞与风险。

李纪广说，擅长金融KYC的Authme关注身份诈欺议题，研究如何防范黑客发动深伪（Deepfake）或AI诈骗；曾有因Deepfake而酿成某企业大笔财务损失之例，风险可见一斑。建议企业先从设备监别、MFA方法做起，分析是否为本人；若涉及网络交易或高风险交易，Authme可提供SDK协助用户进行控管，识别影像来源是否为真，而非遭到中间人攻击，亦确保并未被P图过。

SSO＋MFA＋FIDO＋AI，打造阻骇反诈大防线

压轴议程为「金融网安：以SSO／MFA／无口令巩固身份安全」Panel，主持人为朱楚文，与谈人是富邦金控副总经理暨网安长苏清伟。

苏清伟强调，金融机构须确保客户个网安全及交易正确性，故需防范因DDoS或勒索攻击导致交易系统停摆。此外金融业者亦应关注防诈骗，富邦也花了许多心力来防范这一部分，避免影响与客户之间的信赖。

富邦尽力让假信息尽快下架，不让客户接触。但反制过程有其难度，因诈骗成本甚低，诈骗集团就算被迫下架，也会立即生成一样的粉丝专页。富邦曾因不断检举、下架再生成，与诈骗集团周旋两星期，所幸数发部意识到此事，要求网络广告平台若被通知有刊登诈骗广告，应于24小时内下架，可望增强防诈力道。

论及防骇与防诈关键技术，苏清伟认为有SSO、MFA及FIDO，其中诉诸无口令的FIDO，有机会成为身份验证主流技术，系因验证过程能有效避免帐密外泄。另一重要技术为AI，譬如北富银为加强保护客户个资隐私与交易安全，特别携手刑事警察局开发「鹰眼模型」AI侦测技术，提升对可疑帐户识别的精确性。