編輯部智安佈局・零信不疑《2025 NMT 資安即未來論壇-新竹場》第一場專題演講,由國家資通安全研究院通報應變中心/台灣電腦網路危機處理暨協調中心 (TWCERT/CC) 主任孫偉哲主講,從全球風險到在地產業現況,孫偉哲主任以最新研究與通報實務,勾勒出企業在下一個會計年度應優先補強的治理環節:備份與復原的可驗證性、 IT/OT 整合下的邊界控管、情資導入節奏化,以及在生成式 AI 浪潮下的 AI 治理與評測。
本文目錄
全球資安威脅綜觀:勒索攻擊未退場,AI 成為變因放大器
根據世界經濟論壇 (WEF)2025 年資安領域風險觀察,企業最關注的威脅仍是勒索攻擊,其後依序為網路詐欺、供應鏈侵擾、內部攻擊、錯假資訊與 DoS/DDoS 。與此同時,報告指出 AI/ML 技術對未來一年資安的影響最為顯著,但僅約四成企業組織在導入 AI 工具前會先進行安全評估。這個落差意味著,AI 本身不一定帶來全新攻擊面,但確實會「放大」既有手法的效率與擬真度,使社交工程、釣魚電子郵件與自動化入侵工具更易取得、更難識別。
回到台灣脈絡,業界對勒索攻擊、漏洞攻擊、社交工程與資料外洩的警覺度仍最高。相較一般製造業,高科技製造更關注資安漏洞與零時差弱點(N-day 與 0-day)帶來的影響。 VulnCheck 對 2025 年上半年 KEV(Known Exploited Vulnerabilities) 統計顯示,上半年有 432 個 CVE 漏洞首次被利用,其中 32.1% 在公告 1 日內即出現攻擊跡證,較 2024 年的 23.6% 明顯攀升;被利用的產品橫跨 Microsoft 、 Cisco 、 Apple 作業系統、 VMware 與多款網通設備,反映攻擊者持續鎖定週邊設備與常見基礎架構元件。
在政府與學研場域,風險重點則落在國家資助的組織型攻擊者,常以社交工程搭配漏洞與零時差弱點發動攻勢。整體而言,「社交工程威脅+資安漏洞濫用」仍是企業最主流且最有感的風險組合,而 AI 相關風險的「體感溫度」相對滯後於實際風險的生成速度,容易形成判斷落差。
自主實務趨勢研析:三大攻擊趨勢與兩項常用手法
綜整通報與事件調查,孫偉哲主任歸納出三大攻擊趨勢:其一,鎖定週邊設備與網通設備發動攻擊;其二,資安意識落差,社交工程結合 SEO 汙染引流誘騙使用者;其三,供應鏈攻擊橫向擴散。此外,兩項最常見的手法為「既有/未知弱點利用」與「社交工程電子郵件」。
從實際案例來看,曾發現攻擊者建立一個可下載的漏洞工具庫,專門提供 VM 雲端平台與 F5 、 Juniper 、 Ivanti 等設備的弱點;亦有國際廠商報告指出具國家資助背景的駭客集團,對台灣半導體產業發動釣魚與滲透行動,與其供應鏈自給自足的國家戰略相呼應。
AI 與資安威脅:從 AI-driven attack vector 到 AI 治理
在攻擊面,研究顯示以 AI 生成或強化的社交工程電子郵件年增幅度顯著;OpenAI「Disrupting malicious uses of AI」系列觀察,也揭露多來源、跨語系的駭侵群體使用 ChatGPT 協助撰寫釣魚郵件、惡意腳本,甚至發展大規模監控的分析工具。企業最擔心的則多集中在 AI 模型本身的風險,包括提示注入 (prompt injection) 、資料投毒 (data poisoning) 、資料竊取 (data extraction) 與模型濫用等。
在防護與治理面,孫偉哲主任強調「AI 治理 (AI governance)」作為基礎框架的重要性:使 AI/ML 技術在研發與落地過程均符合法規、安全與道德要求;同時介紹由數位發展部與資安院、工研院合作成立的「AI 產品與系統評測中心(AIEC)」,其評測項目參考 NIST AI RMF 、 ISO 24028 與歐盟規範,規劃 10 項 AI 評測指標,目的在於建立可驗證、可追蹤、可被第三方檢核的 AI 安全基準。
IT/OT 整合下的邊界治理:把「不中斷」建立在紀律之上
製造情境的現場風險,往往源自 IT 與 OT 邊界的模糊與例外累積。從權限控管與網段分段,到通訊協定限制與允許清單,邊界設計必須可檢核且可演練;對外連線、韌體升級與遠端維護需要成文流程,避免臨時例外長期存在。電子郵件依然是最致命入口,常見的「加密壓縮檔+密碼」手法可以繞過前端內容掃描,穿越後再以巨集或腳本開啟攻擊鏈;而語音釣魚則運用 AI 仿聲,結合冒名身分與緊急情境,直接對人因決策施壓。高科技製造的外部設備繁多、拓樸複雜,任何以「方便維運」為名的例外,都可能成為看不見的通道。
情資驅動防護:把「已知」轉為 SOP 與指標
孫偉哲主任以 TWCERT/CC 的四類情資服務說明如何將情資導入成為例行機制:活動預警(發現共通性與潛在攻擊活動)、入侵事件(提供受害企業應處以降低影響)、漏洞情資(高風險弱點公告與 KEV 每週彙整)與入侵指標(IoC 類型包含 APT 、 BOT 、挖礦程式、勒索軟體等)。對企業而言,關鍵在於建立「節奏化」的作業鏈:
- 例行追蹤 KEV 與供應商公告,對映資產清單與風險評分,形成修補時程與例外管理的雙軌。
- 在邊界與端點落地 IoC,並建立封鎖、觀察與誤判回饋的閉環,確保有效性。
- 維護資產臺帳與設定基準,使異常能被即時看見、被量化、被回溯。
透過這些作法,企業能把「知道有風險」轉化為「做到能防守」,使通報、預警、弱點治理與演練成為營運日常的一部分。
建議與結論:資訊安全=風險評估+資源投資/管理規範+技術落實
綜合而論,資安不是保證「不會出事」,而是在不確定中選擇可承受的風險並投資於韌性。治理優先順序包括:
- 注意周邊設備、網通設備、應用程式與對外服務的軟硬體更新,及時修補避免遭利用;
- 導入多因子認證與零信任架構,強化帳號權限管理與認證強度,降低單點突破擴散風險;
- 持續強化個人資安意識,面對 AI 技術驅動的社交工程、冒名與詐騙攻擊;
- 在生成式 AI 的應用上,以 AI 治理與第三方評測機制(如 AIEC)建立可驗證的安全底線。
當備份與復原、弱點與資產管理、邊界與權限控管,以及情資與演練都被制度化,企業就能在威脅持續演化之際,將風險收斂在可控範圍,並把「不中斷」建立在紀律與證據之上。
《2025 NMT 資安即未來論壇-新竹場》精彩議程會後報導
- 台灣駭客協會理事王仁甫:AI 驅動下的製造業資安戰線,從內部治理到外部攻擊的全方位防禦
- 智安佈局掌握資安:Fortinet 揭示 AI 時代的資安防護新策略
- 零信任、零複雜 Forescout 以動態授權管理實現全面資產掌控
- 守護資產的未來:零信任安全架構實踐 Array Networks 打造安全遠端存取新標準
- 產業轉型必備:全面內網安全管理託管 中飛科技 FAiRGUARD 五大服務建構內網防護體系
- 資安升級為企業增加競爭力:AI 驅動零信任架構 Citrix 以 VDI 、 ZTNA 與企業瀏覽器打造資料不落地防護體系
- 向左走的資安:憑證管理自動化 & 漏洞 AI 修補 力悅資訊展示 AI 驅動的漏洞修補新思維
- 加強營運技術環境的資安韌性 Trellix 提出 OT 安全防護新思維