隨著企業網路安全及資安長成當紅議題，企業紛紛思考如何達到合規且最有效益的資安防護。攻擊型資安公司 DEVCORE 戴夫寇爾今（23）日受邀參與台灣微軟和科技報橘舉辦的「企業資安年度檢驗攻略」線上論壇的主題焦點對談，分享評估風險優先次序、檢視企業資安體質、資安人才培育等三大主題，並與台灣微軟、安永諮詢服務共同探討如何協助企業厚植⾃⾝資安能量，在瞬息萬變的資安戰場上做好萬全準備。

AI 成資安新武器　遵循法規仍不足、訂定風險優先順序成策略重點

黑色產業鏈盛行，全球網路攻擊量持續攀升，而AI（人工智慧）、Deepfake（深偽）、元宇宙等技術或新概念的問世，更造就更多難以防範的攻擊手法。據 DEVCORE 戴夫寇爾觀察，AI 正成為資安戰場最新武器，攻擊方會透過 AI 佈建自動化殭屍網路（Botnet）、分析竊取得手的資料，甚至以 Deepfake 影片以假亂真進行社交工程攻擊。除此之外，對駭客而言，利用弱密碼、不良資安習慣、cookie 設定等人性弱點所進行的攻擊和存取權控制，遠比尋找零時差漏洞（Zero-day exploit）更省時且省力，這也使得「身分驗證」成為資安配置上的一大威脅。據微軟資安專家觀察， 98% 攻擊都與身分驗證及存取控制有關。

面對 AI 和新技術的應用，搭配更大規模、縝密規劃的攻擊行動，DEVCORE 戴夫寇爾執行長翁浩正認為，企業除了遵循資安法規以外，正確評估並辨識風險的優先次序，更是資安防護的重中之重，企業應定期透過紅隊演練、滲透測試等具備「駭客思維」的方式進行防禦重點評估，降低攻守兩方的資訊不對稱，優先保護高價值資產、找出可被攻擊者立即利用的漏洞，如常被忽略的網路邊界等，進而確保對風險評估具有足夠的真實性。

DEVCORE戴夫寇爾執行長翁浩正表示：「以DEVCORE戴夫寇爾客戶演練經驗為例，企業雖然已採購相當完善的資安設備、通過多項資安稽核，但因攻守雙方著眼的重點不一致，導致在紅隊演練時仍被取得 97% 初始控制權限、7 成核心系統控制權限。做到法遵並不代表可高枕無虞，需要真實性要夠高的風險評估，對企業才有幫助；企業需理解真正的風險是什麼、在什麼資產上發生、發生的可能性及衝擊等，並以『攻擊者的視角』來制定安排優先次序。」

綜合 AI+駭客思維檢視資安體質 資安策略全面升級

此外，隨著攻擊型態不斷更新，企業制定資安管理架構時，已逐漸從過往Rule-Based （規則導向）轉變為 Machine Learning-Based（機器學習導向） 的策略，許多企業已開始透過機器學習的技術，判斷攻擊行為並協助企業分析出可能發生的攻擊，降低過往企業內部人員在思考防禦手段上的不周全和侷限性。

對此，DEVCORE戴夫寇爾執行長翁浩正提醒，「攻擊手段會持續推陳出新、也可能會避免使用已被偵測過、重複的手法來進行攻擊；在國家標準技術研究所（NIST）資通安全框架的五大面向—識別、防護、偵測、回應、復原中，AI或許可以做到識別、防禦和偵測，但在『回應』及『復原』的能力上，企業仍需要透過理解攻擊方的思維，定期演練防守方的應變能力，才能確實評估資安防護的效益、全面提升資安體質。」

資安人才培育成課題　加深台灣防護能量

最後，面對資安人才缺口的議題，台灣微軟資安專家技術部副總周彥儒建議，「企業往往在出事了才找資安人才進來。但其實在數位轉型初期就應納入資安人才，並賦予資安人才使命感，同時建立全體員工的資安思維。」與談的安永諮詢服務資深經理白鎮瑋則指出，「資安技能及知識橫跨眾多領域，人才須同時了解法規與國際標準、攻擊技術與防禦、安控機制、系統整合等，企業難以在短時間內尋得這樣的人才，而這正是現今業界缺才的主因。對於人才的尋覓，短期內可透過外部的專家顧問協助強化企業資安體質，長期來說，深耕培養企業的資安意識與育才才是根本之道。」

除了尋找合適的資安人才，DEVCORE戴夫寇爾執行長翁浩正分享，「資安人才的培育也是企業的重要課題之一，資安人員可將『風險識別』作為第一步，不間斷地學習新手法、培養更完整的技能樹，更重要的是訓練攻擊方的思維，進而協助企業做好因應風險的準備。」 DEVCORE 戴夫寇爾也持續透過舉辦戴夫寇爾全國資訊安全獎學金計畫、贊助資安教育社群活動等行動，鼓勵更多潛力人才關注資安議題、強化資安技能，進而為台灣培育更多具駭客思維的資安人才，強化台灣資通安全的整體防護能量。