政府要帶頭培養APT防禦人才

APT攻擊不斷演化改變，看似企業防不勝防，但是，艾斯酷博科技首席資安研究員邱銘彰表示，沒有所謂的完美犯罪，也沒有完美的不在場證明，一定會留下指紋、錄音錄影、或是遠端遙控記錄等，企業想要抵擋駭客入侵，得先知道駭客成功滲透的手法，例如駭客利用了什麼安全漏洞或是企業防範體系中的弱點來入侵。

邱銘彰表示，一個良好的資安防禦體系，不能害怕被入侵，唯有駭客入侵後，啟動資安事件調查，才能了解惡意程式的攻擊目標，掌握背後控制惡意程式的中繼站，也才能從中了解駭客是為什麼要攻擊企業。企業可以將調查後發現的經驗，回饋至企業自身的防禦體系中，修補這些被發現的弱點或漏洞，就能提升企業防禦能耐。邱銘彰表示：「從錯誤中學習，才能讓企業防禦體系自我成長，下次駭客勢必要耗費更多的成本資源入侵，企業甚至可成功阻擋駭客攻擊。」

但是，大手筆採購了各式各樣的資安設備後，企業就足以抵擋APT攻擊嗎？邱銘彰認為，缺乏好的資安鑑識人才，空有具備防範功能的資安設備，也無法有效發揮，就像頂級的賽車也需要頂尖的賽車手駕馭，才能在每場賽事戰無不勝。

例如，有些企業花費大筆預算建置了資安監控中心（Security Operation Center，SOC），但卻還是聘請工讀生來查看資安產品搜集到的Log紀錄，而不是聘請專業的資安人員來分析，這樣也無法有效地發揮SOC的功用。

而且，邱銘彰表示，企業還需要自己擁有這樣的資安鑑識人才，而不能只是依賴委外廠商，來滿足這樣的人力需求。邱銘彰進一步解釋，很多公司的IT作業和內部運作流程程息息相關，委外廠商往往不熟悉這些細節，也就無法知道哪些重要業務由哪些員工負責，這就難以辨別誰最可能成為駭客鎖定的頭號目標，或者是企業中哪些部門的哪些員工，被攻擊的風險比其他員工更高，資安人員缺乏這些了解，就無法建立起有效的防禦體系。

邱銘彰建議，企業或政府單位應該建立制度來累積防禦情報，訂定資安作業的SOP，就算是負責的人員離職了，下一位要接手資安鑑識作業的人，除了自身專業能力再搭配這些SOP的輔助，就能夠盡快上手。企業可以挑選具有資安鑑識能力的內部員工，或是培訓員工，自組資安鑑識團隊，才能從資安事件中吸取經驗，駭客從哪裡進入，了解資料為什麼外洩，學到駭客是怎麼看待企業的IT架構，知道企業根本的漏洞在哪。

不過，回歸現實面，在臺灣，企業想要尋覓好的資安鑑識人才，一直都是個挑戰。邱銘彰表示，因為臺灣沒有資安產業，白帽駭客沒有市場也不是個職業，投身這份工作的人多半是因為自身興趣而投入，資安廠商越來越少，紛紛倒閉，可見資安產業前景不被看好，而且，許多具有資安能力的人才都四散在各企業中擔任網管、工程師等其他職務，造成臺灣資安人才沒有匯聚起來相互學習，甚至累積茁壯來培養更多人才。

不只暨有的資安鑑識人才不足，新人才補充的力道也弱，社會對駭客通常只有不好的印象，家長往往認為，投身這個領域無法賺錢，也不鼓勵小孩往這個領域發展，因此資訊新血很難投入資安領域。

邱銘彰建議，要由政府帶頭扮演產業發展的推手，從政策面來克服廠商為了自身利益和市場競爭，而不願意參與產業發展的問題。

例如像政府韓國為了發展遊戲產業，先透過政策來刺激內需，韓國政府要求大公司贊助遊戲比賽，將遊戲比賽昇華成電子競技賽，就像職業棒球一樣，由企業來認養遊戲團隊。這樣一來，韓國的遊戲產業開始慢慢成形，更多遊戲社群成立，遊戲開始成為社會認可的活動，遊戲廠商也可從比賽中賺到門票與知名度等，遊戲進一步就變成大家認可的職業運動。

而且，當年輕人玩遊戲的能力超群，甚至可以直接加入韓國國軍的遊戲戰隊參加比賽，來代替服兵役。讓年輕人不會因為當兵，疏忽了遊戲技能的訓練，中斷了實力的養成，削弱了遊戲新人才的持續培養。韓扶持遊戲產業的經驗，也同樣運用在扶植資安產業上。例如韓國政府會向家長宣導，駭客或資安相關工作未來是有出路的好工作，例如小孩參加駭客比賽未來服兵役時可以改服較輕鬆的替代役，也可以到大公司上班，甚至能變成終身工作。

韓國人口雖只有臺灣人口的2倍，卻有超過2百家的資安廠商，這數量反映出韓國資安產業的蓬勃發展。邱銘彰表示，要讓民眾認為資安相關工作可以賺錢，這個產業是有前景的，並讓企業找得到人才繼續發展，才能產生正向循環。

在臺灣，政府也漸漸比過去更重視資安人才的培育工作，例如今年的臺灣駭客年會，首度由行政院科技會報辦公室副執行秘書黃彥男開場致詞。可見政府開始正視駭客社群，參與駭客人才聚會。

黃彥男更表示，政府相當重視資訊安全，也會重視資安人材的培育，「是否有像韓國一樣的（駭客人才培育）計畫，現在還在討論中。希望不久的將來，會有明確的做法。」

行政院資通安全辦公室主任蕭秀琴也表示，政府確實有必要對駭客社群多一些了解和關心，資安人才培育是強化國家整體資安能力十分重要的一環，相關機關原先就有投入資源辦理中，她也表示，未來，行政院資通安全辦公室會繼續加強這部分的工作。

邱銘彰認為，韓國資安產業成功的發展，相當值得臺灣借鏡參考。當資安產業成形，白帽駭客就有機會變成一種終身職業，有了專業人才的供給，更有機會滿足資安產業、企業和政府的需求，提升臺灣整體的資安能量。