【跟上全球資安潮流眼光要準】關於臺灣廠商參與國際級資安產品評測，大家怎麼看？

近期，臺灣有資安新創奧義智慧的資安軟體產品服務，在國際舞臺上嶄露頭角，因為他們參加了一項MITRE ATT&CK評估計畫，能與眾多國際知名資安業者有比拚技術實力的機會，而這樣的一件事，或許大家更想知道其意義是什麼？

因此，我們將從以下幾個層面一一解析，包括這項評測為何受到資安界重視？企業又應該如何看待評測結果？而奧義智慧這次的經驗，是否能鼓舞臺灣資安人才，在資安產品研發這條路也可以勇闖國際？

透過評測結果完全公開的活動形式，促進資安產品發展

從MITRE評估計畫的思維來看，各界可以從公開網站上可以看到各廠牌的優劣，勤業眾信風險資訊服務協理陳威棋認為，每次評測也都是參照一個APT組織的攻擊，是相當不錯的一點。簡單來說，針對已發生的攻擊事件，都可能沒有辦法偵測到，那就更不用說面對那些未知的攻擊。攝影／洪政偉

為何資安圈很重視這項評估計畫？基本上，若要了解評測的意義與價值，我們對ATT&CK框架也要有一定的認識。

對於難以防範的APT攻擊，MITRE已經建立一套能更清楚描述駭客行為、意圖與作法的ATT&CK框架，並定義出共通語言，這對於盛行攻防與情資的資安業界而言，相當重要。

同時，MITRE本身也與一些大型資安業者合作，因此當有新的駭客攻擊手法被業者發現，也能彙整到架構之中，相對地，資安業者也可以應用此框架來溝通攻擊行為，企業也可用以評估自我防禦。而MITRE發起的評估計畫，也因為能模擬實際駭客組織的APT攻擊，加上是一種類競賽的活動方式，有助於各方評估之用，同樣受到多方關注。

對此，提供資安顧問服務的勤業眾信，本身在資安評估時也會用ATT&CK來談防禦的概念，針對評估計畫，他們也提出看法。該公司風險資訊服務協理陳威棋表示，由於每次評測都會參照一個APT組織，這是很不錯的思維，利用模擬真實駭客組織發生過的攻擊手法，將能檢視特定已知攻擊的偵測能力，像是這次模擬APT29的攻擊，由於該組織較少使用惡意程式，大多是無檔案式的攻擊手法，透過PowerShell入侵，就很特別，因此不同駭客組織其結果也有差異。更重要的是，外界都可以在網站上看到各家的詳細評測結果，相當透明。

對於評估計畫的發展與價值，有多年與MITRE的合作經驗，已經成立30年的臺灣資安大廠趨勢科技，也提出他們的觀察，而他們也是這次參與評測的廠商之一。該公司全球產品事業部陳韋良協理表示，趨勢科技之前就曾將新發現的駭客組織技術手法，提出到ATT＆CK框架，這次他們也有派出4人前往MITRE總部參與測試，他是其中之一，其他3位則是來自北美地區的同事。

從這次測試經驗來看，即便他們提到自家在整體偵測率表現是最好，不過趨勢科技也認為，藉由評測所得的資訊，將能讓他們能夠瞭解需要改進之處，這有助於產業開發更好的產品。例如，這次的純偵測模式，可有助於增強SOC的情報能力。

對於這樣的發展現況，陳韋良表示，從MITRE提供的ATT&CK Navigator就可看出，目前已經彙整了多達86個不同的APT組織，他指出，未來MITRE應該會加速評估計畫的進行，也就是每年評測次數會增加，以更多攻擊組織為設想，他們也樂觀看待其發展。

例如，趨勢科技有針對誤報率的問題，與MITRE討論是否要納入評測，只是目前還沒看到解決方法，至於現階段的評測主要聚焦在產品偵測能力，他們認為，後續將會加入產品防護成效的項目，畢竟各家產品策略不盡然相同，以他們自身的產品功能而言，在偵測之外，也更會強調關鍵之處的阻斷能力。

因此，這項評測有助於資安產品的設計，同時MITRE也在持續精進與擴大評測面向。

藉助評測結果找到最適合的產品，重點是瞭解自身資安資源

從另個角度來看，對於企業而言，ATT&CK框架對企業防護評估也有助益，而對於這樣的評測結果又該如何看待呢？已有不少專家給出分析與意見。

勤業眾信資訊服務副總經理林彥良表示，最主要的觀念，在於企業擁有什麼樣資安的資源，如此才能知道自己的需求，而他們常遇到的狀況是，客戶連需要什麼都不知道，只想要最好的，但其實應該是找最適合的。

而我們也在評估結果出爐之後，看到有國外專家Jonathan Ticknor將公司分成三種需求形態，像是SOC還不成熟、SOC較成熟，或是需仰賴MSSP，這是因為各自的環境與條件有差，看待測試結果的方式就會不同，他並提出自己的一套評分標準。而全球市調研究機構Forrester的資深分析師Josh Zelonis，也曾針對首輪評估提出自訂評分標準，對於第二輪評估，他則進一步從警告的效率與質量，討論警告品質的問題。

不過，林彥良也認為，這樣的評測確實是有幫助，但需要時間教育。如果只靠這樣的評測結果，就要讓客戶買單，其實還是不容易。主要也是ATT＆CK相當偏重攻擊技術層面，即使資訊人員能夠理解，但要用此評測當報告向老闆解釋時仍有難度。他也舉例，如果是金融業要拿評估計畫來衡量，會比較容易帶來幫助，但他曾接觸過國內的隱形冠軍企業，其資安防護就只有一個防火牆，基本資安防禦落差太大，要利用評估計畫來檢視就不太適合。

但無論如何，當國外已有很多討論的聲浪，而臺灣現在也開始越來越多人關注這件事，對於國內企業組織在資安方面的觀念與規畫上，應是相當有幫助。

特別的是，林彥良認為，依照MITRE的邏輯來看，這樣的評估計畫談的應該不只是單一產品，而是一個產品組合，或許，最後可能演變成不同產品結合的防禦平臺，也就是A＋B有更好的效果。

 學界觀點  資安人才培育從三大面向著手，本土資安產品要懂得行銷自己的品牌

關於國內資安業者參與ATT＆CK評測這件事，從不同角度來看，不只是本土品牌更容易被國際看見，例如，在這次評測結果之後，美國推出的知名創投機構Momentum資安地圖，也將奧義智慧納入。同時，這似乎也鼓舞了臺灣資安新創，因為突顯了我們的技術能力並不遜色。對此，我們詢問到臺灣科技大學資訊管理系特聘教授吳宗成，以了解現在的資安人才培育上，還能夠造就更多這類型人才嗎？

首先，吳宗成認為，現在國內不管資安新創與老將，都很願意投入人才的培育，這點值得肯定。接著，他從資安人才要有三個層次談起，包括資安技術人才、資安管理人才，以及資安政策人才，他認為，奧義智慧的的三位創辦人就符合這樣的條件。加上他們之前已有研發、創業的實戰經驗，因此，新的產品開發上，已經累積了足夠的經歷。

對於臺灣發展本體資安軟體產品的挑戰，以及需要的條件，吳宗成表示，首先的挑戰，就是國內市場規模不夠大，創業資金取得有難度，如果企業在初期沒有穩健的發展，可能很難撐得下去，更重要的一點，要建立自己的品牌其實不是那麼容易，他從管理角度說明，建立品牌的成本，其實要比技術成本還高。而在國際市場行銷上，他認為品牌行銷更是一大障礙，而語文表達能力是相當大的關鍵，這些都是可以思考的面向。