臺灣第一個以企業科技品牌名稱加入FIRST，華碩電腦ASUS打造資安新里程碑，一趟務實的資安國際之旅

在全球數位威脅日益複雜的今日，企業資安已不再是單純的技術防禦，更昇華為一種戰略高度與國際合作的體現。面對瞬息萬變的網路戰場，全球知名的電腦品牌華碩電腦（ASUS）去年12月宣布，正式加入國際資安事件應變小組論壇（Forum of Incident Response and Security Teams，FIRST），此舉不僅是該公司資安策略深化的重要里程碑，更彰顯其對產品安全和社群共好的積極承諾。

華碩電腦資安長金慶柏表示，該公司此次選擇以企業品牌名稱「ASUS」加入FIRST，而非是以CSIRT或PSIRT名稱加入，就是跟國際品牌大廠，如Apple、Dell、HP等看齊，強調華碩電腦的資安，已經涵蓋資安事件處理的CSIRT，以及產品安全的PSIRT等兩種角色，不會有所偏廢。

企業資安組織的蛻變，從虛擬團隊到專責中心

華碩電腦的資安轉型之路，可追溯至2020年。華碩電腦數位安全中心前瞻威脅分析師許宗仁指出，早在2020年5月，該公司便已成立「資訊安全委員會」。他表示，這個委員會在董事長的監督管理下運作，並已包含資訊安全事件應變團隊（CSIRT），以及產品安全事件應變團隊（PSIRT）的虛擬編組。

「最初，華碩電腦內部資安議題缺乏跨團隊協調的平臺，各產品團隊在面對漏洞（如CVE申請）時，往往各自摸索解決方案。」許宗仁回憶道。而資安委員會的成立，正是為了解決這一痛點，讓各單位能將資安需求和遇到的問題提出討論，形成經驗交流的平臺，例如，對於產品漏洞如何申請CVE編號的工作，過去不同單位各自想辦法，現在則能透過委員會與TW-CERT建立統一的申請管道。

金慶柏回憶，他在2021年開始擔任資安長一職。華碩電腦在9月正式設立資安專責單位「數位安全中心」，並同時設立了資安長職位。

金慶柏表示，這個時間點，其實早於主管機關對上市櫃公司設立資安專責單位，以及設立資安長的要求，充分展現了華碩電腦將資安「務實不務虛」的決心，並非僅為法規合規而已。當時，華碩電腦執行長已明確指示：「資安這件事情，沒事就沒事，但是，出事就是大事。」因此，高層拍板決定成立專責團隊。

許宗仁進一步說明，在數位安全中心之下，他們於2023年1月1日成立「威脅監測暨事故回應部門」，此部門正是CSIRT和PSIRT的核心所在，同時涵蓋安全開發、安全架構及資安治理等職能。

華碩電腦數位安全中心資深經理劉諭聰補充說明，「資訊安全委員會」的成員組成廣泛，涵蓋至少15個事業單位，以及眾多功能性與核心運作單位，如人資、財務、法務、客服、公關、業務等。

他表示，實際處理CSIRT相關事務的人員約有50人，形成一個龐大的虛擬團隊；這個團隊每月定期召開月例會，由資安長金慶柏主持，副董事長及兩位共同執行長皆會參與，目的就是確保高層的指示能有效傳達至各單位，並讓跨領域的單位也能提出資安相關的需求與考量。劉諭聰認為，這種跨領域的協作模式，大幅提升資安議題的可視性與回應速度。

加入國際情資組織，用資安為品牌加分

金慶柏強調，資安是一個「全世界共同的議題」。他深信，「一個人走得快，但是一群人走得遠」的道理，因此積極參與更多的國際資安組織與國際性展覽，不僅有助於企業教學相長、終身學習，更能建立資安領域所需的信任度。他表示，華碩電腦在2024年6月，便已前往日本福岡參加FIRST年會，作為加入該組織的先行準備。

華碩電腦涵蓋電腦組裝主機板、AOD裝置、穿戴式裝置、筆記型電腦，乃至AI伺服器等多種產品線，金慶柏指出，他們不同於多數臺灣代工廠，客戶對其產品安全性有極高的要求，華碩電腦必須負起主要責任。

他強調，華碩電腦作為國際品牌公司，產品行銷全世界，對產品安全的認知、要求和持續改善至關重要，這能增加華碩品牌與產品的附加價值。

因此，他認為，加入FIRST有助於華碩電腦遵守全球性的法規要求，例如歐盟的《資安韌性法（Cyber Resilience Act，CRA）》，以及美國的《網路信任標章（Cyber Trust Mark）》；而透過與FIRST的交流，華碩電腦能深入了解國際社會在產品安全上的法規，以及未來要求。

金慶柏也期許華碩電腦能藉此協助臺灣產業和公部門，在產品安全上，符合全球未來趨勢，推動「臺灣設計、臺灣製造」的產品安全理念。他提到，臺灣政府也高度重視資安，並關注全球ICT、消費性及IoT產品的資安法規，並協助臺灣廠商及早了解國際要求，因為許多產品的驗測需長達一年半的規畫，所以政府也將資安產業視為重要產業。

此外，華碩電腦希望在產品安全上能有「加值效果」，讓從硬體、韌體、作業系統到應用程式的華碩電腦產品更加安全。金慶柏以瑞典Volvo汽車對安全的重視為例，闡明華碩電腦希望成為讓消費者信任的品牌，讓客戶想到「更安全的汽車」就會想到Volvo，這也可能帶來「優質標章」（Premium Label）的效果，提升產品售價，避免低價競爭。

對於資安「高調會被攻擊」的迷思，金慶柏認為這是過時的想法。他指出，華碩電腦、臺積電、鴻海等公司之所以可能成為被鎖定目標，是因為這些企業夠大、獲利能力強，華碩電腦更是連續11年臺灣品牌價值第一名。他認為，許多駭客攻擊都是透過自動化工具進行，並不會因為企業是否「高調」而特別鎖定，除非是APT攻擊或網路間諜。

如何落實內部協調與專業信任，成最大挑戰

在華碩電腦資安組織的建立與運作過程中，劉諭聰與許宗仁坦言面臨不少挑戰。許宗仁指出，最大的困難在於與各事業單位進行協調的過程。他笑稱：「光是要派出什麼樣的人員參與，就有很多可以『吵』的」。

許宗仁表示，資安中心要求各單位派出的成員必須具備一定層級、資歷與產業知識，才能有效對接並在事件發生時進行處理與通知。對此，他也進一步解釋，許多事業單位會質疑「做這件事情對我來講，有什麼幫助？」因此，難免有許多抗拒。

為了解決這個問題，華碩電腦的資訊安全委員會設置三種角色：資安幹事、PSIRT成員、CSIRT成員，其中的資安幹事負責宣達策略，CSIRT成員處理資安事件調查，PSIRT成員則針對產品線特有的資安問題，提供專業協助。

劉諭聰則將資安團隊的運作比喻為「里民服務」，他指出，華碩電腦內部的不同事業單位如同「各自山頭」，彼此的了解不深，資安中心扮演著「中間人」的角色，不僅要具備專業的資安背景，更需要極佳的溝通與協調能力。

劉諭聰表示，資安團隊的成員，如許宗仁等，必須能夠面對來自近50個功能性及核心運作單位的各式各樣問題，從法務、財務、人資到客服、公關，都需要提供協助與建議。「這也考驗著團隊成員的熱情與耐心。」胎說

此外，要獲得華碩電腦內部研發（RD）和IT團隊的信任，專業能力更是關鍵。劉諭聰強調，如果你不夠專業，或是你無法把問題的核心或是風險到底在哪裡，跟內部同仁說明或是跟他們做出證明的時候，其實是難以說服這些團隊的，信任感沒有辦法建立起來。

許宗仁補充，有時需要直接將攻防過程展示給內部同仁看，例如，「某種攻擊手法是如何攻進企業內部，展示給同仁看，對方一看就知道了」、「某個地方如何提高防禦力，實際操作一次，同仁就明白了」。

他認為，這不僅要求資安團隊成員具備高強的技術能力，也必須不斷追逐最新的資安新聞、技術趨勢與法規變化，以提供精準的分析與建議。許宗仁表示，團隊成員為此，每天都會閱讀全球資安相關新聞，以期能快速掌握最新法規變化，並即時傳達給業務團隊。

加入FIRST必須經歷的嚴謹程序與SIM3評估

談到加入FIRST的實際過程，許宗仁詳細說明了其嚴謹性。他表示，早在2018年就已得知FIRST這個組織，並在2023年進入華碩電腦後，向主管提出加入FIRST的建議，最終在2024年將其納入規畫。

加入FIRST的首要步驟，是進行「SIM3成熟度評估表」（Security Incident Management Maturity Model）的自評。許宗仁解釋，SIM3是FIRST推廣的資安事件處理成熟度模型，其核心目的是評估並提升資安事件處理小組（包括：CSIRT、 CERT、SOC 等）的運作成熟度與能力。

許宗仁指出，「這份評估表涵蓋了組織（Organizational，ORG）、人員（Human，HUM）、工具（Tools，TOOL）、程序（Processes，PROC）等四大面向，共約44個參數。」每個參數則以五級制（從0到4表示無到完善成熟）衡量成熟度。

許宗仁表示，華碩在申請FIRST會員資格時，必須達到特定的成熟度要求，例如對於CSIRT職責的分配，就必須經由高階管理層核准，並要求達到等級三的標準。為了準備這份SIM3自我評估，許宗仁自行製作一份詳盡的中文英文對照表，標註FIRST會員資格所要求的必要項目，以便內部檢視與佐證。

他指出，雖然官方估計SIM3自評僅需一週，但為了提供完整的佐證資料並確保萬無一失，他投入大量的時間進行文件整備，實際投入SIM3評估與文件整備的時間約在2到3個月。他表示，SIM3評估從2024年3月開始，文件整備則持續到10月底完成。隨後，華碩電腦在11月初提交了申請。

申請過程還需要兩位推薦人（Sponsor）。華碩電腦的第一位推薦人是勤業眾信（Deloitte），第二位是TeamT5。許宗仁表示，推薦人不僅要在申請文件上背書，甚至會進行實地訪查，以確認申請單位確實符合資格。他說，華碩電腦的第一位推薦人勤業眾信，便在2024年11月1日進行了實地訪視，確認華碩符合資格。

儘管從最初的資訊委員會成立到決定加入FIRST的意識（Awareness）階段較長，但許宗仁實際投入SIM3評估與文件整備的時間約在2到3個月。由於審核過程通常採取批次進行，華碩電腦的申請很快便獲得通過，成為FIRST的正式會員。

值得一提的是，華碩電腦刻意選擇以「ASUS」這個公司及品牌名稱加入FIRST，而非單純常見的以CSIRT或PSIRT名稱加入，與Apple、Dell、HP等國際品牌商的做法類似。他強調：「這也代表華碩電腦的資安，已經涵蓋CSIRT和PSIRT的全部職能，展現出CSIRT/PSIRT全都要的決心。」

此外，華碩電腦在2024年9月18日也正式成為CVE編號發放機構（CNA），是臺灣第11個CNA組織。許宗仁表示，這也讓華碩電腦能夠掌握自家產品CVE的發放節奏與時程，確保在漏洞對外揭露前，相關修補程式都已完成測試、派送，並促使客戶完成升級，將對客戶提供的資安保護極大化。他說，華碩電腦內部還為此開發CWE（Common Weakness Enumeration）查核系統，用以統計並減少持續發生的重複性弱點。

加入FIRST帶來的質變與量變，加速情資分析與精準回應

加入FIRST之後，華碩電腦資安團隊的日常運作產生了顯著的「質變」與「量變」。許宗仁指出，最直接的效益是能夠「更快接收到所有的全球情資與「最佳實務」。他表示，透過FIRST提供的每日新聞郵件，可以快速瀏覽全球的資安漏洞、威脅動態及法規變化，大幅減少自行蒐集資訊所需的時間與精力。

此外，FIRST也提供名為「MISP」的平臺，許宗仁解釋，該平臺匯集了全球開源情資，包含俗稱IoC（Indicators of Compromise）的資料，讓華碩電腦能快速取得並利用這些資訊進行威脅分析。

劉諭聰補充說明，這使得華碩電腦對於任何資安問題的「可視性」都提高了，並且，「整體回應（Response）的時間也持續縮短，華碩電腦就能夠更快應對來自長篇報告、漏洞通報、外部或內部資安事件的各種議題。」他說。

在知識分享與團隊協作方面，加入FIRST後的效益更是顯著。許宗仁指出，透過FIRST的虛擬團隊模式及每月例會的經驗交流，華碩電腦內部各事業單位在資安認知上，能夠「對齊」。

他進一步解釋，資安團隊會在例會中，分享各種資安事件的處理經驗與重大漏洞議題，確保團隊可以學到相關的知識；若有團隊曾經「受傷」（受駭），其經驗將回饋至整個華碩電腦，做到「不二過」。

劉諭聰則強調，這樣的作為，使得華碩電腦能夠將重複、持續發生的弱點，以及開發方式有問題的部分，持續降低，大幅提升該公司的資安防護能力。

另一個吸引劉諭聰的好處在於，加入FIRST後，華碩電腦資安團隊有機會參與FIRST的「特殊工作小組」（Special Interest Group，SIG），其中，他對華碩電腦加入「EPSS-SIG」（Exploit Prediction Scoring System SIG）興致勃勃。

他指出，EPSS（Exploit Prediction Scoring System）用於預測CVE（Common Vulnerabilities and Exposures）漏洞，在未來30天內可被駭客利用可能性的動態數值，「這對於資源有限但面臨大量漏洞需修補的企業來說，極為實用。」劉諭聰說。

他進一步解釋，傳統的CVSS分數雖高，但若缺乏實際利用率的資訊，仍難以有效判斷修補優先級；但是，現在透過EPSS，就可以更精準地評估全球範圍內漏洞被利用的狀況，從而優先修補那些真正高風險的漏洞。

劉諭聰期待，透過參與此類工作組，能更深入了解這些數值的計算方式，甚至有機會參與未來的標準制定。目前華碩規畫將加入AI security、威脅情資、PSIRT，以及資料傳輸等特別工作組。

引領產業標準、深化資安韌性，共築安全生態

對於加入FIRST後的未來規畫與期待，金慶柏寄予厚望。他期許華碩電腦資安團隊能夠積極參與FIRST的各個工作組（SIG），不僅掌握最新資訊，更能在未來的標準制定上有所貢獻，甚至「代表臺灣扮演更重要的角色」。

許宗仁表示，華碩電腦參與FIRST的最終目標是提升「整體資安韌性」，包括從FIRST接收到的各種國內「最佳實務」與資安議題，都回饋到公司的相關產品上。

他強調，希望其他公司出現的漏洞情況，不要出現在華碩電腦產品上，藉此提升客戶對華碩電腦產品的信任度，而這種信任不僅限於電腦或手機等核心產品，也希望延伸到穿戴式裝置、IoT設備，甚至無線AP等網通產品，以確保用戶的隱私與資料安全，提供「兼顧簡單防護的功能」。許宗仁坦承，這是一條「漫漫長路」，但華碩電腦將持續努力。

劉諭聰也補充，透過資安委員會，華碩電腦將不斷統計自家產品發出的CVE數量與分布，並邀請各團隊在月例會中分享改善與強化的方案。他指出，該公司各團隊將持續透過各種工具和流程，如源碼檢測、開源軟體組成分析等，協助各事業單位有效應對資安挑戰。

最重要的是，劉諭聰表示，華碩電腦致力於建立「非常明確透明的通訊管道」，讓客戶能隨時聯繫華碩電腦反映問題，並且保證內部資安團隊會積極回應、確認與處理，確保漏洞問題不會在不同的產品線上重複發生，「藉此可以為所有華碩電腦軟體團隊，節省犯錯跟摸索的時間。」他說。

華碩電腦加入FIRST，不僅是其資安能力獲得國際肯定的體現，更是對全球資安社群合作的積極回應。從早期資安委員會的建立，到專責數位安全中心的成立，再到成為FIRST成員，以及成為CVE發放機構，金慶柏表示，華碩電腦一步一腳印地強化自身資安體質，並將資安視為提升品牌價值與客戶信任的核心要素。

此外，金慶柏協助創辦的「高科技資安聯盟」和「臺灣資安主管聯盟」，也正是華碩電腦資安策略中實現「社群共好」的縮影。他認為，資安工作有時會很孤單，透過建立平臺，可以讓資安人員了解產業現況與共同擔憂，並參考NIST、OWASP等國際指引，而非從零開始摸索。

他強調，華碩電腦透過資安團隊持續的努力，不僅為自身產品築起堅固防線，更期盼能透過國際合作與社群貢獻，與各界攜手共築一個更安全、更值得信賴的數位生態系統。

華碩電腦資安長金慶柏表示，華碩電腦不同於其他代工業者，產品線多元，客戶對於產品的安全性也有一定的要求。因此，華碩電腦作為行銷全世界的國際品牌公司，需要一肩扛起資安的責任。攝影∕洪政偉