結合國際視野與戰略思維，將資安能量推向至高境界

根據世界經濟論壇(WEF)的2018全球風險報告顯示，若依發生機率高低排序，「網路攻擊」為第三大風險，僅次於極端氣候事件、天然災害。究其主因，在於網路攻擊從以往的事故(Incident)變成常態，衍生的財務衝擊持續增加所致；另值得一提，包括關鍵基礎設施或策略產業，都逐漸淪為網路攻擊標的，恐癱瘓社會運作機制，釀成嚴重災情。

由此看來，資安已是不分國界、世人皆應共同面對的嚴峻議題，為此果核數位在日前舉辦一場以「國際資安威脅與戰略攻防要素」為主題的資安社群論壇，意在從國際視野來解讀資安威脅趨勢，同時分享政府的資安推動策略、資安事件案例，期望引領有志投入資安發展的青年學子，得以拉升戰略高度，擅於綜覽不同構面做全盤考量，制定最完善的網路安全戰略。

果核數位在總經理丁瑋明主導下，近年來積極推動資安社群論壇活動，希冀藉由資安相關實務經驗與技術的傳承，幫助青年學子充實資安知識與技能，從理論接軌實務，為臺灣培育更多資安人才。

洞察全球威脅趨勢，制定有效防護策略

行政院國家資通安全會報技術服務中心主任吳啟文，率先於論壇發表演說，闡述資安威脅趨勢及防護策略。他指出資安不宜無限上綱、必須從風險管理做起，要想做好防護，關鍵第一步便是洞察全球資安威脅趨勢，當前值得留意的趨勢有六項，分別是進階持續(APT)威脅攻擊竊取機密資料、分散式阻斷服務(DDoS)攻擊癱瘓網路運作、物聯網(IoT)設備資安弱點威脅升高、關鍵基礎設施(CII)資安風險倍増、網路與經濟罪犯影響電子商務與金融運作，及資安(訊)供應商持續遭駭破壞供應鏈安全。

受到前述國際風險的影響，也讓臺灣政府蒙受諸多資安威脅，除了有設備微型管理不易、模式翻新應變不易、社交工程防不勝防、認知不足警覺不夠、駐外機構管管理不易等痛點外，舉凡IoT資安風險與日遽增、技術更迭快速不易掌握資安威脅、資安自主能力待提升，及資安人才供不應求等，都一一成為棘手難題。

綜觀近3年政府機關資安事件，皆與網站設計不當、應用程式漏洞及弱密碼等三大因素息息相關。例如駭客組織ifactoryx曾攻擊34個政府機關網站、進行網頁換置，只因受害網站都採用相同網站管理系統，承襲舊版Fckeditor網頁編輯器帶來的漏洞，讓駭客有機可乘；政府機關設置於路口、公園及停車場等區域的網路攝影機，多因未設置密碼或使用預設密碼，以致遭植入惡意程式；某機關門禁控制系統未限制存取權限，且放置於對外網路，導致駭客利用於挖礦活動。

吳啟文表示，因應接踵而來的威脅，政府早在民國90年開始推動資安機制計畫與發展方案，至今邁入第五期，以「打造安全可信賴的數位國家」為願景，箇中蘊含完備資安基礎環境、建構國家資安聯防體系、推升資安產業自主能量、孕育優質資安人才等四大推動策略。為落實這些策略目標，政府不僅制定資通安全管理法，亦致力打造資安治理架構、執行網路攻防演練、落實資安稽核、構築國家資安聯防體系、加強國際資安合作交流。

決勝網路戰，不只靠技術、更要看戰略

中正大學戰國所助理教授林穎佑，嘗試從戰略面的思考來探究資安議題。他首先強調，法規面必須跟隨科技而與時側進，否則易出現矛盾空間，使駭客更有上下其手的機會。所謂資安作戰，乃是網域空間的競逐，儘管此空間看不見也摸不著，但可怕的是，由此衍生的作戰能力，已從虛擬走向實體，足以癱瘓核電廠、淨水場的運作，更有甚者還可透過假新聞操作，進一步影響群眾心理。

具體來說，以網域為主的資安戰略，明顯超越傳統，只因它具有超越地緣限制、具有完全匿名性、作戰的不對稱(以小搏大、以弱擊強)、攻擊易於防守等特性，連帶突顯兩個重點，其一是過去的法規不再適用，另一是落實資安不僅靠安全技術，還須帶入全新的安全管理概念。

談及攻擊類型，第一個值得關注的標的為「網路間諜」，是以政府國家利益為目標的情報戰，主要攻擊對象有政府機關、重要智庫或軍工產業；其次是「網路戰」，涵括竊取、騷擾、癱瘓到破壞等手段，最典型的事件即是發生於2013年的「黑色首爾」；再者是「網路犯罪」，背後動機正是「唯利是圖」，通常搭配黑色產業鏈的技術、社交工程等資源而發動攻擊，勒索加密軟體便是一例。

林穎佑重申，網路戰已邁入世代演進，除人們已熟知的騷擾(換置網頁)、竊取情報外，還加上了APT、癱瘓與「制腦權」(假新聞與假訊息的第五代戰爭)，更令人防不勝防。因此一個完整的國家資安戰略，必須包含法規、組織與人才等構面，且須透過國防的角度看待資安，才不會將格局做小。

總括而論，面對現今全無地理空間限制、敵人完全匿蹤，又有黑色產業鏈撐腰的網路戰，人人皆應建立更完整的資安認知，唯有對於從頭到腳、從上到下、從虛到實到心理等等攻擊脈絡的通盤理解，才能制定出好的攻防策略，絕非建置幾套防禦工具便能克竟全功。

若大家有興趣獲取論壇資訊，可加入果核粉絲團: