落實企業資安演習概念，鍛錬強大資安應變力

近年全球資安事件層出不窮，危害日趨嚴重，殊不知許多攻擊事件的破口，竟源自一般基層員工。顯見每個人不論職位高低，都是企業資安防禦的重要環節。

經濟部工業局為協助企業強化資安素養、落實資安衛生習慣，利用5月的資安盛事- 2021臺灣資安大會暨臺灣資安館的前夕，於4月下旬開始展開企業資安演習系列活動。進而在5月4日舉行「企業資安演習活動暨頒獎典禮」，向各界傳達從日常中即可落實資安演習的觀念，同時藉由情境遊戲模式，提高企業員工參與意願，潛移默化之中學習資安，理解遭受資安攻擊時應採取的應變作為。

經濟部工業局副局長陳佩利表示，資安事件頻傳，90%以上起因於個人習慣欠佳。她呼籲人人應保持「三不一沒有」資安習慣，不明來源軟體不要下載、信件不要亂開、網址不要亂點，且具備「沒有百分百安全」的體悟，彼此相互提醒、加強警覺。

在這一系列的企業資安演習活動，CyberWar卡牌堪稱其中重要載具；提供這項桌遊的奧義智慧創辦人邱銘彰發表談話：他指出有同仁來自遊戲公司，他們認為資安題材很適合開發成桌遊，實際推廣下來，發現確實是引導企業同仁了解資安的好方法，因此願意與企業、政府機關廣為合作，藉由桌遊來推廣正確資安知識。

企業資安演習首波前導活動，鎖定高科技園區一同合作

企業資安演習系列活動首波活動，結合奧義智慧CyberWar卡牌，在台灣科學工業園區科學工業同業公會的支持下，於4月26日舉行企業資安演習首場的體驗賽，共計六家企業組隊參與CyberWar資安桌遊競賽。經過激烈比拼，最終由虹光精密的葉瑞潮工程師勝出。

親赴會場接受頒獎榮耀的葉瑞潮說，CyberWar資安桌遊卡牌頗為複雜，蘊含許多攻擊手段及防禦手法，參賽者一邊扮演攻擊方、另一邊扮演防守方，可藉由反覆的角色扮演機會，練就資安應變力。

另一方面，本次活動邀請「電競女神」小熊Yuniko，及頗具盛名的「資安大神」Alan Lee，聯手演繹「今日，我想來點…資安逃生術！」之情境劇，透過詼諧幽默的方式搶救企業資安的豬隊友，堪稱一大看點。

劇情一開始，第一天上班的小熊，在設定好公司Email後，順手點擊「下午茶好康優惠」連結，因而被誘騙輸入帳密。扮演老闆的Alan適時提醒她，釣魚信件是當今流行的攻擊手法，目的就是偷取個人帳密，最終可能導致整個公司的機密外洩，所以必須藉由社交工程演練，引導大家養成好習慣、不輕意開啟可疑信件。Alan接著說，假設不慎受騙，務必儘快修改帳密並通知主管，好讓公司能從系統層面進行後續偵測與防護。社交工程攻擊可能引發勒索軟體感染、商業郵件詐騙（BEC），企業必須預先設想，萬一遭受攻擊應該如何應變？以BEC為例，可考慮設計更嚴謹的轉帳程序，不要只為了一封信而貿然匯款。

善用企業資安評級服務，儘速補強防禦缺口

接著大會安排兩場深具實務價值的演講。首先由工研院資通所資深研究員鍾銘輝登場，他表示經過SolarWinds事件，國際大廠益發重視生態鏈資安強化，要求供應鏈夥伴必須參照美國NIST CSF框架、或導入CMMC資安成熟度評估制度，自我檢視是否落實資安，臺灣企業亦需遵從這些規範。

工研院資通所資深研究員鍾銘輝

儘管多數企業想導入資安評級，但礙於「內部員工缺乏資安意識」、「公司對於資安投資報酬率缺乏了解」及「內部技術能量不足」等痛點，導致難以推動。而在經濟部工業局跨域資安強化產業推動計畫項下的「企業資安評級服務」，期望幫助企業量化資安程度，檢視現況之餘還能進行資安缺口快篩，繼而排定優先順序、針對高風險環節優先改善。

工研院資通所技術副理王子夏，分享勒索病毒之防禦與應變機制。他強調近期駭客手段更趨狠毒，揚言在暗網販售機敏情資，逼迫企業加速繳付贖金。但企業即使付出贖金，也未必能正確取回檔案，這不見得是駭客欺騙你，而是因為系統問題導致檔案無法順利取回。

唯今之計，企業應檢視勒索軟體的攻擊流程，從中找出一些突破點，展開對應的防禦作為。例如像是系統登入，建議採取多因子或多層次身份驗證，甚至針對關鍵伺服器建立實體隔離。再者為防止惡意程式進行橫向或縱向提權，企業應導入應用程式白名單及端點防禦措施來實踐零信任原則，確保在關鍵設備上執行的所有程式，都經過合法授權。

工研院資通所技術副理王子夏博士

活動主持人小熊重申，個人的資安意識非常重要，畢竟個人、企業環環相扣，任何人都應該成為企業內重要的守門員。大會在活動尾聲加碼舉行Q&A活動，列出多款以假亂真的信件，引導聽眾知道如何比對寄件者網域及郵件內容引導的網址等重要指標，揪出可疑之處，識破釣魚郵件，避免企業輕易受駭。

經濟部工業局廣告