資安危機四伏，政府、企業如何應戰？

據網路安全解決方案廠商Check Point Software Technologies Ltd，2024年全球平均每周網路攻擊次數為1673次，但台灣同期平均每周遭受3993次攻擊。（示意圖／Pixabay）

[NOWnews今日新聞] 據網路安全解決方案廠商Check Point Software Technologies Ltd，2024年全球平均每周網路攻擊次數為1673次，但台灣同期平均每周遭受3993次攻擊，位居亞太地區之首，是全球平均的138.6%。

國安局今年1月發布的「2024中共網駭手法分析」報告指出，政府服務網去年每天平均遭侵擾數為240萬次，是2023年日平均侵擾數120萬次的2倍。

層出不窮的網路攻擊，台灣又該如何建立起防護網？

數發部統計，去年資安法納管機關遭受的資安威脅中，以資訊蒐集為主，占比達43.2%，主要透過掃描、探測及社交工程等手法。其次為入侵攻擊（18.8%），攻擊者成功破壞系統與服務，導致未經授權存取，甚至使受害主機淪為殭屍網路節點；另尚有入侵嘗試等，試圖入侵未經授權主機，包含試圖透過暴力破解或利用已知與未知漏洞等攻擊手法。

數發部表示，現今因雲端服務快速的發展，衍生多元威脅，駭客近年來常利用合法掩護非法來隱蔽攻擊行為，如透過正規的雲端服務架設惡意中繼站等行為，試圖規避資安偵測。另外也有利用釣魚網站之網址混淆融入政府機關網域名稱，搭配業務資訊寄送郵件攻擊政府機關與民眾。

工研院在資安研發上扮演兩大角色，一是開發次世代技術，二是從政策面推動資安，重點在研究產業端的曝險狀況，包括有什麼樣的弱點暴露在外、以及用什麼技術緩解這些問題。

他表示，今年會發布《台灣資安曝險調查白皮書》，調查台灣上市櫃公司、中小企網路曝險狀況，而以前五名弱點來說，主要都是來自網站，包括存取身分驗證、偽冒網站識別等；此外，企業電子郵件因伺服器設定不當，易遭偽造，成為詐騙目標。

台灣面臨嚴重的勒索軟體威脅，攻擊特徵為長時間潛伏，發作時迅速加密或竊取大量資料，造成巨大破壞。

採訪當下正好發生馬偕紀念醫院遭勒索軟體攻擊事件，卓傳育則表示，類似意外在高科技製造業更是層出不窮，自己與資安同業都在忙著救火，「大家看得到新聞上有講的真的是冰山一角。」

他說明，許多企業現在都在推動數位轉型、物聯網及AI，這些代表許多過去相互獨立的資料、系統現在有更多串聯空間，如此一來將會讓網路環境更加複雜，也讓資安人員要管的事情變得更多。

再加上，勒索軟體也不會直接破解防火牆，更多是從內部開始攻擊，如果有新進人員不小心把惡意程式引入，那麼內部就會暢行無阻，也更頻繁影響到海量資料。

目前較為被動的做法，是企業在受攻擊後公開資訊，讓資安公司及相關企業提高警覺，但卓傳育認為，大部份狀況是企業中招後都選擇默默處理，資安廠商基於保密協定也不會主動申報，因此只有不到3成的案例會主動揭露。

若企業無法掌握自身資安問題，就難以評估所需資安產品。因此，除半導體與金融業資安控管較完善外，其餘產業普遍不足。

然而，中小企業即便擁有資安方案，最大問題仍是缺乏足夠人力執行。即使收到大量警告，若無人監測，仍是徒勞無功。關鍵不在於不願找資安人才，而是市場缺乏，因而亟需更自動化、內網導向的解決方案。

產業資案危機多 數發部、工研院獻策防堵

面對國內大大小小的產業資安問題，數發部提出，對於民間企業部分，本署持續鼓勵民間企業加入台灣電腦網路危機處理暨協調中心(TWCERT/CC)強化公私協力資安聯防。

數發部說明，TWCERT/CC成立於1998年，屬於國家資通安全研究院旗下行政法人，成員包括民間企業及政府部門。對於資安事件設立通報機制。若企業遭遇資安事件，可通報TWCERT/CC，讓成員掌握漏洞資訊，及早修補防禦。

而工研院則從3個面向解方。第一，工研院與SEMI國際半導體產業協會及台積電合作，催生出「半導體資安標準SEMI-E187」，不僅僅適用於台灣半導體供應鏈，更也可以擴大到全球。

第二，工研院也推動「零信任治理」資安認證方案，協助長商可以去證明目前資安方案可以合規，包括「FIDO認證」及資安設備的「FDO認證」一條龍服務，確保認證存取強度。

最後，工研院也推出未來性技術進行著墨，如後量子資安（PQC）加密技術，這個部分台灣走得比全世界來得快。另一方面，面對來自AI所串連出的資安問題，很難用人工就來處理，因此工研院就想到必須要用AI來解決；對此，工研院研發出「自動化網路控管技術Janus」，取名字羅馬神話中的門神。

卓傳育表示，資安攻擊現在都不是從防火牆進入，而從內部發生，但如果要寫很多網路政策、內網防火牆，就必須要由人來管理，這也是大家就難有資源執行。

Janus可學習網路環境中的正常行為，套用『唯一信任』機制，確保用戶行為符合規範；若偵測到異常，則立即通報、阻擋並隔離。

他表示，Janus優點是他並非一次性解決方案，而是具有持續性，隨著設備新增或減少，都可以重新學習任何變動，再度分辨正常與異常行為，如此就可以減少人工監視；假如上述模式仍不足以杜絕風險，企業也可以把特定漏洞整理出來，方便交由資安廠商處理。

卓傳育總結，「網路攻擊不挑對象，哪裡有洞就往哪裡攻」，企業不僅僅要把自身資安做好，資安也已經變成整條供應鏈的「硬需求」，因為即便大公司可以防護到滴水不露，但只要底下企業出現資案漏洞，就會讓整條供應鏈受影響，但現在許多產業都連自己資安落後都不清楚。

但若資安方案需投入過高成本、資源，甚至影響企業正常運作，最終恐導致業者因負擔過重而疏於防護，反而成為風險，因此工研院希望，讓廠商可以保有一定彈性下，用最方便的狀況來自我強化資安。

預算遭砍4砍 數發部憂資安受到影響

然而，就算政府針對資安有心推動，終究必須要有足夠預算才可以執行。數發部今年預算遭刪減逾4成，其中資安院被砍25%預算，約2億元，導致部分業務須調整執行模式，甚至影響資安營運AI化計畫的進度。

數發部長黃彥男便表示，資安就像貓捉老鼠，老鼠一直在進化，甚至老鼠還用AI，跑得很快、攻擊角度也多、技術也新，「我們做貓的人當然也要跟上」，他形容，基本上就是戰爭，而數發部就像網路上的國防部。

資通安全署表示，署預算共有7.88億元，目前初步盤點被刪減約有3500萬元，其中700多萬被刪到一毛不剩。

對於預算刪減有多大影響？目前受到最大影響是過往都會安排國際資安演訓、駐外館資安健檢，以及參加跟重要友邦合作，這些都受到出國旅費刪減影響。而由於《資通安全管理法》正臨修法，以往會到各縣市收集意見，但現在應該會選擇讓各縣市前往台北開會，或是舉辦線上會議。

但資安署強調，仍秉持著資安工作不中斷原則，戮力完成各項資安推動政策，減少因預算刪減造成的影響，維持政府資安防護量能。

相關新聞

探索跨界科技新風潮！國科會「2025 GiCS尋找資安女婕思」啟動

又傳院方系統遭勒索攻擊！衛福部急協調 派資安專家南下進駐醫院

「病例打不開」！馬偕醫院遭駭客攻擊 衛福部派資安專家搶救