--- title: 業界視角下的資訊安全筆記 tags: [2026_Spring, Security] --- > 警告：本筆記目前完全為 AI 生成。 ## Week 1: 課程簡介與掃毒引擎簡介 (Course Introduction & Scan Engine Introduction) ### 1. 課程與講者簡介 * **講者背景**：由任職於趨勢科技 (Trend Micro) 達 30 年的資深工程師 Terrence Chou (周存貹) 授課。講者具備 CISSP 資訊安全認證。 * **趨勢科技概況**：1988 年創立，總部位於日本東京，而研發總部設於臺灣台北。該公司為台灣資安新創產業的人才搖籃，體現了「台灣研發、全球獲利」的企業模式。 * **資安的重要性與產業生態**： * 課程舉出實際案例以強調資安影響力，包含 2018 年台積電產線中毒事件（導致高達 52 億元損失），以及 2025 年初台灣首例醫院遭大規模勒索軟體攻擊事件。 * 資訊安全產業範疇極廣，沒有單一公司能夠涵蓋所有領域，因此企業間的協同合作極為重要。此外，由於資安防禦需要高度專業，其職位很難被 AI 完全取代，具備極高的職業保障。 ### 2. 惡意軟體 (Malware) 核心概念與演進 * **定義**：未經擁有者同意，旨在滲透或破壞電腦系統的惡意程式。其主要行為模式包含自我傳播 (Propagation)、系統破壞 (Destruction)、未經授權的操作 (Unauthorized/Backdoor) 以及竊取機密資訊 (Information)。 * **常見類型**：種類繁多，包含病毒 (Viruses)、蠕蟲 (Worms)、木馬程式 (Trojans)、勒索軟體 (Ransomware)、無檔案惡意軟體 (Fileless Malware) 等。 * **威脅演進史**： * **1980s 以前 (起源與惡作劇)**：早期如 Creeper 或是 1986 年的 Brain 病毒，多利用磁碟片傳播；著名的 CIH 病毒則會定期發作造成破壞。此時期的攻擊動機多為展現技術能力或純粹惡作劇，較缺乏商業利益驅動。 * **2000s (大規模擴散)**：如 ILOVEYOU 病毒，開始利用電子郵件與社交工程手法進行攻擊；隨後出現殭屍網路 (Botnets) 以控制大量受感染電腦，攻擊目標轉向大規模破壞與初步的資料竊取。 * **現代 (商業變現與進階威脅)**：攻擊行為變得高度組織化，甚至擁有國家級資源支持。發展出勒索軟體即服務 (RaaS)、破壞力極大的供應鏈攻擊 (如 SolarWinds 事件)，以及不需下載檔案、極難被傳統方式偵測的無檔案惡意軟體 (Fileless Malware)。 ### 3. 掃毒引擎 (Scan Engine) 技術剖析 * **核心運作機制**：引擎將惡意軟體視為檔案或資料內容，負責「讀取」與「掃描」動作，並依據結果放行正常檔案或攔截、清除惡意檔案。 * **效能設計考量**：優良的掃毒引擎需要具備高速掃描能力、極低的記憶體消耗、支援多執行緒 (Multi-threading)、高擴充性，以及跨平台的部署能力。 * **掃描流程架構**： 1. **檔案類型識別 (File Type Identification)**：透過特徵比對 (Signature Matching)、使用者自定義檔案類型 (User-Defined File Type) 與副檔名檢查 (Extension Name Check) 來初步篩選與分類。 2. **檔案掃描 (File Scanning)**：將檔案的關鍵內容載入掃描緩衝區 (Scan Buffer) 以進行深入分析、解壓縮或解碼處理。 ### 4. 病毒碼 (Pattern File) 與技術挑戰 * **病毒碼特性**：在架構上與掃毒引擎分離，必須頻繁更新以應對新威脅，而提供持續更新的病毒碼也是防毒軟體公司獲利的核心模式。 * **演進與形式**：從早期的單純字串特徵比對，一路發展到包含主動行為控制 (Action inside)、腳本判定 (Script Pattern)、雲端特徵碼 (Cloud Pattern) 與雜湊值 (Hash) 比對等複雜機制。 * **更新災難風險**：病毒碼或其更新機制若發生邏輯錯誤，可能導致嚴重的系統停機災難。歷史上著名的案例包含 2005 年趨勢科技的 594 災難 (導致 CPU 滿載)、2024 年 CrowdStrike 導致全球 Windows 藍白畫面當機，以及 2025 年 Cloudflare 因無窮迴圈造成的網路大地震。 * **病毒逃逸 (Virus Evasion) 與未來挑戰**：僅依靠傳統掃毒引擎與病毒碼已經不敷使用。現代惡意軟體演進極快，些微的程式碼變更即可規避偵測，且感染途徑多變（例如利用一般文件檔夾帶惡意程式碼）。因此，業界亟需開發導入 AI 與進階行為分析技術的新一代掃毒引擎。 ## Week 3: 掃毒引擎技術分析 (Scan Engine Technology) ### 1. 密碼學基礎 (Cryptography Basics) * **編碼 (Encoding)**：不需密鑰，主要用於資料格式轉換。常見演算法如 Base64。 * **加密 (Encryption)**：需要密鑰 (Key) 才能進行加解密，用於隱藏真實內容。常見演算法如 AES-256。 * 對稱式加密 (Symmetric)：加解密使用同一把密鑰。 * 非對稱式加密 (Asymmetric)：使用公鑰加密、私鑰解密（例如 RSA，常見於勒索軟體）。 * **雜湊 (Hashing)**：不可逆 (Irreversible) 的單向轉換，任何長度的輸入都會產生固定長度的輸出。 * 特性：輸入只要有微小改變，輸出就會截然不同。任兩個不同檔案產生相同 Hash 值的機率極低（碰撞機率極低）。 * 應用：可用作檔案的唯一識別碼 (ID)，用於驗證檔案是否被竄改，或是快速比對已知的好/壞檔案，能絕對避免誤判。常見演算法如 SHA-256。 ### 2. 千面人病毒 (Polymorphic Malware) 與虛擬執行 * **逃避偵測技術**：病毒為了規避傳統病毒碼掃描，會將自身核心惡意程式碼加密，並在每次感染新檔案時使用不同的加密方式或密鑰。 * **千面人病毒特性**：每次感染產生的檔案特徵皆不同，導致可能出現數百萬種變種病毒碼，傳統掃毒引擎與靜態特徵碼無法負荷。其運作邏輯為「先解碼，再發作」。 * **偵測方法 (Emulation/Virtual CPU)**： * 建立虛擬的 CPU 與記憶體環境（模擬執行）。 * 讓疑似病毒的檔案在虛擬環境中執行其解密迴圈 (Decryption Loop)。 * 當病毒解密完成，暴露出真實的惡意程式碼 (Unpack Pattern Working) 時，觸發中斷條件 (Break Conditions) 並進行特徵比對。 * 挑戰：效能消耗大、執行速度慢，且部分病毒可能會設計多重加解密迴圈來拖垮效能，或偵測到虛擬環境而不觸發解密。 * **沙盒技術 (Sandbox)**： * 在真實的虛擬機器 (VM) 中完整執行目標檔案，觀察其動態行為（如加密檔案、連線惡意網址、讀取系統機密等）來判定是否為惡意軟體。 * 挑戰：建置環境龐大且耗資源，不適合部署於一般終端設備，通常建置於閘道器 (Gateway) 產品上；且進階病毒具備反沙盒 (Anti-VM) 技術。 ### 3. 機器學習 (Machine Learning) 在資安的應用 * **傳統防禦的瓶頸**：傳統防禦流程（分析病毒 -> 釋出病毒碼 -> 全球部署）耗時過長，且單一病毒碼只能抓到一種病毒，無法應對現今每天數以萬計的新型變種惡意軟體。 * **機器學習工作流程**： 1. 收集資料集 (Collect Data Set)。 2. 標註資料 (Label Data)：區分正常檔案與惡意檔案。 3. 特徵擷取 (Feature Extraction)：找出關鍵特徵，例如檔案大小、建立時間、系統 API 呼叫、直方圖分佈、以及軟體熵 (Entropy，代表軟體的無序程度) 等。 4. 訓練與測試 (Training / Testing) 產生模型。 5. 預測 (Predict)：將新檔案送入模型判斷是否為病毒。 * **優缺點比較**： * 優點：不需人工詳細分析檔案，預測與判定速度極快。 * 缺點：存在誤判率 (False Positive)，且一旦發生誤判難以透過簡單規則修正，必須重新訓練並釋出新模型。 * **動態機器學習 (Runtime/Dynamic ML)**： * 靜態 ML 僅擷取檔案靜態特徵；動態 ML 則是讓目標檔案實際執行，將其「動態行為」（如修改系統設定、停用防毒軟體等）轉化為特徵加入訓練。 * 能有效提升偵測率並降低誤判，且可應用於 Office、PDF 等多種不同文件格式的惡意軟體偵測。 * **其他應用場景 - 變臉詐騙 (BEC)**：利用 ML 學習企業高階主管 (如 CEO) 的寫作風格（如：大小寫習慣、常用字彙、句子長度、標點符號等特徵），以判斷匯款指示信件是否為駭客偽造。 * **總結**：機器學習並非解決所有資安問題的萬靈丹，而是多層次防禦體系中的一項重要且強大的工具。 ## Week 4: 資料安全技術 ### 1. 資訊安全與人類防禦系統的類比 * **第一道防線（物理和化學屏障）**：如同人類的皮膚與黏膜，資安系統亦有初步阻擋未經授權存取的邊界防禦。 * **第二道防線（先天性免疫系統）**：如同吞噬細胞或自然殺手細胞（NK 細胞），對應於資安中針對已知或異常特徵進行即時攔截的防護機制。 * **第三道防線（後天性免疫系統）**：如同 T 細胞與 B 細胞的記憶與專一性清除能力，對應於具備記憶與深度分析能力的進階資安防護（如機器學習與行為分析）。 ### 2. 網路與漏洞防護技術 * **防火牆與入侵防護 (IPS & Firewall)**：透過過濾進入與離開裝置的網路流量（依據 IP 位址、通訊協定、埠號或應用程式）來限制通訊。 * **零時差漏洞防護 (Early Zero-Day Protection)**： * **定義**：指尚未發布官方修補程式的安全漏洞。駭客利用此空窗期進行的攻擊稱為「零時差攻擊」，相關漏洞的發掘與交易已形成武器化與市場化的地下產業鏈。 * **著名案例**：2010 年破壞伊朗核設施離心機的 Stuxnet 蠕蟲，以及 2020 年針對 SolarWinds Orion 產品進行的供應鏈攻擊（Sunburst 惡意程式）。 * **虛擬修補 (Virtual Patching / Vulnerability Protection)**：在官方正式釋出修補程式前，由資安產品主動套用入侵防護規則，攔截針對該漏洞的攻擊網路封包，藉此爭取時間並輔助企業的修補程式管理機制。 * **網頁信譽評等 (Web Reputation)**：作為防範釣魚網站與惡意連結的第一道防線，透過分析網站存在時間、位置變更記錄及可疑活動等指標給予信任評分，並進行屬性分類（如商業、教育、遊戲等），以決定是否允許端點存取。 ### 3. 端點行為與應用程式控管 * **應用程式控管 (Application Control)**：採用「正向表列 (Whitelisting)」機制，透過整合 Active Directory 制定精細的端點策略，僅允許白名單內的應用程式執行。 * **完整性監控 (Integrity Monitoring)**：先建立系統正常狀態的基準快照 (Baseline Snapshot)，接著定期監控登錄檔、服務、處理程序、通訊埠及檔案等資源。若發生不當修改則發出警告。實務上採取「監控」而非直接「阻擋」，主要考量是為了降低誤判率並維持良好的使用者體驗。 * **行為分析 (Behavioral Analysis)**：持續觀察並記錄端點上的系統事件序列。當程式執行特定的動作組合（例如：檢查瀏覽器版本、嘗試取得 Administrator 權限，並同時更改多個文件的內容與副檔名），系統會將其判定為已知惡意行為（如勒索軟體）並予以封鎖。 ### 4. 進階威脅分析平台 * **網路內容關聯性分析 (Network Content Correlation)**：監控端點與潛在的命令與控制伺服器 (C&C Server) 之間的連線。系統會依據定期更新的全域 C&C IP 清單，一旦發現惡意連線即主動切斷並留下紀錄。 * **沙盒技術 (Sandbox Analysis)**： * **雲端沙盒 (Sandbox as a Service)**：利用資安公司提供的雲端虛擬機資源，在受控環境下觸發並分析可疑檔案或網址的動態行為。 * **客製化沙盒 (Custom Sandbox Analysis)**：利用客戶自身的運算資源，建立與企業內部作業系統、軟體組態一致的虛擬映像檔，並具備安全上線模式以分析多重階段下載等進階攻擊。 * **優缺點**：優點為可平行處理且易於重啟乾淨環境；缺點則是建置成本高、極度耗費運算資源，且部分進階惡意軟體具備反沙盒 (Anti-VM) 偵測能力，若發現身處虛擬機環境便會停止執行。 ### 5. 資料防護與設備控管 * **資料外洩防護 (Data Leak Prevention, DLP)**： * **防護機制**：針對使用中的資料採用數位版權管理 (DRM)；傳輸中的資料利用內容感知技術進行即時攔截；靜止狀態下的資料則透過作業系統內建機制（如 Windows BitLocker、Mac OS FileVault）進行全硬碟加密。 * **識別與偵測**：可整合防毒引擎，在掃描時同步比對文件浮水印 (Fingerprint)。針對原始碼防護，亦可自訂關鍵字計分規則（例如比對特定的 C++ 或 Java 函式庫），累計達標即觸發阻斷並告警。 * **合規性與實務挑戰**：DLP 協助企業符合 GDPR、PCI/DSS、HIPAA 或台灣個資法等法規。然而，傳統 DRM 的全面加密機制可能會破壞特殊檔案格式（如製造業生產機台的座標位移），且若主管未確實審核便盲目放行解密申請，將使防護關卡形同虛設。 * **周邊設備控管 (Device Control)**：針對 USB、外接硬碟、印表機等外部設備設定精細權限（完全存取、唯讀或封鎖），藉此防止實體途徑的資料外洩，並降低隨身碟自動執行 (Auto-Run) 帶來的資安風險。 ## Week 5: 資安產品開發 ### 1. 資安產品的開發核心與目標 * **產品交付與管理**：探討如何將各項資料安全技術封裝並交付給終端使用者，同時提供系統管理員有效的介面以管控使用者的安全組態設定。 * **產品本身的安全性 (Product Security Development)**：開發資安產品時，必須確保產品本身的架構與程式碼安全，避免防禦工具反而成為駭客利用的漏洞。 ### 2. 資安產品的核心需求 (Security Product Requirements) * **完善保護 (Well Protection)**：確保使用者的數位資產免受各類威脅侵害。 * **3 Smalls (三小原則)**： * 資源消耗小 (Small resources consumption)：極小化對 CPU、記憶體與磁碟空間的佔用，避免拖慢系統效能。使用者、系統管理員在乎。 * 體驗影響小 (Small Experience Impact)：追求「安裝後即可遺忘 (Install and forget)」的無縫使用者體驗。使用者在乎。 * 總體擁有成本小 (Small Total Cost of Ownership)：降低企業或使用者的購買與後續維護成本。採購人員在乎。 * **可視性與管理能力 (Visibility and Management)**： * 提供防護狀態的可視化介面（如儀表板與定期報告）。 * 建立完善的事件回應 (Incident Response) 機制，以應對突發的資安事件。 * **目標受眾多樣性 (Target Audience)**：產品設計需同時滿足一般使用者、系統操作員、高階管理者、資安分析師與採購人員等不同角色的期待與需求。 ### 3. XDR 與 AI 應用 (AI XDR) * **日誌分析的挑戰**：擴展式偵測與回應 (XDR) 產品會從端點、伺服器與各式設備收集數以千計的系統日誌 (Logs)，純靠人工分析極度困難。 * **AI 的介入**：導入人工智慧技術以協助處理海量數據，透過關聯分析快速從雜亂的日誌中發掘潛在的進階持續性威脅 (APT) 與異常行為。 ### 4. 軟體產品開發基礎與生命週期 * **開發實務考量**：包含安全登入（如雙重認證 2FA）、易於除錯 (Easy of debugging)、版本控制，以及與 PM、業務、行銷和在地化團隊的跨部門協作。 * **獲利模式 (Profit Model)**：需評估採用訂閱制、一次性買斷、依使用量計費或是免費/廣告模式。 * **軟體開發生命週期 (SDLC)**：涵蓋需求分析 (Requirement Analysis)、設計 (Design)、實作 (Implementation)、測試 (Testing) 與演進 (Evolution)，並需考量 AI 技術對此傳統流程帶來的衝擊與改變。 ### 5. 勒索軟體 (Ransomware) 攻擊流程與密碼學應用 * **初始入侵 (Initial Infiltration)**：透過網路釣魚、惡意連結或漏洞利用等方式初步潛入目標環境。 * **執行與傳播 (Execution & Spread)**：惡意程式執行後，進行橫向移動並嘗試取得系統控制權限。 * **檔案加密 (File Encryption) 與非對稱式加密**： * 勒索軟體會鎖定並加密系統內的重要數據，並更改副檔名。 * 運作核心依賴**非對稱式加密 (Public-key Cryptography)**：駭客利用公鑰 (Public Key) 對受害者的檔案進行加密，而解密所需的私鑰 (Private Key) 僅保留在駭客手中，導致受害者無法自行解密。 * **勒索通知 (Ransom Note)**：在螢幕顯示勒索訊息，要求支付贖金（通常為加密貨幣）以換取解密金鑰。 * **應對與結果 (Response & Outcomes)**：受害者最終面臨的選擇通常只有支付贖金以期解密檔案，或是放棄被加密的資料，徹底清理系統並從既有的備份機制中進行還原。 ## Week 7: 編寫安全程式碼 ### 1. 安全程式碼的重要性 (Importance of Secure Coding) * **保護敏感資料 (Protects Sensitive Data)**：防止個人與財務資訊遭受未經授權的存取與外洩。 * **預防漏洞利用 (Prevents Exploits)**：減少駭客可利用的系統漏洞，如 SQL Injection 或 Buffer Overflow。 * **維持使用者信任 (Maintains User Trust)**：確保應用程式的安全性，以維護企業聲譽與客戶信任。 * **符合法規要求 (Compliance with Regulations)**：遵循各產業對資料保護的嚴格規範（如 GDPR、HIPAA 等）。 * **降低修補成本 (Reduces Costs)**：在開發階段預防漏洞，遠比軟體部署後才進行修補來得節省成本。 * **確保營運持續性 (Ensures Business Continuity)**：避免資安事件中斷企業的日常營運，確保系統穩定可靠。 ### 2. 常見的不安全程式碼範例 (Bad Coding Examples) * **緩衝區溢位 (Buffer Overflow / Buffer Overrun)**： * **原理**：常見於 C/C++ 語言。當寫入記憶體的資料長度超過原先配置的緩衝區大小時，會覆寫相鄰的記憶體區塊，可能導致程式崩潰或被植入惡意程式碼。 * **防範**：避免使用不檢查長度的危險函式（如 `strcpy`），應改用安全的替代方案（如 `strncpy` 並手動補上字串結尾），或直接使用更安全的高階資料型態（如 C++ 的 `std::string`）。 * **資料隱碼攻擊 (SQL Injection)**： * **原理**：駭客透過輸入欄位植入惡意的 SQL 語法（例如利用 `' OR '1'='1'` 繞過驗證邏輯），進而存取、竄改或刪除資料庫內容。 * **防範**：絕對不可將使用者輸入直接串接於 SQL 查詢語句中，必須全面採用參數化查詢 (Parameterized Queries) 或預備語句 (Prepared Statements)。 * **動態 DLL 載入攻擊 (Dynamic DLL Loading Attack)**： * **原理**：Windows 應用程式在載入 DLL 時若未指定絕對路徑，會依照系統特定順序搜尋目錄。駭客可將惡意 DLL 放置於優先搜尋目錄（如應用程式所在目錄）中，藉此劫持程式執行流程。 * **防範**：載入外部函式庫時應使用絕對路徑，限制 DLL 搜尋目錄（如使用 `SetDllDirectory`），並驗證 DLL 的數位簽章。 ### 3. 開發安全程式碼的實務原則 (Secure Coding Practice) * **驗證所有輸入 (Validate All Inputs)**：對來自外部的任何輸入皆保持不信任，並優先採用「白名單 (Whitelisting)」機制進行過濾。 * **最小權限原則 (Least Privilege)**：程式與服務應僅以完成工作所需的最低權限層級運行。 * **多層次防護 (Defense in Depth)**：不依賴單一安全機制，應建構多重防線以提升整體系統安全性。 * **保持軟體更新 (Keep Software Updated)**：定期修補已知漏洞，並使用具備良好安全維護的第三方函式庫與框架。 * **開發流程控管**：包含落實程式碼審查 (Code Reviews)、進行威脅建模 (Threat Modeling)，並善用靜態與動態分析工具 (Static and Dynamic Analysis)。若有疑慮，也可利用 AI 輔助檢查程式碼的安全性。 ### 4. 資安事件的應對與 AI 時代的開發者素養 * **面對安全漏洞的態度**：若發現程式碼存在安全問題，應公開承認而非隱瞞，需立即提供短期的修補方案，後續產出詳細的分析報告並制定長期的改善對策 (Lesson Learn)。 * **AI 輔助開發的雙面刃**： * 未來 AI 能自動生成程式碼，但「不會為安全性負責」。 * 工程師在安全程式碼上的職責，將由單純的「撰寫」轉向「審查與管控」。 * 最大的潛在風險並非 AI 本身，而是開發者「錯誤地完全信任 AI」。 * **工程師的職業道德與法律風險**： * 課程特別強調，工程師除了寫出安全的程式碼，其「本身也必須安全」。 * 近年發生多起高階工程師因高額報酬誘惑、債務壓力，或抱持著「我只寫程式、不碰金流」的僥倖心態，最終淪為詐騙集團或非法平台（如台灣史上最大的工程師詐騙團黃鶴樓集團、暗網毒品平台等）幫兇的真實案例。 * **核心精神**：保護自己，且絕對不要造成別人的損失。