CYBERSEC 2025 台灣資安大會 - 4月16日演講心得分享

# CYBERSEC 2025 台灣資安大會 - 4月16日演講心得分享 ## 目錄 - [上午場](#toc-16-morning) - [議程：開場致詞 (主席)](#toc-16-opening) - [議程：主權AI與韌性國家](#toc-16-sov-ai) - [議程：Digital Sovereignty: Security of the Information Space in Democracy](#toc-16-dig-sov) - [議程：Emerging Artificial Intelligence Threats](#toc-16-google) - [議程：The Cyber Express: Securing Railways in a Connected World](#toc-16-railway) - [下午場](#toc-16-afternoon) - [議程：LEARN LLM Security](#toc-16-learn) - [議程：通過思想鏈將最先進的大語言模型煉成7/24隨時待命的逆向專家](#toc-16-re) - [議程：零信任!!連帳號管理都沒做好怎麼信任!](#toc-16-zt-id) - [議程：零信任安全模型：實務導入的挑戰與機遇](#toc-16-zt-impl) - [議程：資安與 AI 的交匯點：人才、技術與未來](#toc-16-talent) - [議程：把重複的事自動化，一週工作 4 小時 - 將心力投資於副業](#toc-16-automation) ## 議程理解與整體脈絡繼 4 月 15 日探討宏觀趨勢與框架後，4 月 16 日的議程進一步聚焦於特定技術領域的深化與實務挑戰。上午場從主席再次強調大會活動開始，隨即進入戰略性議題，探討主權 AI 對國家韌性的重要性、數位主權在民主國家中的核心地位與挑戰、AI 在真實網路攻擊中的應用現況與防禦方對策，以及關鍵基礎設施在數位轉型與 AI 治理下的安全考量。下午場則深入 LLM 安全框架、AI 在逆向工程的應用、零信任的身份治理痛點與導入實務、AI 對資安人才的影響，以及如何透過整合與自動化提升維運效率，展現了從戰略落地到具體技術實踐與人才發展的關注重點。 --- <a id="toc-16-morning"></a> ## 上午場 - 大會主題演講 **地點：7F 701 ABCD** <a id="toc-16-opening"></a> ### **議程：開場致詞 (主席)** #### 1. 基本資訊 * **議程標題：** 開場致詞 (第二天) * **講者：** 吳其勳 (Martin Wu) - CYBERSEC 臺灣資安大會主席 / iThome 總編輯 * **時間與地點：** 09:30-09:35 | 7F 701 ABCD * **關鍵字：** `Event Activities`, `Wargaming`, `Lunch Learning Session`, `Speaker Hall of Fame`, `Community Engagement` #### 2. 內容摘要 * **核心訊息：** 歡迎與會者來到大會第二天，並重點介紹本屆大會新增及持續進行的特色活動，鼓勵大家把握機會參與，同時宣布「講師名人堂」的設立，表彰長期貢獻的優秀講者。 * **關鍵論點：** * **特色活動介紹：** * **兵推活動 (Wargaming):** 兩場兵推，一場由美國海軍戰爭學院進行 (聚焦數位封鎖，隔天尚有場次)，另一場由資安院進行 (聚焦醫療領域，當天有多場次)。 * **中午學習時段 (Lunch Learning Session):** 為容納更多優秀議程投稿，於中午 12:15 加開議程，並提供餐點。 * **講師名人堂 (Speaker Hall of Fame):** 根據歷年會後滿意度調查評分設立。 * 曾獲最受歡迎講師者，標示 `Top Speaker`。 * 獲三次者，為 `Rising Star`。 * 獲五次以上者，進入名人堂 `Hall of Fame`。 * 宣布首屆四位名人堂成員：陳伶志老師 (台大數學系)、邱銘彰 Birdman (奧義智慧)、翁浩正 HITCON ZeroDay (台灣駭客協會)、林榆翔與陳亮宏 (TXOne)。 * **當日議程預告：** 提及上午場 Keynote 講者，包括李育杰諮委 (國安會，分享國家資安戰略 2025)、捷克眾議院副議長、Google Cloud 代表、荷蘭地鐵 CISO 等。 * **呼籲回饋：** 鼓勵與會者參與會後滿意度調查。 #### 3. 技術(或政策)與實務區塊 * **主要技術/政策要點：** 此為活動介紹，非技術/政策導向。重點在於**社群參與機制**與**知識傳播形式**的創新。 * **互動式學習：** 兵棋推演提供不同於傳統演講的互動學習體驗。 * **議程擴充：** Lunch Learning Session 增加了知識獲取的機會。 * **講師激勵：** 講師名人堂機制旨在肯定與激勵高品質的內容分享。 * **實務應用方法：** 鼓勵與會者積極規劃時間，參與兵推、中午議程等多元活動。 * **產業趨勢/發展方向：** 大型研討會尋求更多元、更互動的交流形式；對優質內容與講者的肯定機制化。 #### 4. 價值評估 * **獨特價值與亮點：** * 有效引導與會者關注並參與大會的特色活動。 * 設立「講師名人堂」，開創了對長期貢獻的講者進行表彰的先例，有助於提升議程品質與講者榮譽感。 * **對資安產業的意義：** * 鼓勵更多形式的知識交流與互動 (如兵推)。 * 建立良性循環，激勵專家持續分享高品質內容。 * **實際工作應用潛力：** 啟發其他會議或組織思考如何設計更多元的互動環節與激勵機制。 --- <a id="toc-16-sov-ai"></a> ### **議程：主權AI與韌性國家** #### 1. 基本資訊 * **議程標題：** 主權AI與韌性國家 (Sovereign AI and Resilient Nation) * **講者：** 李育杰（國家安全會議諮詢委員） * **時間與地點：** 09:35-10:05 | 7F 701 ABCD * **關鍵字：** `AI`, `AI Safety`, `Resilience`, `Sovereign AI`, `TAIDE`, `National Security`, `Large Language Model (LLM)`, `Data Bias`, `Disinformation` #### 2. 內容摘要 * **核心訊息：** 面對大型語言模型 (LLM) 帶來的潛在國安風險 (如資料偏見、假訊息操弄、技術依賴)，發展自主可控的「主權 AI」 (Sovereign AI) 對於維護國家數位主權、文化價值與民主韌性至關重要。台灣推動的「可信任 AI 對話引擎」(TAIDE) 計畫即是此戰略思維下的具體實踐。 * **關鍵論點：** * **主權 AI 概念興起：** * 源於對現有 LLM (如 ChatGPT, 百度文心一言) 潛在風險的擔憂。 * 引用 WEF 報告、彭博社報導及 NVIDIA CEO 黃仁勳的言論 (2024/2 提出 Sovereign AI 概念)，強調各國應建立自己的 AI 基礎設施以保護經濟競爭力與文化價值。 * 彭博社報導案例：百度文心一言在回答台灣選舉問題時，會附加「一個中國」論述，顯示 AI 可能被用於政治宣傳。 * **台灣發展自主 LLM (TAIDE) 的動機：** * **國安考量：** 避免過度依賴可能存在偏見、審查或被他國操控的外部 LLM。 > **講者引用/強調：** "如果我們不解決這個 large language problem 的問題，過一天一樣會有面的... 你像 GPT 這樣的服務，你是把你心裡有疑惑的，你想知道的問題去問他... 如果大家都去用(中國的)大型語言模型，那中國會知道所有台灣人再想些什麼... 他還會告訴你該怎麼做，那這絕對是一個國家安全的問題。" * **資料偏見 (Data Bias):** 現有 LLM 的訓練資料易受大國影響，台灣相關內容佔比低，易產生偏誤或不符合在地需求的回答。 * **用詞與文化差異：** 外部 LLM 的用詞習慣 (如簡體字)、價值觀可能與台灣不同。 * **資料外洩風險：** 使用公有雲 LLM 服務可能導致企業機敏資料或個人隱私外洩 (舉例三星)。 * **人才培育與產業發展：** 透過大型計畫培養處理大規模 AI 模型的人才，並帶動本土 AI 產業鏈 (硬體、服務) 發展。 * **TAIDE 計畫概況：** * 目標：建立可信任、符合台灣價值與法規、保障資安的對話引擎。 * 緣起：講者於 2023 初向國科會提出。 * 成果：2024/4/15 正式釋出 (基於 Llama 2)，並快速跟進 Llama 3 版本 (4/29 釋出)。 * **在地化與創新應用：** * 強調模型可落地部署 (on-premise)、離線運行，降低資料外洩風險 (高雄大學壓縮模型案例)。 * 社群積極參與，開發各種應用 (如台語學習、英文學習)。 * **拜拜文化梗：** 展示計畫辦公室拜「綠色乖乖」與「大蒜 (算力)」，象徵在地文化與科技結合。 * **AI 與國防安全 (AI for National Security):** AI 可應用於發展不對稱防衛能力，如資安工具、自主載具 (水下、空中)，鼓勵台灣 AI 人才投入國防領域。 * **連結國家資安戰略 2025：** * 主權 AI 與 TAIDE 的發展，直接呼應戰略中的「全社會防衛韌性」、「關鍵基礎設施防護」、「供應鏈安全」、「新興科技防禦」四大支柱。 * 強調供應鏈安全的迫切性 (政府共同供應契約的潛在風險)。 * **重要案例/數據：** 彭博社報導百度文心一言案例、三星使用 ChatGPT 資料外洩疑慮、TAIDE 計畫時程 (2024/4/15 釋出 Llama 2 版, 4/29 釋出 Llama 3 版)、高雄大學壓縮 TAIDE 模型案例、台南大學台語學習應用、習近平書架上的《大演算》(Master Algorithm)。 #### 3. 技術(或政策)與實務區塊 * **主要技術/政策要點：** * **主權 AI (Sovereign AI):** 國家自主發展、部署、控制 AI 基礎設施與模型的能力。 * **大型語言模型 (LLM) 本地化：** 針對特定語言、文化、價值觀進行模型訓練與微調 (TAIDE)。 * **資料偏見與緩解 (Data Bias & Mitigation):** 認識 LLM 訓練資料的偏見來源，透過本地化資料增強與對抗性訓練降低偏見。 * **可信任 AI (Trustworthy AI):** 強調 AI 系統需符合安全、隱私、公平、透明、可解釋、負責等原則。 * **落地部署 (On-Premise Deployment):** 為解決資料外洩疑慮，提供可在地端運行的 AI 模型選項。 * **AI 國家戰略：** 將發展自主 AI 納入國家安全與產業發展戰略規劃。 * **AI 倫理與治理：** 參考行政院 AI 指引 (AI 會錯、責任在人、注意資安)。 * **實務應用方法：** * **政府與公部門：** 應優先評估採用如 TAIDE 等本土化、可落地的 LLM，處理敏感資訊與內部應用。 * **企業：** 在選擇 LLM 服務時，需評估其資料來源、訓練偏見、部署選項 (雲端 vs. 地端) 及是否符合台灣法規與價值觀。 * **學術與研究機構：** 利用 TAIDE 等開源模型進行在地化應用研究與人才培育。 * **產業發展：** 鼓勵發展基於 TAIDE 的加值應用與服務，建立本土 AI 生態系。 * **產業趨勢/發展方向：** * 主權 AI 成為各國競相發展的重點，強調 AI 技術的自主可控。 * 在地化、小型化、可落地部署的 LLM 模型將有更多應用場景。 * AI 倫理、安全、治理的重要性日益凸顯。 * AI 在國防與安全領域的應用將持續深化。 #### 4. 價值評估 * **獨特價值與亮點：** * **權威性闡釋：** 由國安會諮委、TAIDE 計畫推動者親自說明主權 AI 與 TAIDE 的戰略意義與背後考量。 * **國際脈絡連結：** 將台灣發展 TAIDE 置於全球主權 AI 興起的趨勢下討論。 * **風險直指：** 坦誠點出依賴外國 LLM 的國安、文化、資料偏見風險。 * **在地成果展示：** 介紹 TAIDE 計畫的具體進展與初步的社群應用成果。 * **對資安產業的意義：** * **提升戰略層次：** 將發展自主 AI 技術提升至國家安全與主權的高度。 * **創造新需求：** 發展主權 AI 將帶動對安全、可信賴 AI 解決方案的需求。 * **指引發展方向：** 鼓勵產業投入與國家戰略相關的 AI 應用 (如國防、資安)。 * **強調資料安全：** 再次凸顯在使用 AI 時，資料主權與隱私保護的重要性。 * **實際工作應用潛力：** * **政府/企業決策參考：** 在規劃 AI 導入策略時，將主權、安全、可控性納入考量。 * **技術選型依據：** 為需要處理敏感資料或符合在地需求的應用，提供了選擇 TAIDE 等本土模型的理由。 * **研發方向啟示：** 鼓勵開發圍繞 TAIDE 生態系的工具、應用與安全解決方案。 --- <a id="toc-16-dig-sov"></a> ### **議程：Digital Sovereignty: Security of the Information Space in Democracy** #### 1. 基本資訊 * **議程標題：** Digital Sovereignty: Security of the Information Space in Democracy * **講者：** Jan Bartošek（捷克共和國眾議院副議長） * **時間與地點：** 10:05-10:30 | 7F 701 ABCD * **關鍵字：** `Data Protection`, `Disinformation`, `Cyber Resilience`, `Digital Sovereignty`, `Democracy`, `Regulation`, `Information Warfare`, `Media Literacy`, `Platform Governance` #### 2. 內容摘要 * **核心訊息：** 數位主權 (Digital Sovereignty) – 即國家治理其數位基礎設施、數據和通訊的能力 – 是現代民主制度的基石。在數據成為最寶貴資源的時代，民主國家必須積極應對外部操縱 (假訊息、監控)、大型科技平台壟斷、以及威權國家利用技術進行控制與破壞的挑戰，透過立法、技術自主、公民教育等手段，確保資訊空間的安全與民主價值。 * **關鍵論點：** * **數位主權的重要性：** 與言論自由、法治同等重要，缺乏數位主權將使民主制度易受外部操縱和系統性破壞。 > **講者引用/強調：** "Without supervision of our digital space, we risk losing our control of our democratic institution and about democratic process in our countries." * **數據作為新權力來源：** * 數據取代實體資源成為最有價值的資產，且可被無限複製、利用。 * 現代生活無處不產生數據 (汽車感測器、網路行為)，大型平台藉此建立精確的用戶畫像，預測甚至影響其行為 (消費、投票、信任)。 * 掌握數據者掌握軟性控制權 (Soft Control) 或混合威脅工具。 * **數位主權的內涵：** 控制數位基礎設施 (含海纜)、雲端儲存、數據跨境流動、防範外國監控與假訊息、擺脫全球平台壟斷、確保資訊通訊系統的可控性。 * **威權國家的威脅：** * 利用技術進行國內控制 (追蹤、審查、社會信用體系)，形成「數位奴役 (Digital Slavery)」。 * 利用技術對外輸出不穩定 (網路戰、影響力作戰、AI 武器化)。 * 民主國家基礎設施中不應存在來自敵意國家的硬體。 * **民主國家的內部挑戰：** 大型科技平台的權力可能導致間接審查、演算法偏見、新聞獨立性喪失。 * **假訊息與信任危機：** * 強調「言論自由不等於傳播自由 (Freedom of speech is not a freedom of reach)」。 * 假訊息透過自動化工具 (Bots, AI) 大量製造、放大傳播 (舉例某國建立 150 個網站、年產 360 萬篇文章訓練 AI 製造特定敘事)。 * 侵蝕對機構、選舉、事實本身的信任，動搖民主根基。 * **應對策略：** * **數位保護主義 (Digital Protectionism) vs. 數位孤立 (Digital Isolation)：** 支持本土技術發展，但非封鎖；目標是建立公民數據本地儲存、科技公司遵守國內法律、規則清晰可執行的環境。 * **匿名化技術 (Anonymization):** 作為保護隱私、對抗監控的關鍵技術。 * **數位媒體素養 (Digital Media Literacy):** 需成為核心教育一環，教導公民辨識操縱、驗證資訊。 * **保護「離線權 (Right to be Disconnect)」:** 強調保護個人免於持續監控、維持心理健康的必要性。 * **立法與國際合作：** 透過國內立法 (如 GDPR) 與民主國家間的協調合作，制定共同規則、分享價值觀、推動技術創新。 * **建立信任：** 強調社會內部信任 (鄰居、政府、民主制度) 是抵禦外部侵蝕的基礎。 * **重要案例/數據：** 提及劍橋分析 (Cambridge Analytica)、羅馬尼亞總統選舉、德國議會選舉受外部干預案例；某國建立 150 個假訊息網站、年產 360 萬篇文章訓練 AI 的例子。 #### 3. 技術(或政策)與實務區塊 * **主要技術/政策要點：** * **數位主權 (Digital Sovereignty):** 政策核心概念，強調國家對數位領域的治理能力。 * **數據治理與保護 (Data Governance & Protection):** 法規制定 (如 GDPR)、數據本地化儲存、跨境流動管理、**匿名化技術**。 * **關鍵基礎設施安全 (CI Security):** 排除來自敵意國家的硬體供應商。 * **對抗假訊息 (Countering Disinformation):** **數位媒體素養教育**、平台責任、內容驗證機制。 * **大型平台監管 (Platform Regulation):** 反壟斷、演算法透明度、確保公平競爭。 * **技術自主與開放標準 (Technological Autonomy & Open Standards):** 支持本土產業、推廣開源與民主替代方案。 * **實務應用方法：** * **立法與政策制定：** 各國政府需制定符合數位主權原則的法律框架。 * **教育推廣：** 將數位媒體素養納入各級教育體系。 * **技術研發：** 投入資源發展數據匿名化、假訊息檢測、可信任 AI 等技術。 * **國際合作：** 民主國家應加強在標準制定、威脅情資分享、聯合執法方面的合作。 * **企業責任：** 科技平台需承擔更多內容治理與用戶數據保護的責任。 * **產業趨勢/發展方向：** * 數位主權成為國際政治與科技競爭的焦點。 * 各國加強對大型科技平台的監管力道。 * 對抗假訊息與維護資訊空間安全成為民主國家的共同挑戰。 * 數據匿名化與隱私保護技術的需求增加。 * 公民數位素養教育的重要性提升。 #### 4. 價值評估 * **獨特價值與亮點：** * **歐洲視角：** 提供了來自歐洲 (捷克) 的觀點，補充了以美國為主的討論框架。 * **概念深化：** 將數位主權提升至與言論自由、法治同等的民主基石高度。 * **風險廣度：** 涵蓋了從個人數據隱私、平台壟斷到國家級假訊息作戰、威權擴張等多層次風險。 * **策略全面：** 提出的應對策略涵蓋立法、技術、教育、國際合作等多個面向。 * **警示性強：** 以「數位奴役」等詞彙強力警示威權國家利用技術的危險性。 * **對資安產業的意義：** * **拓展資安邊界：** 將資安議題從傳統的攻防擴展到資訊空間安全、民主制度維護的層次。 * **催生新需求：** 對抗假訊息、數據匿名化、可信 AI 等領域將產生新的技術與服務需求。 * **強調治理與合規：** 平台監管與數據保護法規將對企業的資安合規提出更高要求。 * **實際工作應用潛力：** * **政策制定者：** 可參考其論點與策略，制定本國的數位主權與資訊空間安全政策。 * **企業法遵/風控：** 需密切關注相關立法趨勢 (如數據保護、平台責任)，確保合規。 * **教育工作者：** 可將數位媒體素養、平台風險等議題融入教學內容。 * **技術研發者：** 可在數據匿名化、假訊息檢測等領域尋找創新機會。 --- <a id="toc-16-google"></a> ### **議程：Emerging Artificial Intelligence Threats** #### 1. 基本資訊 * **議程標題：** Emerging Artificial Intelligence Threats * **講者：** Christopher B. Porter（Google Cloud 國際安全合作主管） * **時間與地點：** 10:30-11:00 | 7F 701 ABCD * **關鍵字：** `AI Security`, `Threat Intelligence`, `APT`, `Cloud Security`, `Generative AI`, `Cyber Defense`, `Fake Audio`, `Reconnaissance`, `Software Development`, `Deepfake` #### 2. 內容摘要 * **核心訊息：** 儘管對 AI 自動生成惡意軟體或零日漏洞的擔憂存在，但目前 (基於 Google Cloud 及 Mandiant 的觀察) AI 在網路攻擊中最主要且有效的應用是**作為高階翻譯器與偵察工具**，以及**輔助性的軟體開發 (如惡意軟體打包)**，以提高效率而非創造全新能力。防禦端則可利用 AI 大幅提升**告警處理效率、惡意軟體檢測率**及**報告撰寫速度**。 * **關鍵論點：** * **AI 當前主要攻擊應用 - 現實 vs. 想像：** * **想像/擔憂：** AI 自動寫 malware, 找 0-day, 全自動攻擊。 * **現實 (主要應用)：** 1. **高階翻譯器 (Sophisticated Translator):** 克服語言/方言障礙，製作更可信的釣魚郵件，讓技術高超但語言不通的團體 (如東歐/中東駭客) 得以攻擊特定語區 (如台灣)。 2. **偵察輔助 (Reconnaissance):** 快速匯總目標資訊 (組織架構、人員、技術堆疊、已知漏洞)，如同更強大的搜尋引擎。 3. **社交工程強化：** 總結目標郵件內容，模仿語氣風格，進行更逼真的 BEC 詐騙。 4. **Deepfakes (音訊為主)：** > **講者引用/強調：** "fake audio is much more common and I would say much more effective... detecting audio is not how the human mind is... wired. We're wired for faces and for video." * 假音訊比假影像更難被人腦察覺，成功率更高。 * 主要目標：金融業 (繞過語音驗證詐騙 VIP 客戶)、企業內部詐騙 (假冒 CEO/高管下指令)。 * 防禦關鍵：依靠**政策** (禁止透過電話下達重要指令、高管無特權) 而非技術。 5. **輔助惡意軟體開發 (有限度)：** 主要用於例行任務，如重新加密/打包以繞過偵測簽章，而非開發全新惡意軟體。目的是**提高駭客效率**，讓他們專注核心攻擊任務。 6. **自動化工作流程增強 (Workflow Augmentation):** 自動化維護已入侵帳號、處理後勤任務，釋放駭客時間進行更多攻擊。 * **國家級駭客 (APT) 使用 AI 現況 (Google 觀察)：** * **共通點：** 主要用於**偵察**。 * **伊朗 (APT42):** 技術強但有語言障礙，利用 AI 製作釣魚郵件，研究目標漏洞 (公開資訊)。 * **中國：** 規模最大、資源最豐富，除偵察外，也用於輔助腳本編寫與開發任務 (可能是彌補部分團隊開發能力不足)。 * **北韓：** 創新者，除偵察、輔助開發 (C++, PowerShell)，也成功利用**假影像 (Deepfake Video)** 進行 IT 人員滲透 (應徵遠端工作，部分為賺取外匯，部分疑為供應鏈攻擊)。 * **AI 執行攻擊任務的限制 (Google DeepMind 研究)：** * 對**明確定義**的任務 (如網頁 SQL Injection 檢測與利用) 效果較好。 * 對**抽象、需判斷**的任務 (如完整滲透並隱匿竊取資料) 成功率低，尤其在高難度任務接近零。 * **犯罪份子自建/交易 LLM：** 為繞過主流 LLM 的安全限制，犯罪社群會自行訓練或交易可用於惡意目的 (寫 malware, 進階偵察) 的 LLM。 * **AI 在防禦端的應用與效益：** * **誤報過濾 (False Positive Reduction):** AI 可快速分析腳本 (如 PowerShell)，用自然語言總結其行為，幫助第一線人員快速判斷是否為誤報，減少高階分析師負擔。 * **檢測率提升 (Detection Rate Improvement):** 整合 AI 到 VirusTotal 等平台，大幅降低惡意腳本 (70%) 和已知漏洞利用 (300%) 的漏報率。 * **事件回應效率提升 (Incident Response Efficiency):** > **講者引用/強調：** (關於 Google 內部 IR 團隊) "We saw a 51% increase... or improvement in time savings... most of this time savings is attributable to the fact that generative AI can help them write up their reports when they're done." * 主要效益來自**自動化報告撰寫**。AI 可根據調查日誌生成高品質報告初稿 (品質優於平均人工撰寫)，大幅縮短報告時間。 * 使 IR 團隊能在不增加人力的情況下處理更多案件 (Google 內部提升 51%)，降低遺漏風險。 * **重要案例/數據：** 假音訊詐騙金融業、北韓利用假影像應徵 IT 工作、Google DeepMind 攻擊任務成功率研究、VirusTotal 整合 AI 檢測率提升數據 (70%, 300%)、Google IR 團隊效率提升 51%。 #### 3. 技術(或政策)與實務區塊 * **主要技術/政策要點：** * **AI 攻擊向量 (AI Attack Vectors):** 聚焦於 **Reconnaissance**, **Social Engineering (Phishing, BEC)**, **Deepfake Audio/Video**, **Malware Repackaging**, **Workflow Automation**。 * **國家級行為者分析 (APT Actor Analysis):** 伊朗、中國、北韓利用 AI 的不同側重點。 * **AI 防禦應用 (AI for Defense):** **False Positive Reduction**, **Enhanced Detection**, **Automated Reporting**, **Incident Response Acceleration**. * **雲端安全 (Cloud Security - 隱含):** 保護 AI 運行的基礎設施本身。 * **政策建議 (Policy Recommendation):** 強調制定明確政策 (如禁止電話下達重要指令) 對抗 Deepfake Audio 詐騙的重要性。 * **實務應用方法：** * **威脅建模更新：** 將 AI 輔助的偵察、釣魚、Deepfake Audio 納入企業面臨的主要威脅場景。 * **安全意識培訓：** 加強員工對 AI 生成的釣魚郵件、假冒音訊電話的辨識能力。 * **政策審查：** 檢視內部流程，是否存在易被 Deepfake Audio 攻擊的環節 (如高管指令、身份驗證)，並制定補強政策。 * **防禦工具評估：** 評估現有或採購新的安全工具時，關注其利用 AI 提升檢測率、降低誤報、加速回應的能力。 * **SOC 優化：** 考慮引入 AI 工具輔助告警分析與報告撰寫，提升維運效率。 * **產業趨勢/發展方向：** * 攻擊者利用 AI 主要在**提高效率與擴大規模**，而非創造顛覆性新能力 (至少目前如此)。 * **Deepfake Audio** 是比 Deepfake Video 更需立即關注的實務威脅。 * 防禦方利用 AI 在**提升效率** (自動化、減少人工判斷) 方面潛力巨大。 * 國家級駭客已普遍將 AI 納入其工具箱，特別是偵察階段。 #### 4. 價值評估 * **獨特價值與亮點：** * **基於實證：** 強調分享的是 Google Cloud/Mandiant 實際觀察到的威脅情報，而非純理論推測，更具參考價值。 * **現實聚焦：** 將討論重點從未來可能拉回當前 AI 最有效的攻擊應用 (翻譯、偵察、假音訊)，提醒業界勿忽略眼前的威脅。 * **攻防對比：** 清晰對比了 AI 在攻擊端與防禦端的應用現況與效益。 * **務實建議：** 針對 Deepfake Audio 提出了具體的政策性防禦建議。 * **對資安產業的意義：** * **校準威脅認知：** 幫助業界更準確地評估 AI 在當前網路攻擊中的實際作用與侷限。 * **指明防禦方向：** 展示了 AI 在提升 SOC 效率、檢測能力方面的巨大潛力與成功案例。 * **提供情報視角：** 分享了頂尖威脅情報團隊對主要 APT 組織使用 AI 的觀察。 * **實際工作應用潛力：** * **威脅情資分析：** 可將報告中的 APT 活動模式納入情資分析。 * **防禦策略調整：** 優先加強對 AI 強化釣魚和 Deepfake Audio 的防禦措施與內部政策。 * **SOC 工具導入：** 在評估引入 AI 輔助工具時，可優先考慮能顯著提升告警處理與報告效率的方案。 * **管理層溝通：** 可引用 Google 的案例，說明投資 AI 於防禦端的具體效益 (效率提升)。 --- <a id="toc-16-railway"></a> ### **議程：The Cyber Express: Securing Railways in a Connected World** #### 1. 基本資訊 * **議程標題：** The Cyber Express: Securing Railways in a Connected World * **講者：** Dimitri van Zantvliet（荷蘭鐵路網絡安全總監，CISO） * **時間與地點：** 11:00-11:30 | 7F 701 ABCD * **關鍵字：** `Critical Infrastructure Protection`, `AI Security`, `Cyber Resilience`, `Railway Security`, `OT Security`, `Compliance`, `Digital Transformation`, `AI Governance`, `Ethical AI`, `ISO 42001` #### 2. 內容摘要 * **核心訊息：** 鐵路系統作為關鍵基礎設施，其數位化轉型帶來效率提升的同時，也面臨日益嚴峻的網路威脅 (OT/IT 融合風險、供應鏈攻擊、AI 系統安全)。荷蘭鐵路 (NS) 正在積極應對，透過建立強健的資安組織 (三道防線)、遵循法規 (NIS2, CRA, DORA)、並將 AI 治理納入資安框架 (參考 ISO 42001)，以確保營運安全與韌性。演講藉由狄更斯《信號員》的故事隱喻 AI 系統的潛在風險與人類需保持警惕的重要性。 * **關鍵論點：** * **鐵路數位化轉型的挑戰：** * IT/OT 融合帶來新的攻擊面。 * 系統複雜性增加，依賴性提高。 * 面臨嚴格的法規遵循要求 (NIS2, CRA, DORA 等歐盟法規)。 * 不斷升級的網路威脅 (勒索軟體、APT)。 * **狄更斯《信號員》的隱喻：** * 信號員依賴新技術 (電報) 接收預警信號，但無法完全理解或信任信號，最終導致悲劇。 * 類比現今：我們日益依賴 AI 系統做決策，但需警惕 AI 可能產生的錯誤信號、偏見或被操縱的風險，人類不能完全放棄判斷。 > **講者引用/強調：** (解釋信號員悲劇) "...the signal man apparently was not able to translate the signals he was getting from the new machines... the power that he was trying to control, actually became his death." (警示過度依賴卻無法掌控技術的風險) * **荷蘭鐵路 (NS) 的資安實踐：** * **組織架構：** 建立 130 人的資安團隊，採三道防線模型 (業務/IT、資安部門、稽核)。 * **法規遵循：** 積極應對 NIS2, CRA, DORA 等歐盟指令。 * **AI 治理與資安整合：** * **認知到 AI 風險：** 模型中毒、提示注入、偏見、數據稀釋等。 * **率先整合：** 歐洲首家將 AI Officer 納入資安部門的鐵路公司。 * **框架選擇：** 認為歐盟 AI Act (8 個風險域) 和 NIST AI RMF (缺乏隱私) 不足，選擇導入 **ISO 42001 (AI Management System, AIMS)**，建立類似 ISO 27001 的管理體系。 * **具體措施：** 制定 AI 使用政策、成立數據使用委員會 (含 AI)、進行風險分析、確保 AI 生命週期安全 (設計、部署、汰除)。 * **AI 的倫理與永續考量：** * **傑文斯悖論 (Jevons Paradox):** 技術效率提升 (如 AI 模型、蒸汽機) 反而可能導致總體資源消耗增加 (能源、煤炭)。 > **講者引用/強調：** "More energy is being used. So there is no indication anyway that we will use less energy in the coming years... We can't have any more data centers attached to the grid (in the Netherlands)." * 呼籲重視 AI 的**能源消耗**問題 (Green Intelligence)。 * 提倡 **IA (Intelligent Assistance)** 概念：將 AI 定位為輔助人類決策的工具，而非完全取代。需結合倫理、公平、社會、綠色等多維度考量。 * **重要案例/數據：** 荷蘭鐵路資安團隊規模 (130人)；參考及選擇的 AI 治理框架 (EU AI Act, NIST AI RMF, ISO 42001)；傑文斯悖論。 #### 3. 技術(或政策)與實務區塊 * **主要技術/政策要點：** * **關鍵基礎設施 (CI) 安全：** 聚焦鐵路行業的特定挑戰 (IT/OT 融合、實體安全)。 * **歐盟資安法規遵循 (EU Compliance):** **NIS2** (網路與資訊系統安全指令), **CRA** (網路韌性法案), **DORA** (數位營運韌性法案)。 * **AI 治理框架 (AI Governance Framework):** 比較 EU AI Act, NIST AI RMF, 並重點介紹 **ISO 42001 (AIMS)**。 * **負責任 AI (Responsible AI):** 涵蓋安全、倫理、公平、透明、隱私、永續 (能耗) 等多面向。 * **IT/OT 融合安全 (IT/OT Convergence Security):** 管理兩者整合帶來的風險。 * **三道防線模型 (Three Lines Model):** 在資安組織設計中的應用。 * **實務應用方法：** * **治理整合：** 將 AI 治理納入現有的資安管理體系 (如借鑒 ISO 42001 建立 AIMS)。 * **政策先行：** 制定清晰的內部 AI 使用政策與道德準則。 * **跨部門協作：** 成立類似「數據/AI 使用委員會」的跨職能機構，共同評估風險與應用。 * **生命週期管理：** 將安全與治理要求嵌入 AI 應用的整個生命週期。 * **風險評估：** 針對特定 AI 應用進行風險分析，識別潛在危害。 * **供應鏈管理：** 審查引入的第三方 AI 系統或模型的安全性與合規性。 * **產業趨勢/發展方向：** * 關鍵基礎設施的數位轉型加速，對 OT/ICS 安全與韌性要求更高。 * AI 在 CI (如預測性維護、營運優化) 的應用增加，AI 安全與治理成為必要課題。 * 國際標準 (如 ISO 42001) 為 AI 治理提供了可依循的框架。 * AI 的倫理與社會影響 (包括能源消耗) 受到更多關注。 * IA (Intelligent Assistance) 作為人機協作模式的理念被提出。 #### 4. 價值評估 * **獨特價值與亮點：** * **特定行業視角：** 提供了關鍵基礎設施 (鐵路) 導入 AI 與應對資安挑戰的獨特案例。 * **治理框架實踐：** 分享了選擇並導入 ISO 42001 作為 AI 治理框架的具體經驗。 * **文學隱喻應用：** 巧妙運用狄更斯《信號員》的故事，引發對人與 AI 關係的深刻反思。 * **前瞻性考量：** 將 AI 的倫理與能耗 (永續性) 問題納入討論，超越了純粹的技術安全範疇。 * **組織創新：** 將 AI Officer 納入資安部門是組織架構上的創新嘗試。 * **對資安產業的意義：** * **拓展治理範疇：** 提醒業界需將新興的 AI 治理納入傳統的資安框架。 * **標準應用參照：** ISO 42001 的導入經驗為其他企業提供了參考。 * **跨領域思考：** 鼓勵從更廣泛的倫理、社會、環境角度思考 AI 安全。 * **CI 安全借鑒：** 鐵路行業的經驗對其他 CI 領域具有參考價值。 * **實際工作應用潛力：** * **AI 治理導入：** 計劃導入 AI 的企業 (尤其 CI 行業) 可參考其選擇 ISO 42001 的理由與實施方式。 * **風險評估：** 可借鑒其識別出的 AI 風險域 (模型中毒、提示注入等) 進行內部評估。 * **政策制定：** 可參考其建立 AI 使用政策與治理委員會的做法。 * **永續發展整合：** 在推動 AI 應用時，將能源效率與環境影響納入考量。 --- <a id="toc-16-afternoon"></a> ## 下午場 <a id="toc-16-learn"></a> ### **議程：LEARN LLM Security** #### 1. 基本資訊 * **議程標題：** LEARN LLM Security * **講者：** 蔡凱翔 (Shawn Tsai)（趨勢科技 SPN Architect） * **時間與地點：** 12:00-12:30 | 4F 展區會議室 4B * **關鍵字：** `LLM`, `AI Security`, `Risk Management`, `Security Framework`, `MLOps`, `Prompt Injection`, `Data Leakage`, `Hallucination` #### 2. 內容摘要 * **核心訊息：** 在企業導入大型語言模型 (LLM) 應用的過程中，需關注其開發生命週期 (MLOps) 中各階段的安全風險。趨勢科技提出「LEARN」框架 (Layer, Evaluate, Act, Reinforce, Nurture)，提供一套系統化的方法論，協助組織識別、評估並應對 LLM 相關的安全威脅，實現負責任的 AI 創新。 * **關鍵論點：** * **LLM 普及與開發生命週期：** LLM 應用快速增長，企業導入需經歷類似 MLOps 的生命週期，包括資料工程、(預訓練)、模型選擇、領域適配 (Prompt Engineering, RAG, Fine-tuning)、評估、應用開發、部署與監控。 * **安全邊界與風險 (Security Boundaries & Risks)：** LLM 開發生命週期的各階段轉換處 (Trust Boundary Changes) 是潛在風險點。例如：外部使用者輸入、第三方套件引入、模型訓練資料來源、RAG 外部資料源等。 * **關鍵 LLM 風險案例：** * **Prompt Injection:** (OWASP LLM Top 1 - 2023/2024) 透過惡意提示詞操控 LLM 執行非預期任務。 * 手法：強制命令 (忽略先前指令)、反向心理確認 (繞過 Guardrail)、角色扮演 (如 Grandma Attack)、視覺注入 (如 Captcha 破解案例)。 * 途徑：直接輸入、間接輸入 (透過 RAG 爬取的外部內容)。 * 實例：Chevrolet Chatbot 被操控、視覺 Prompt Injection 破解 Captcha。 * **資料洩漏 (Data Leakage):** LLM 可能在回應中洩漏訓練資料或使用者輸入的敏感資訊。 * 原因：訓練資料未去敏、RAG 訪問權限過大、使用者輸入敏感資料、系統 Bug (如 ChatGPT Redis 漏洞案例)。 * 實例：韓國 Liluda 聊天機器人洩漏個資、ChatGPT 快取漏洞。 * **幻覺 (Hallucination):** LLM 可能生成看似真實但與事實不符的內容。 * 原因：模型基於機率生成、訓練資料不足或偏差、問題超出模型知識範圍。 * 風險：可能被用於散佈假訊息、推薦惡意套件 (如不存在的 `huggingface-cli` 套件被惡意註冊案例)。 * 實例：`huggingface-cli` 惡意套件事件、加拿大航空 Chatbot 錯誤訊息導致賠償 (法院認定公司需為 AI 回應負責)。 * **LEARN 安全框架：** * **Layer (分層識別):** 將 LLM 應用程式架構分層，識別各層 (如 Prompt, Agent, Plugin, Data) 的安全邊界與潛在風險點。 * **Evaluate (評估風險):** 針對識別出的風險點，評估其發生可能性與衝擊。 * **Act (採取行動):** 根據評估結果，參考趨勢科技等提供的安全實踐方法 (如查表法，對應 Boundary 與 Risk)，實施具體防護措施。 * **Reinforce (強化循環):** 持續監控應用程式運行狀況、收集使用者回饋，迭代優化防禦措施。 * **Nurture (培育文化):** 進行內部安全意識培訓，建立負責任的 AI 使用文化。 * **重要案例/數據：** Chevrolet Chatbot Prompt Injection、視覺 Prompt Injection 破解 Captcha、韓國 Liluda 資料外洩、ChatGPT Redis 漏洞 (影響 1.2% 使用者)、`huggingface-cli` 惡意套件事件、加拿大航空判決。 #### 3. 技術(或政策)與實務區塊 * **主要技術/政策要點：** * **MLOps 安全 (Secure MLOps):** 將安全考量融入 LLM 開發與維運的整個生命週期。 * **LLM 特定風險 (LLM-Specific Risks):** 深入探討 **Prompt Injection**, **Data Leakage**, **Hallucination** 等核心風險及其成因與手法。 * **安全框架 (Security Framework):** 提出 **LEARN** (Layer, Evaluate, Act, Reinforce, Nurture) 作為系統化管理 LLM 風險的方法論。 * **風險評估與對策 (Risk Assessment & Mitigation):** 強調識別 Security Boundary，評估對應 Risk，並查找相應的 Mitigation 策略。 * **實務應用方法：** * **架構分析：** 開發團隊應使用 Layer 方法解構自身 LLM 應用，識別潛在風險點。 * **風險評估：** 運用 Evaluate 方法，評估 Prompt Injection、資料外洩等風險在自身應用中的可能性與影響。 * **防護實施：** 參考 Act 階段的建議（如趨勢科技白皮書），實施輸入過濾、輸出驗證、權限控制、RAG 資料源管控等措施。 * **持續監控與改進：** 建立 Reinforce 機制，監控模型行為、收集回饋，持續調整安全策略。 * **內部培訓：** 透過 Nurture 提升開發者與使用者的 AI 安全意識。 * **產業趨勢/發展方向：** * LLM 安全成為 AI 落地應用的關鍵考量。 * 需要系統化的框架 (如 LEARN) 來管理複雜的 LLM 風險。 * MLOps 將與 DevSecOps 深度融合，形成 Secure MLOps 實踐。 * 企業需為 AI 系統的輸出結果承擔責任。 #### 4. 價值評估 * **獨特價值與亮點：** * **系統化框架：** 提出清晰、結構化的 LEARN 框架，為應對複雜的 LLM 安全問題提供了實用的方法論。 * **風險聚焦：** 深入剖析了 Prompt Injection、資料外洩、幻覺等 LLM 核心安全風險，並結合生動案例說明。 * **生命週期視角：** 強調在整個 MLOps 生命週期中嵌入安全考量的重要性。 * **實用性強：** 提供了風險與邊界的對照表（查表法），便於實務操作。 * **對資安產業(及AI應用領域)的意義：** * **提升 LLM 安全意識：** 幫助企業和開發者更全面地認識 LLM 應用潛在的安全風險。 * **提供實踐指南：** LEARN 框架為組織導入 LLM 安全管理提供了具體可行的步驟。 * **促進標準化：** 有助於推動 LLM 安全實踐的標準化與最佳實踐分享。 * **實際工作應用潛力：** * **開發團隊：** 可直接應用 LEARN 框架審視和加固其 LLM 應用程式。 * **資安團隊：** 可藉此框架評估企業內部 LLM 使用的風險，並制定相應的安全政策。 * **產品評估：** 在選擇第三方 LLM 服務或工具時，可依據此框架評估其安全成熟度。 --- <a id="toc-16-re"></a> ### **議程：通過思想鏈將最先進的大語言模型煉成7/24隨時待命的逆向專家** #### 1. 基本資訊 * **議程標題：** 通過思想鏈將最先進的大語言模型煉成7/24隨時待命的逆向專家 (Transforming State-of-the-Art LLMs into 24/7 Reverse Engineering Experts via Chain-of-Thought) * **講者：** Yi-An Lin、Jair Chen（TXOne Networks 威脅研究員） * **時間與地點：** 13:00-13:30 | 1F 展區會議室 1B * **關鍵字：** `Malware Protection`, `Reverse Engineering`, `AI`, `LLM`, `Chain-of-Thought`, `Symbolic Execution`, `Automation`, `Threat Analysis`, `Control Flow Graph`, `Behavior Analysis` #### 2. 內容摘要 * **核心訊息：** 面對惡意程式分析中現有檢測引擎 (簽章比對、動態分析、EDR報告) 的限制 (如高誤報、耗時、無法深入理解行為鏈)，研究團隊提出一種新思路：模擬人類逆向工程專家的分析流程，利用 LLM 結合控制流圖 (CFG)、行為分析 (Behavior Analysis) 與思想鏈 (Chain-of-Thought, CoT) 推理，在純靜態分析 (不實際執行樣本) 下，自動萃取惡意程式的潛在高風險行為鏈 (Behavior Chain)，以輔助分析師快速判斷與分類。 * **關鍵論點：** * **現有檢測引擎的挑戰：** * **高誤報率 (False Positives):** 引用研究指出高達 99% 的告警可能是誤報，耗費 SOC/IT 大量時間排查 (舉例 Windows Defender 對正常程式誤報 Imotet)。 * **分類標籤不一致：** VirusTotal 上不同廠商對同一樣本標籤各異 (Trojan, Dropper, Backdoor)，難以快速了解核心行為。 * **靜態分析限制 (Signature Matching):** YARA 等基於簽章的方法無法揭示具體 API 調用與行為關聯。 * **動態分析限制 (Dynamic Analysis):** * 耗時 (需建環境、執行、等待報告，可能遇 Long Sleep)。 * 可能無法執行 (需特定環境/密碼，如 Locky 3.0 案例)。 * **EDR/XDR 報告複雜：** 關聯圖譜複雜，資訊過多，難以快速聚焦關鍵惡意行為鏈。 * **LLM 在程式碼理解的潛力與局限：** * 參考 Microsoft 研究，LLM 對 Binary Code 直接解析能力有限 (相似度約 40%)。 * 結合 CFG (Control Flow Graph) 能提升 LLM 對程式邏輯的理解。 * **核心概念：行為鏈 (Behavior Chain):** 將單一行為 (如 Create File, Execute File, Modify Registry) 串聯起來，更能體現惡意意圖。 * **模擬人類專家分析流程 (Case Study 方法)：** * **人類專家如何分析：** 使用 IDA Pro 等工具 -> 拆解樣本 -> 獲得 CFG -> 分析 CFG -> 識別關鍵 API/指令 -> 歸納行為 (Behavior) -> 串聯行為形成行為鏈 (Behavior Chain) -> 依據行為鏈判斷惡意類型與意圖。 * **案例一 (BlackPasta Ransomware):** 透過靜態分析識別行為鏈：`Delete Shadow Copy` (VSSAdmin, T1490) -> `Enumerate Volumes/Files` (FindVolume/FindFirstFile) -> `Encrypt with ChaCha20` (識別特定 Magic Word) => 推斷為 Ransomware。 * **案例二 (Redline Infostealer):** 透過靜態分析識別行為鏈：`Find System Processes` (Process32Next) -> `Elevate Privilege` (AdjustTokenPrivileges, SeDebugPrivilege) -> `Collect System/User Info` (Clipboard, Screenshot, Keylogging) -> `Exfiltrate Data` (Connect to Web Server) => 推斷為 Infostealer/Trojan/Backdoor。 * **基於 LLM 的自動化方案：** * **流程：** 輸入樣本 -> Disassembler (拆解 Code Block) -> Detection Engine (標註 Behavior) -> 組合 CFG (含標註的 Behavior) -> **LLM 結合 CoT 與 Threat Taxonomy Database 分析 CFG** -> 輸出分類、解釋、建議、標註惡意行為的 CFG。 * **Threat Taxonomy Database:** 基於 Microsoft 的 15 種分類 (Ransomware, Spyware 等)，歸納各類型對應的關鍵 Behavior 與 Behavior Chain。 * **LLM 角色：** 根據輸入的 CFG (含 Behavior 標註) 和組合語言碼，對照 Taxonomy Database，利用 CoT 進行推理，找出最可能的惡意分類，並解釋原因 (標示出對應的 Function/Assembly Code)。 * **目標：** 輔助分析師，而非完全取代。快速提供高風險行為鏈和初步分類，縮小分析範圍。 * **Demo 展示：** 輸入樣本 -> AI 輸出多個可能分類 (Backdoor, Infostealer) -> 標示支持該分類的 Function 位置、Assembly Code -> 解釋原因與影響 -> 視覺化呈現標註惡意行為的 CFG。 * **重要案例/數據：** 99% Alert False Positive 研究、Windows Defender 誤報 Imotet、Locky 3.0 動態分析困難、BlackPasta Ransomware 分析流程、Redline Infostealer 分析流程、VirusTotal 標籤不一致問題。 #### 3. 技術(或政策)與實務區塊 * **主要技術/政策要點：** * **靜態惡意程式分析 (Static Malware Analysis):** IDA Pro, Disassembly, **Control Flow Graph (CFG)**。 * **行為分析 (Behavior Analysis):** 從 API 調用、系統指令推斷程式行為 (Behavior)，並串聯成 **行為鏈 (Behavior Chain)**。 * **大型語言模型應用 (LLM Application):** 利用 LLM 進行程式碼理解、模式識別與推理。 * **思想鏈 (Chain-of-Thought, CoT):** 增強 LLM 推理能力，模擬專家分析步驟。 * **威脅分類學 (Threat Taxonomy):** 建立結構化的惡意程式行為知識庫。 * **自動化輔助分析 (Automated Assisted Analysis):** 利用 AI 加速逆向工程流程，輔助人類專家。 * *(隱含提及 Symbolic Execution，但未深入)* * **實務應用方法：** * **分析師輔助：** 將此方法整合到惡意程式分析流程中，快速獲取樣本的潛在行為鏈與初步分類，縮小人工分析範圍。 * **告警分級：** 對於大量告警中的未知樣本，可先透過此方法進行快速篩選，優先處理高風險行為鏈的樣本。 * **威脅狩獵：** 從分析結果中提取出的行為鏈可作為新的威脅狩獵規則或 IOC。 * **產業趨勢/發展方向：** * 利用 AI/LLM 提升惡意程式分析的效率與深度。 * 從單純的簽章檢測、沙箱行為，進化到更深層次的行為鏈與意圖分析。 * 靜態分析技術的智能化與自動化。 * 人機協作將成為未來惡意程式分析的主流模式。 #### 4. 價值評估 * **獨特價值與亮點：** * **創新方法：** 提出了一種新穎的、模擬人類專家思維的靜態分析方法，結合了 CFG、行為鏈、LLM 和 CoT。 * **解決痛點：** 直接針對現有檢測引擎在效率、深度、準確性上的限制提出解決方案。 * **純靜態優勢：** 避免了動態分析的耗時與反偵測問題，可在早期快速評估樣本風險。 * **可解釋性：** LLM 不僅給出分類，還能解釋原因並標示出對應的程式碼片段，輔助人工驗證。 * **對資安產業的意義：** * **提升分析效率：** 有潛力大幅縮短惡意程式分析師處理樣本所需的時間。 * **深化威脅理解：** 從關注單點行為提升到關注行為鏈，更能揭示攻擊者意圖。 * **推動 AI 應用：** 展示了 LLM 在核心資安技術（逆向工程）領域的深度應用潛力。 * **實際工作應用潛力：** * **SOC/IR 團隊：** 可用於快速 triage 大量告警中的未知樣本。 * **惡意程式研究員：** 可作為加速樣本初步分析、聚焦關鍵程式碼片段的輔助工具。 * **資安產品研發：** 可將此技術整合到 EDR、Sandbox 或威脅情報平台中，提供更豐富的分析維度。 --- <a id="toc-16-zt-id"></a> ### **議程：零信任!!連帳號管理都沒做好怎麼信任!** #### 1. 基本資訊 * **議程標題：** 零信任!!連帳號管理都沒做好怎麼信任! (Zero Trust!! How Can You Trust When Even Account Management Isn't Done Right?) * **講者：** 黃建笙（登豐數位科技總經理 / ISC² Taipei Chapter 會員主委） * **時間與地點：** 14:00-14:30 | 1F 展區會議室 1B * **關鍵字：** `Identity Governance`, `Phishing`, `Zero Trust`, `SSO`, `MFA`, `Account Management`, `Social Engineering`, `Authentication`, `MFA Bypass`, `FIDO2`, `Security Keys` #### 2. 內容摘要 * **核心訊息：** 本次演講核心並非探討零信任 (Zero Trust) 本身，而是強調在談論信任之前，必須先做好最基礎的「身份驗證安全」與「帳號管理」。講者深入剖析了多因子驗證 (MFA) 的常見弱點與被繞過的真實手法，指出許多看似安全的機制實則不堪一擊，最終倡導使用安全性金鑰 (Security Keys / FIDO2) 作為抵禦身份掠奪和 MFA 繞過的最佳實踐。 * **關鍵論點：** * **3A 架構的根本 - 驗證：** 身份安全基石是 3A (Authentication, Authorization, Auditing)，其中「驗證 (Authentication)」 – 證明你是對的人 – 是最困難也是最根本的一環。 > **講者引用/強調：** (談 Kerberos 地獄三頭犬) "三顆頭，驗證、授權、稽核，你哪一關沒做好，你的身份安全就是失控。" * **身份識別流程與弱點：** 識別 (ID) -> 驗證 (Credential) -> 授權 (Access) -> 稽核 (Log)。每個環節都有風險：ID 易猜測 (Email = AD Account)、密碼易洩漏/弱密碼、Session/Token 被竊等於身份被盜用、稽核用於事後佐證。 * **驗證三要素及其缺陷：** * **Something You Know (你知道什麼 - 密碼/PIN):** * 弱點：易忘、易猜、易釣魚、易側錄、易因重複使用或他人外洩而暴露 (Credential Stuffing)。 * 迷思：長度比複雜度更重要 (NIST 建議 14 字)。限制複雜度規則反而縮小密碼空間。 * 疲勞效應：頻繁變更密碼導致使用者採用規律性弱密碼 (e.g., ...R1, ...R2)。 > **講者引用/強調：** "答案，說出來、講出來、貼出來，那組密碼根本不該再用。" * **Something You Have (你擁有什麼 - 手機/Token):** * 優點：手機普及率高，相對低成本。 * 弱點： * **MFA 疲勞/轟炸 (MFA Fatigue/Bombing):** 攻擊者獲取密碼後，在使用者正常登入時段瘋狂發送 MFA 請求，誘使其誤按同意 (舉例某 CISO 受害案例)。 * **裝置綁定風險：** 帳號被盜後可能被綁定攻擊者的裝置。 * **SIM Swapping / SMS OTP 風險 (未明講但相關)。** * **VPN + 被駭裝置繞過：** 攻擊者利用釣魚取得憑證後，在受害者電腦植入 VPN 反向連接，從受害者裝置 IP 登入，可能繞過基於位置的 MFA 檢查。 * **Something You Are (你是什麼 - 生物特徵):** * **關鍵區分：** 必須能證明「活體 (Liveness)」。虹膜、指靜脈、掌靜脈可證明活體。 * **指紋/人臉的侷限：** 指紋 (甚至人臉辨識) 無法完全證明活體，易被複製或繞過 (e.g., 透過照片、指紋膜)，在本質上更接近 "Something You Have"。 > **講者引用/強調：** "指紋能不能證明你活著？不能... 證明你活著的生物特徵才叫生物特徵。" * **Windows 驗證史 = 身份安全漏洞史：** * **Win95:** NTLM (14 字限制)，密碼非強制，資安概念薄弱。 * **Win2000/AD:** 單一簽入 (SSO) 普及，但也帶來密碼集中風險與橫向移動攻擊 (Pass-the-Hash/Ticket)。微軟 MDI (ATA) 直到 2015 年才推出。 * **WinXP:** 本機防火牆出現，Null Session 濫用，WDigest 在記憶體中**明文**存放密碼 (直到 Server 2012 才預設加密)。 * **Win7/Hello:** 引入 PIN/手勢/指紋/智慧卡，但實務上 "Something You Have" (如公務憑證) 常被固定插入，失去意義 (舉例內政部系統案例)。 * **Win10/11:** Credential Guard (需企業版授權，普及率低)、Passwordless (Windows Live Account)、原生支援 MFA、零信任整合。 * **MFA 繞過是現實威脅：** * **近期案例 (美國 OOC / 台灣 SI):** 弱密碼 + 缺乏 MFA 的管理帳號被猜中 -> 橫向移動 -> 開啟 WDigest -> 登出鎖定誘使用戶重輸密碼 -> Dump 明文密碼 -> 加密系統。流程與 OOC 事件高度相似。 * **釣魚 + MFA 互動：** 透過釣魚頁面騙取帳號密碼，即使有 MFA，攻擊者也能即時觸發 MFA 請求，並將使用者輸入的 OTP 或同意請求轉發給真實登入頁面，完成劫持 (Session Hijacking / MFA Bypass Phishing Kit)。講者展示了親身收到的釣魚郵件與假冒 M365 登入頁面，即使輸入錯誤密碼也能觸發 MFA 提示。 * **最佳解方 - 安全性金鑰 (Security Keys / FIDO2)：** * **原理：** 結合 Something You Have (實體 Key)、Something You Know (PIN 碼)、Something You Do (觸碰按壓)。一物(Key) + 一物(PIN) + 一動作(Touch)。 * **優勢：** 極難被遠端釣魚或 MFA 疲勞攻擊繞過，私鑰不出裝置。 * **挑戰：** 成本較高 (700元+/支)、需使用者攜帶與管理 (建議多把備援並做標記區分 PIN)。 > **講者引用/強調：** "MFA 繞過只有一個方法最難繞過：安全性金鑰...綜合了 Something you have, Something you know, 以及 Something you do。" * **重要案例/數據：** NIST 密碼長度建議 (14字)；NTLM 12 字密碼破解率達 33%；Windows 驗證機制演進史；公務憑證 PIN 碼預設值問題；美國 OOC 遭駭事件 (與台灣某 SI 事件類比)；講者親身經歷的 M365 釣魚與 MFA 互動過程；CISO 因 MFA 疲勞攻擊導致帳號被盜案例。 #### 3. 技術(或政策)與實務區塊 * **主要技術/政策要點：** * **身份驗證基礎 (Authentication Fundamentals):** 3A 架構, 驗證三要素 (Know, Have, Are) 及其演進與弱點。 * **Windows 身份驗證機制：** NTLM (v1/v2), Kerberos, WDigest, Credential Guard, Windows Hello。 * **多因子驗證 (MFA):** OTP, Push Notification, Security Keys (FIDO2)。 * **MFA 繞過技術 (MFA Bypass):** **MFA Fatigue/Bombing**, **Phishing Kits (AiTM - Adversary-in-the-Middle)**, VPN + Compromised Device。 * **身份治理 (Identity Governance):** 強密碼政策、MFA 強制實施、帳號生命週期管理、最小權限原則 (隱含)。 * **釣魚防禦 (Anti-Phishing):** 技術手段與使用者教育。 * **實務應用方法：** * **強化密碼策略：** 要求更長密碼 (≥14字)，禁用弱密碼/常用密碼，考慮 Passwordless。 * **部署強健 MFA：** **優先考慮推動 FIDO2/安全性金鑰**，至少使用基於 App 的 OTP 或 Push，避免使用 SMS OTP。 * **使用者教育：** 針對 MFA 疲勞、釣魚網站、社交工程進行持續教育。 * **端點與 AD 安全：** 強化端點防護，啟用 Credential Guard，監控 AD 安全事件 (MDI)，停用 NTLMv1，加密 WDigest (預設)。 * **最小權限：** 確保使用者僅擁有執行職務所需的最小權限，降低橫向移動風險。 * **事件應變：** 準備好應對 MFA 被繞過、帳號被盜用的應變計畫。 * **產業趨勢/發展方向：** * 攻擊者持續鎖定身份驗證環節，MFA 繞過技術不斷翻新。 * **抗釣魚 (Phishing-Resistant) MFA (如 FIDO2)** 成為業界最佳實踐與未來趨勢。 * Passwordless 技術逐漸普及。 * 身份治理與存取管理 (IAM) 被視為零信任架構的核心基礎。 #### 4. 價值評估 * **獨特價值與亮點：** * **直擊痛點：** 跳脫零信任的宏大敘事，直接點出最基礎的身份驗證環節普遍存在的嚴重問題，更貼近實務。 * **MFA 迷思破除：** 深入揭示了多種 MFA 方案的實際弱點與被繞過的可能性，警示效果強烈。 * **歷史脈絡清晰：** 透過回顧 Windows 驗證演進史，讓聽眾理解當前安全問題的根源。 * **案例生動具體：** 結合時事 (OOC)、親身經歷、客戶案例，增加內容的說服力與記憶點。 * **解決方案明確：** 強力倡導安全性金鑰 (FIDO2) 作為抵禦 MFA 繞過的最佳解方。 * **對資安產業的意義：** * **回歸基本功：** 提醒業界在追求新興技術 (如 ZT) 的同時，不能忽略最基礎的身份安全衛生。 * **提升 MFA 防禦意識：** 讓企業和使用者意識到並非所有 MFA 都同樣安全，需選擇抗釣魚的方案。 * **推動 FIDO2 普及：** 為推廣安全性金鑰提供了強有力的論據。 * **實際工作應用潛力：** * **企業內部宣導：** 可作為向管理層和使用者解釋為何需要投資更強健身份驗證機制 (特別是 FIDO2) 的絕佳材料。 * **MFA 策略制定：** 指導企業選擇和部署更有效的 MFA 方案，淘汰安全性較低的選項。 * **安全意識培訓：** 可將演講中的 MFA 疲勞、釣魚繞過案例納入培訓內容。 * **零信任規劃：** 強調在規劃 ZT 藍圖時，必須將強化身份驗證作為首要步驟。 --- <a id="toc-16-zt-impl"></a> ### **議程：零信任安全模型：實務導入的挑戰與機遇** #### 1. 基本資訊 * **議程標題：** 零信任安全模型：實務導入的挑戰與機遇 (Zero Trust Security Model: Challenges and Opportunities in Practical Implementation) * **講者：** 孫漢傑博士（中華電信研究院資通安全研究所主任級研究員） * **時間與地點：** 14:45-15:15 | 1F 展區會議室 1B * **關鍵字：** `Zero Trust Network`, `Zero Trust Architecture`, `Identity Management`, `Implementation Challenges`, `Policy Management`, `Financial Sector`, `Government Guidelines` #### 2. 內容摘要 * **核心訊息：** 零信任 (Zero Trust) 架構已成為應對當前不安全網路環境的必要策略。本演講從中華電信研究院的角度，分享在協助客戶 (特別是公部門與金融業) 導入零信任產品 (X-Trust) 過程中所觀察到的實務挑戰與經驗，強調身份認證強化、應用系統調整、網路架構收斂、資料保護及自動化管理的關鍵性。 * **關鍵論點：** * **導入背景與動機：** * 現有 TCP/IP 網路架構設計存在先天缺陷，以網路為中心而非業務/人為中心，導致端點、通道、伺服器端皆存在大量安全風險 (惡意軟體、身份盜用、DNS 劫持、未加密傳輸、系統漏洞、未授權存取等)。 * 傳統「貼膏藥式」的資安防護 (防毒、防火牆) 無法系統性解決問題。 * 資安事件頻發 (舉例 WannaCry, SolarWinds)，迫使業界尋求新的安全範式。SolarWinds 事件是美國推動零信任的關鍵催化劑。 * **零信任核心概念：** * 在不安全的數據網路上疊加一層安全控制，確保端到端的資料傳輸安全。 * **動態風險管理：** 資安風險是動態變化的，因此資安政策制定、應對措施部署、效果評估必須形成快速、動態的閉環。 * **參考框架：** 主要依據 NIST SP 800-207 (定義概念，如 PDP/PEP)，並參考 CISA、DoD 成熟度模型。台灣則有金管會 (金融業) 與數位部/資安院 (公部門) 發布的導入指引。 * **資安院 ZT 架構：** 強調身份 (人 - FIDO2)、設備 (TPM)、信任推斷 (情境感知) 三大要素，透過統一的存取閘道 (Trust Zone Gateway) 與決策控制器 (Policy Decision Point) 進行存取控制。 * **中華電信 X-Trust 實踐：** 基本遵循資安院架構，整合身份識別、設備管理、信任推斷。 * **實務導入挑戰 (經驗分享)：** > **講者引用/強調：** "這個內容是蠻主觀的...從我個人角度去看..." (強調經驗分享性質) 1. **身份認證強度不足 (客戶希望保留舊有方式)：** > **講者引用/強調：** "...客戶他現在用的認證方式，他希望保留...比如說他用 ID Password，他希望繼續保留...但是這跟零信任的概念是衝突的。" * 挑戰：客戶不願立即汰換 ID/Password，導入 FIDO2 等強認證機制需要時間與意願。 * 建議：需持續推動，不能因短期困難而放棄強化目標。 2. **應用系統 (RP) 調整困難：** * 挑戰：零信任架構下 RP 需驗證 Token 而非直接處理認證，需要修改應用程式。客戶常因成本、時間、技術限制 (舊系統改不動) 而抗拒。 * 建議：需克服萬難進行調整，否則零信任效益打折。 3. **網路入口收斂困難 (優化網路設計)：** * 挑戰：客戶現有網路入口分散，難以實現單一 ZT 存取閘道。 * 建議：需強力推動網路架構收斂，**資安長的角色**在此環節至關重要。 4. **資料保護機制 (加密)：** * 挑戰：後端資料庫敏感資料未加密。 * 建議：零信任最終要求資料落地加密，此部分台灣客戶接受度相對較高。 5. **自動化與動態管理不足：** * 挑戰：目前多數導入仍偏靜態規則，未能實現 ZT 最高成熟度的自動化、動態風險偵測與應變。 * 建議：自動化是零信任的終極目標，需持續投入發展。 * **導入程序建議：** 評估現況 -> 衝擊分析 (找出需調整部分) -> 設計導入方案 (建議從非核心系統、小範圍開始) -> 逐步鑑識與擴展。 * **重要案例/數據：** 提及 WannaCry, SolarWinds 事件；引用 NIST, CISA, DoD, 金管會, 資安院的零信任相關文件。 #### 3. 技術(或政策)與實務區塊 * **主要技術/政策要點：** * **零信任架構 (ZTA) 原理：** PDP/PEP 模型, 身份/設備/信任推斷三大要素, 存取閘道。 * **身份認證技術：** **FIDO2** (使用者), **TPM** (設備)。 * **信任推斷 (Trust Inference):** 基於使用者情境 (來源 IP, 設備類型, 時間等) 動態評估風險分數。 * **網路架構調整：** 入口收斂, 反向代理/存取閘道部署。 * **應用系統整合 (RP Integration):** RP 需支援 Token 驗證。 * **資料加密 (Data Encryption):** 資料庫落地加密。 * **自動化管理 (Automation):** ZTA 成熟度模型中的最高階段。 * **實務應用方法：** * **分階段導入：** 建議從風險較低或較獨立的系統開始試點。 * **溝通協調：** 導入 ZT 涉及 IT 架構、應用開發、使用者習慣的重大改變，需跨部門強力溝通與高層支持 (尤其是資安長)。 * **認證先行：** 優先推動使用者與設備的強認證機制。 * **架構規劃：** 需將網路入口收斂納入長期規劃。 * **應用改造評估：** 提早評估現有應用系統修改的可行性與成本。 * **產業趨勢/發展方向：** * 零信任從概念探討進入大規模實務導入階段，挑戰浮現。 * 身份識別與管理 (IAM) 成為 ZTA 的核心基礎。 * 政府與金融業率先推動，將帶動其他產業跟進。 * 自動化、動態化的信任評估與策略執行是 ZTA 的未來方向。 #### 4. 價值評估 * **獨特價值與亮點：** * **實戰經驗分享：** 提供了大型電信/研究機構在協助客戶導入零信任過程中的第一手觀察與痛點分析，極具參考價值。 * **挑戰聚焦：** 直面導入 ZT 時最常見的五大障礙 (身份、應用、網路、資料、自動化)，而非僅談論理想架構。 * **在地化視角：** 結合台灣公部門與金融業的特定指引與導入情況。 * **觀點務實：** 承認導入過程的困難與漸進性，而非過度美化。 * **對資安產業的意義：** * **釐清導入障礙：** 幫助 ZT 方案商、導入顧問、企業用戶更清晰地認識導入過程可能遇到的困難，預作準備。 * **促進方案完善：** 點出的挑戰有助於方案商思考如何降低整合難度、提供更完整的解決方案。 * **建立務實預期：** 提醒企業導入 ZT 是一個長期、需要多方配合的過程，而非一蹴可幾。 * **實際工作應用潛力：** * **企業自評：** 正在或計畫導入 ZT 的企業可用此五大挑戰檢視自身準備度。 * **導入規劃：** 可將這些挑戰納入導入計畫的風險管理中，預擬應對策略。 * **廠商溝通：** 在與 ZT 方案商溝通時，可針對這些挑戰點，了解其解決方案的成熟度。 * **內部溝通：** 可作為向管理層或相關部門解釋導入 ZT 所需資源與跨部門協調的依據。 --- <a id="toc-16-talent"></a> ### **議程：資安與 AI 的交匯點：人才、技術與未來** #### 1. 基本資訊 * **議程標題：** 資安與 AI 的交匯點：人才、技術與未來 (The Intersection of Cybersecurity and AI: Talent, Technology, and the Future) * **講者：** 林子婷 (飛飛／Phoebe 菲比)（七維思執行長） * **時間與地點：** 15:40-15:50 | 4F Cyber Talent 專區 * **關鍵字：** `AI Security`, `Responsible AI`, `Threat Analysis & Protection`, `Cyber Talent`, `Future Skills`, `Career Development`, `AI Upskilling`, `Prompt Engineering` #### 2. 內容摘要 * **核心訊息：** AI 正在深刻改變資安領域的工作模式，從取代重複性任務到成為專業能力的放大器。資安人才需擁抱 AI，學習如何利用 AI 提升學習效率、工作產能與專業價值，關鍵在於掌握「提問力」與「轉化力」，將 AI 視為協作夥伴。 * **關鍵論點：** * **AI 改變資安工作：** * 傳統依賴經驗、手動分析 (漏洞、滲透測試報告、教學設計)。 * AI 可輔助/自動化：滲透測試腳本生成、報告草擬、教學內容生成，大量取代重複性工作。 * **AI 是放大器，非取代者：** > **講者引用/強調：** "AI 它不是萬能的，它是我們的放大器... 我們的差異在於你能不能用 AI 放大自己的專業。" * 核心競爭力從「記得多少」轉變為「能問 AI 什麼」、「能用 AI 組出什麼有用內容」。 * 關鍵在於結合自身專業知識與 AI 工具進行協作。 * **利用 AI 加速資安學習 (五步驟法)：** 1. **選材 (Choose Material):** 好的規範 (NIST)、課程、書籍。 2. **拆解 (Deconstruct Content):** **(最重要、最易忽略)** 利用 Prompt 讓 AI 將複雜技術「說人話」。 * Prompt 技巧：定義角色 (輔導員)、目標 (讓一般人/五歲小孩懂)、拆解角度 (一句話簡介、目的、原理機制、新手誤區、生活比喻)。 * 舉例 (SQL Injection): 解釋是什麼、目的、原理、常見錯誤、生活比喻 (警衛放行)。 3. **轉化 (Transform Output):** 將 AI 解釋轉化為攻擊腳本、流程圖、題目、教案草稿等。 4. **實戰 (Validate in Practice):** **(極重要)** 在靶機/實驗環境 (Docker, CTF, BA) 中動手驗證 AI 輸出的腳本/流程是否正確、有效。 5. **整合 (Integrate & Output):** 將驗證後的成果內化、輸出 (寫心得、技術文章)。 * **資安人才進化論：從「記憶」到「提問+協作」：** * **新技能：** 提問力 (知道卡點、問對問題)、轉化力 (將資訊/新聞轉化為可用知識)、協作力 (信任並有效利用 AI)。 * **警惕：** 不直接將敏感程式碼/資料餵給公有 AI。 * **即刻行動：知識轉化練習：** * 拿一段想學的技術/新聞 -> 請 AI 拆解說明 -> 請 AI 畫流程圖/表格 -> 請 AI 轉成 Checklist/口語 -> 請 AI 設計成課程講義 -> 自己寫心得/文章草稿。 * **心態調整：** > **講者引用/強調：** "AI 其實不會定義所有人，其實也不會取代用位... 你先學著怎麼去體會，怎麼用 AI 來提升自己的價值，是最重要的。" * 重點是駕馭 AI，而非被 AI 取代。 #### 3. 技術(或政策)與實務區塊 * **主要技術/政策要點：** * **AI 輔助資安工作 (AI for SecOps):** 自動化報告生成、腳本轉換、教學設計。 * **AI 輔助學習 (AI for Learning):** 利用 LLM 加速理解複雜技術概念。 * **提示工程 (Prompt Engineering):** 設計有效的 Prompt 以引導 AI 進行內容拆解、轉換、生成。(**尤其是內容拆解的五個角度**) * **實踐驗證 (Hands-on Validation):** 強調不能只看 AI 輸出，必須透過實際操作 (Lab, CTF) 來驗證和內化知識。 * **負責任 AI 使用 (Responsible AI):** 提醒注意資料隱私，不隨意上傳敏感資訊。 * **實務應用方法：** * **個人學習：** 資安人員可立即套用「五步驟學習法」和「知識轉化練習」，利用手邊的 LLM 工具提升學習效率。 * **團隊培訓：** 企業或團隊可將此方法論納入內部培訓，提升成員利用 AI 的能力。 * **工作流程優化：** 在報告撰寫、腳本開發等環節，評估引入 AI 輔助的可行性，但務必結合人工審核與驗證。 * **面試/考核：** 未來對資安人才的評估可能更側重其利用 AI 解決問題的能力。 * **產業趨勢/發展方向：** * AI 將深度整合進資安工作的各個環節，改變工作模式。 * 資安人才的核心能力將從單純的技術掌握，轉向「技術 + AI 協作 + 問題解決」的複合能力。 * 「提示工程」能力對資安從業人員日益重要。 * 實踐和驗證能力依然是不可或缺的關鍵。 #### 4. 價值評估 * **獨特價值與亮點：** * **務實且可操作：** 提供了具體、可立即實踐的利用 AI 學習資安的方法論 (五步驟、知識轉化練習)。 ![20250416-249](https://hackmd.io/_uploads/SybXTPQJxe.jpg) ![20250416-250](https://hackmd.io/_uploads/rJoXawmyle.jpg) ![20250416-251](https://hackmd.io/_uploads/HygEpvQ1ee.jpg) ![20250416-252](https://hackmd.io/_uploads/H1EEpPQygl.jpg) ![20250416-253](https://hackmd.io/_uploads/H1YNTDQkgg.jpg) * **觀念轉換：** 強調 AI 是「放大器」而非「取代者」，引導從業人員正面擁抱 AI。 * **痛點切入：** 指出學習資安「說人話」、內化知識的痛點，並提供 AI 輔助的解決思路。 * **技能聚焦：** 明確點出未來資安人才需具備的關鍵能力：提問力、轉化力、協作力。 * **對資安產業的意義：** * **緩解人才焦慮：** 為資安從業人員在 AI 時代如何保持競爭力提供了清晰的方向和方法。 * **加速人才培養：** 提出的 AI 輔助學習法有助於縮短學習曲線，加速新進人才的養成。 * **提升產業效率：** 引導從業人員利用 AI 處理重複性工作，將精力聚焦於更有價值的事務。 * **實際工作應用潛力：** * **個人成長：** 非常適合資安新手或希望快速學習新領域的從業人員自我提升。 * **企業內訓：** 可直接作為企業內部 AI 賦能或資安技能提升的培訓教材。 * **團隊協作：** 鼓勵團隊成員分享利用 AI 提效的心得與 Prompt 技巧。 --- <a id="toc-16-automation"></a> ### **議程：把重複的事自動化，一週工作 4 小時 - 將心力投資於副業** #### 1. 基本資訊 * **議程標題：** 把重複的事自動化，一週工作 4 小時 - 將心力投資於副業 (Automate Repetitive Tasks, Work 4 Hours a Week - Invest Energy in Side Hustles) *(標題具吸引性，實際聚焦於整合平台提效)* * **講者：** 羅煜賢（艾盾資科股份有限公司 Technical Consultant Director） * **時間與地點：** 16:15-16:45 | 7F 701E * **關鍵字：** `Cyber Risk Quantification`, `Governance Risk & Compliance`, `Continuous Threat Exposure Management`, `Automation`, `SOC`, `Security Operations`, `Workflow Optimization`, `Unified Platform`, `Dashboard` #### 2. 內容摘要 * **核心訊息：** 資安工作不應是過勞的代名詞。透過整合艾盾資科 (AIShield Agent) 代理的多元資安解決方案 (涵蓋 GRC、雲安全、持續攻擊模擬、資產管理、EDR/XDR 自動化調查、次世代 SIM 預測、情資自動化部署)，構建一個「中央資安戰情指揮中心」儀表板，可以大幅簡化日常維運工作，實現高效自動化，讓資安人員從重複性任務中解放出來。 * **關鍵論點：** * **資安過勞迷思：** 認為資安人員過勞是方法錯誤，應利用 AI 與自動化工具簡化工作。引用《努力但不費力》觀點：方法對，事半功倍。 * **艾盾代理方案整合介紹 (七大產品線)：** 1. **Synergy (虛擬 CISO / GRC):** 協助 CISO 建立治理框架，盤點現況、設定目標 (依 NIST CSF, PCI DSS, ISO 27001 等)、進行差異分析，規劃資安投入。提供 GENAI 政策管理範本。 2. **Wiz (雲安全 / CSPM/CWPP):** 整合雲端安全狀態管理。 3. **WatchTower (持續攻擊模擬 / BAS):** 新加坡知名攻擊服務商 (類比台灣 DEVCORE)，提供 365 天持續性攻擊測試 (非定期 PT/Red Team)，CVSS 漏洞發布後數小時內即可驗證企業曝險狀況並產出報告。也做暗網情資監控與撞庫攻擊模擬。 4. **Sevco (資產管理 / CAASM):** 整合 AD, EDR, Cloud 等多源數據，提供統一資產視圖，解決各平台資訊不一致問題。可監控 EDR Agent 等部署與回報狀態。 5. **Intezer (EDR/XDR 自動化調查):** 分析 EDR/SIM 告警，自動化調查 (約 2-5 分鐘)，過濾大量誤報 (96%)，僅上報需人工關注的事件 (4%)。 6. **RevealSecurity (次世代 SIM / UEBA / 預測):** Parserless 設計 (API 介接)，整合 IT/OT/雲端等多源日誌，利用歷史數據**預測**未來一週可能的攻擊類型與目標，實現超前部署。 7. **ThreatQuotient (情資平台 / TIP / SOAR):** 自動化整合內外部情資 (FISAC, HISAC, 商業情資)，並將 IOC (IP, Domain, Hash) **自動化部署**到防火牆、EDR 等防禦設備 (從三天縮短至數秒)。 * **中央資安戰情指揮中心 (GTX SOC Dashboard)：** * **目標：** 將上述各方案數據整合於單一儀表板。 * **效益：** > **講者引用/強調：** "...你每天上班，就把這 Dashboard 打開...沒有什麼發生...事情就結束了...零零鬆鬆的事情，只是你打開一個 Dashboard，你就可以把這事情完成。" * **一站式監控：** 快速掌握攻擊曝險 (WatchTower)、暗網洩漏 (WatchTower)、雲端安全 (Wiz)、資產狀態與 Agent 健康度 (Sevco)、自動化調查結果 (Intezer)、未來攻擊預測 (RevealSecurity)。 * **簡化工作流程：** 將日常檢查、報告匯總、跨平台資訊查詢等工作集中化、自動化。例如，Sevco 可一鍵匯出未回報 Agent 清單給廠商追蹤。 * **整合流程示意：** 展示各產品如何串接 (情資 -> TIP -> 防火牆/EDR；Log -> SIM -> Intezer；多源數據 -> Sevco)。 * **事前/事中/事後應用：** * **事前：** Synergy (治理規劃)、RevealSecurity (預測)、Sevco (資產盤點)。 * **事中：** WatchTower (持續驗證)、Intezer (自動調查)、Wiz (雲端監控)、ThreatQuotient (情資部署)。 * **事後 (舉例 Crazy Hunter IR)：** Sevco 協助 IR 團隊確認 Agent 部署覆蓋率；Intezer 快速過濾大量告警，讓 IR 團隊聚焦關鍵事件。強調若事前做好，可避免事後高昂成本。 * **重要案例/數據：** Crazy Hunter IR 案例中 Sevco 與 Intezer 的應用；WatchTower 在 CVE 發布後 48 小時內發動攻擊驗證；ThreatQuotient 將情資部署時間從 3 天縮短至數秒；Intezer 過濾 96% 誤報。 #### 3. 技術(或政策)與實務區塊 * **主要技術/政策要點：** * **整合式安全平台 (Unified Security Platform):** 強調將 GRC, CSPM, BAS, CAASM, SOAR, UEBA, TIP 等多種安全能力整合的重要性。 * **自動化 (Automation):** 在情資部署、事件調查、資產管理、攻擊模擬等多個環節實現自動化。 * **可視化儀表板 (Dashboarding):** 提供單一窗口監控關鍵安全指標。 * **風險量化與預測 (Risk Quantification & Prediction):** 利用數據分析量化風險、預測未來威脅。 * **持續威脅曝險管理 (CTEM - Continuous Threat Exposure Management):** 隱含 WatchTower 的持續攻擊模擬概念。 * **治理、風險與合規 (GRC):** Synergy 平台提供的框架。 * **實務應用方法：** * **平台整合評估：** 企業可評估導入類似的整合平台或自行整合現有工具，建立中央儀表板。 * **自動化導入：** 識別現有工作流程中可自動化的環節 (如情資部署、告警初步分析)，引入相應工具。 * **數據驅動決策：** 利用整合平台提供的量化指標與預測資訊，輔助資安決策與資源分配。 * **供應商整合：** 選擇能夠良好整合、提供統一視圖的資安解決方案組合。 * **產業趨勢/發展方向：** * **平台化與整合：** 從單點產品走向整合式安全平台。 * **自動化與 SOAR：** 安全維運自動化程度持續提高。 * **風險量化與業務視角：** 將資安風險與業務影響連結，向管理層匯報。 * **預測性安全 (Predictive Security):** 利用 AI/ML 預測未來攻擊成為新興方向。 * **CTEM 概念興起：** 強調持續監控與驗證企業的攻擊面曝險。 #### 4. 價值評估 * **獨特價值與亮點：** * **痛點切入與願景描繪：** 以「資安不應過勞」、「一週工作四小時」的痛點切入，描繪了透過整合與自動化達成的理想工作狀態。 * **整合方案展示：** 清晰地介紹了其代理的多款產品如何協同運作，覆蓋事前、事中、事後各階段。 * **中央儀表板概念：** 提出了「中央資安戰情指揮中心」的具體概念與效益。 * **案例佐證：** 透過 Crazy Hunter IR 等案例說明整合方案的實戰價值。 * **對資安產業的意義：** * **推動整合趨勢：** 強調單點工具的局限性，倡導平台化整合的思路。 * **提升維運效率：** 展示了自動化如何顯著降低資安團隊的日常工作負擔。 * **價值可視化：** 提供了將複雜資安數據轉化為管理層可理解的儀表板和量化指標的方法。 * **實際工作應用潛力：** * **SOC/SecOps 團隊：** 可借鑒其整合思路，評估自身工具鏈的整合與自動化潛力，或考慮導入類似的整合平台。 * **資安主管/CISO：** 可參考其儀表板概念，設計向管理層匯報資安態勢的方式，並利用量化數據爭取資源。 * **企業選型參考：** 在採購資安產品時，更注重產品間的整合能力與 API 開放性。