TWCERT 2022台灣資安通報應變年會，今年以「資安韌性 營運永續」為題，邀集數位發展部、法務部調查局、卡內基美隆大學軟體工程學院電腦緊急應變團隊、微軟威脅情資中心（MSTIC）、美國國土安全部網路安全暨基礎設施安全局（CISA），與台達電子、鴻海研究院、合勤投控控股等科技大廠資安長，探討資安聯防最佳實踐、資安威脅趨勢發展，冀盼更多人投注資安，強化台灣資安韌性。

TWCERT 2022台灣資安通報應變年會聚焦「資安韌性 營運永續」

TWNIC董事長李育杰於開場表示，2022是動盪的一年，俄羅斯入侵烏克蘭前已發動網路認知作戰，美國眾議院議長裴洛西訪台期間也發生網路攻擊，民眾見證地緣政治衝突下，網路攻擊可被武器化，直接影響民生。這一連串事件，顯見「資安不能單打獨鬥」。

數位發展部韌性建設司副司長吳銘仁表示，數位發展部以「全民數位韌性」為核心理念，從社會共榮、產業轉型、應變韌性等三個層面建構相關基礎，強化國家整體數位韌性與治安防護。

應邀與會的美國在台協會經濟組組長Patrick Boland說，全球今年在政治地緣上面臨許多挑戰，美、台也面臨網路安全威脅，這些攻擊威脅公民、企業組織與國家安全，幾個月前裴洛西訪台發生的網路威脅更敲響警鐘。作為志同道合的夥伴，期盼台、美雙方共同努力，反應共同的價值觀並保護人權。

供應鏈資安及國際聯防

台灣網路資訊中心執行長黃勝雄以「供應鏈資安」為題發表演說。他表示，不同國家對資安有不同考量，國際間對資安投注不對等，採用不同的標準規範，都影響資安防範。在供應鏈方面，黃勝雄舉中國透過微晶片寄生在主機板，美國油管遇到勒索贖金等網路犯罪等案例，並提出要降低網路資安攻擊風險，可透過盤查資產降低曝險度，主動積極保護系統，定期進行網路設備盤查等作法。但他也說，「比較困難的是人的行為。」因此，要增加與供應商間資安防護的信任，需透過不同機制進行。

當天他並主持國際座談會，美國國土安全部網路安全暨基礎設施安全局（CISA）科長（Section Chief） Patricia A. Soler、微軟威脅情資中心（MSTIC）Benjamin Koehl、卡內基美隆大學軟體工程學院電腦緊急應變團隊代表Christopher Rodman，與馬來西亞MyCERT專家Sharifah Roziah Mohd Kassim，探究網路資安風險與解決方案。

Soler提及合作的重要性。她說，CISA關注全球資訊，並與國際合作，保護大家的集體利益。她指出，網路安全是全球性議題，實際上並無國界。她以中國政府對特定政府的關鍵基礎建設發動攻擊為例指出，當時透過與博通（Broadcom）公司合作迅速反應，最終使國際受益，顯見國際合作尋求專業的重要性，與資安息息相關。

Koehl表示，針對遠端管理設備的邊緣攻擊，截至今年五月增加五倍。企業組織經常將資源暴露在網際網路，允許員工遠端存取資源，但這些設備沒有妥善保護，容易被攻擊者利用，一旦漏洞被披露，後果可能無法管控。他也說，過去幾年網路犯罪進入新領域，世界各地發生針對醫院、石油管線等國家級的基礎安全設施攻擊，這些需跨國合作解決問題。

擁有聯邦調查局經驗的Rodman談及資安風險表示，從他們與許多國際團隊合作經驗來說，關鍵基礎設施、媒體或新聞、學術界、國防與政府等部門，是持續性威脅最終目標。此外還需考慮新技術擴展可能造成的資安威脅，如新興的遠端工作，涉及企業組織內部雲端數據安全複雜性等。

Kassim分享馬來西亞常見的攻擊方式，包括網路詐欺、釣魚軟體等。她說，一些技術如雲端服務等，對個資保護是個巨大威脅，目前已看到許多針對個人使用者的攻擊，企業組織應從保護網路周邊開始，同時教育使用者，因很多的資安攻擊來自於使用者的人性弱點，如網路釣魚等。

國內資安情勢發展重點

奧義智慧科技創辦人邱銘彰，以「黑暗AD中的一條明路—使用AI模擬攻擊路徑可視化」（Attack Path Visualization With AI Simulation）為題，強調網路攻擊危機不能只靠自評，而需用科學化的數據進行評估、「可視化」後，企業組織才能規劃目標。他表示，AD攻擊路徑對企業最為重要，這不僅是IT重要核心，也是駭客攻防必爭之地。研究指出，86％企業增加AD防護預算原因，主要是駭客攻擊AD的手法更加流行，遠距上班增加，雲端服務盛行，導致邊界更為模糊，管理成本更高。他建議企業主可用AI設計控制權轉移機率，模擬預測攻擊入侵點，計算攻擊成本，透過路徑分析得知最重要的帳號，模擬出路徑。

法務部調查局資安工作站主任鄭健行，則就「資安就是國安」，分享近期台灣出現的各類資安危機。今年8月3日裴洛西訪台，台鐵左營站電視牆顯示內容遭置換。他們輾轉聯繫台鐵、外包廣告公司，LED螢幕系統開發商，發現電視牆螢幕置換內容「僅需知道IP」即可，不需帳號密碼，即可透過網頁上傳、編輯播放內容。他們還發現，駭客透過網站方式上傳，連記錄都未保存。鄭健行說，上述情況讓他們發現追溯源頭的困難，以及電訊商是否有權留存相關資料等。他建議應增列電視牆等IoT連網設備審核時，需提報資安檢測證明，才可發放許可的規定，降低被駭風險。此外，委外廠商也需進行資安要求，減少這些平台被利用的機會。