台灣電腦網路危機處理暨協調中心(TWCERT/CC)主辦的第九屆台灣資安通報應變年會,於近日以「打造安全產品 串聯信任防線」為主題盛大舉行。在全球網路犯罪成本高達10.5兆美元、發動攻擊成本卻僅需25美元且持續降低的今日,台灣因地緣政治因素面臨更嚴峻的挑戰。本次年會不僅深入剖析台灣獨特的威脅處境,更宣布多項重要防禦措施,展現台灣從被動防禦走向主動體質改造的決心。
數位發展部資通安全署署長蔡福隆在開場致詞中宣布自2025年12月至2026年1月,資安署將推動大規模「漏洞挖掘計畫」(Bug Bounty Program),集結十餘家業者參與,總獎金規模達700至800萬元。蔡署長表示,「透過公開漏洞挖掘機制,可以讓產品的資安品質更好。不管是產品使用或整體防護,我們希望讓台灣的資安環境更加完善。」這項計畫目標透過白帽駭客社群的力量,系統性地發掘本土產品的安全弱點,從源頭提升台灣產品的資安品質。
政策回應:從設計開始的資安思維革命
台灣政府與產業界正積極建構多層次的防禦體系。數位發展部部長林宜敬以個人在趨勢科技的工作經驗,回顧1990年代Microsoft Windows與UNIX系統在資安表現上的顯著差異。他指出,當時Windows採用大型Kernel架構,攻擊面廣且漏洞多;而UNIX採用Micro Kernel概念,核心精簡、攻擊面相對有限。直到Microsoft在2000年後改善軟體開發流程並縮小Kernel規模,資安品質才獲得顯著改進。
林部長強調,「如果產品在設計時就把資安概念考慮進去,後面會省掉很多麻煩、減少很多漏洞。這正是安全軟體開發生命週期( SSDLC) 的價值。他更以「好人vs.壞人」的比喻說明資安聯防的重要性:「我們正派高手必須跑在邪派高手前面」,這是TWCERT/CC資安通報應變機制的核心目標。
台灣的嚴峻現實:網路戰的重要練兵場
台灣資安主管聯盟創辦人暨會長金慶柏在主題演講中,明確指出台灣資安人員必須正視的嚴峻事實:「台灣因地緣政治與區域鄰近性,經常遭受各種新式資安攻擊。台灣是網路戰的重要練兵場。如何關注、理解並學會與威脅共存,是台灣公部門、企業及資安人員至關重要的議題,更是當今的生存守則。」
基於國際威脅情資與台灣實際處境的冷靜判斷。金會長強調,台灣不只是被動承受攻擊,更常成為駭客組織測試新型攻擊手法的目標。這種特殊處境要求台灣資安人員必須保持高度警覺,快速學習新威脅並建立防禦機制。到2025年,全球網路攻擊量預計達每日6億次,而台灣將持續站在第一線面對這些威脅。
AI驅動下的攻防經濟學徹底失衡
金會長在演講中點出資安威脅的經濟不對稱性核心問題。金會長表示,「AI出現後,攻擊者可以更快寫出惡意軟體、更快產生客製化釣魚郵件。賺錢的生意有人做,賠錢的生意沒人做,這就是駭客猖獗的根本原因。」他引用新加坡案例指出,該國全國犯罪案件中70%為網路犯罪、30%為實體犯罪,顯示傳統執法機關必須具備網路調查能力。
金會長詳細解讀2025年世界經濟論壇(WEF) Global Risk Report。該報告於2025年1月在瑞士達沃斯論壇公布,史上首次將「科技」類風險列為政治、經濟、社會、環境、科技五大面向之首。
前三大科技風險為:
- 錯誤資訊與虛假訊息(Misinformation and Disinformation),深層AI技術加劇假訊息傳播,削弱公眾對事實與權威的信任;
- 網路間諜與戰爭(Cyber Espionage and Warfare),國家與非國家行為者使用網路武器控制數位存在、竊取敏感資料;
- AI技術的不良後果(Adverse Outcomes of AI Technologies),涵蓋治理法規、透明度、問責度等多重挑戰。
量子威脅:Q-Day倒數計時
金會長以具體數據說明量子運算威脅的迫切性,因為傳統RSA加密方法在量子電腦面前將不堪一擊。金會長警告,「Q-Day預計在2030-2032年來臨。Harvest Now, Decrypt Later(現在竊取,未來解密)攻擊已成為實際風險。攻擊者現在竊取加密資料,等量子電腦成熟後再解密。」
好消息是,採用NIST PQC新標準(FIPS 203、204、205)的加密演算法,即使用量子電腦破解,所需時間也將超過宇宙年齡(138億年)。金會長強調,「台灣PQC聯盟於2024年成立,但PQC遷移需要3-5年時間,企業應及早規劃,」
台灣資安主管聯盟(Taiwan CISO Alliance)定期調查台灣企業最需補強的防護缺口,2024-2025年度排名前兩位的是「資料外洩偵測」(Data-Detect)和「應用程式緊急事件溯源」(Application-Respond)。
金會長以董事會層級的資安治理呼籲:「在座的許多高手,你們必須去發現堵住漏洞的方法,然後在最短時間內告訴台灣所有企業。我們正派高手必須跑在邪派高手前面,這就是TWCERT/CC資安聯防的核心價值。」
TWCERT/CC年度成果:537則情資、915則預警
國家資通安全研究院通報應變中心(TWCERT/CC)主任孫偉哲分享年度成果。TWCERT/CC自2024年1月由國家資通安全研究院接手營運後,以「情資驅動」的方式協助民間企業,提供四大類情資服務:活動預警、駭侵事件通報、漏洞情資以及入侵指標(IoC)。
2025年截至10月,TWCERT/CC接獲537則資安情資並發布915則預警,其中勒索攻擊仍佔最大宗達37.29%。值得注意的是,院內自行發現的情資比例持續提高,顯示技術能量的提升。在CVE漏洞審查方面,TWCERT/CC發布107個CVE編號,品質獲美國NIST/NVD評核為Provider等級,符合率達95-100%。
孫主任分享當前三大攻擊特徵。從威脅趨勢觀察,當前攻擊手法呈現三大特徵:邊界防護設備如VPN、防火牆成為駭客首要目標,一旦突破即可直通內網;VMware ESXi等虛擬化平台遭勒索病毒集團鎖定,用以癱瘓企業核心系統;SEO中毒攻擊持續上升,駭客入侵網站後操控搜尋引擎排名,誘導使用者下載惡意程式。
展望未來,TWCERT/CC規劃三大服務精進方向:推動企業建立PSIRT機制,建立雙向溝通管道加速漏洞修補;建立團體會員制度,透過產業公協會擴大情資觸及範圍;推動情資交換自動化,導入STIX 2.1國際標準格式,預計115年完成API自動化介接功能。
企業AI應用管理的三大安全面向
奧義智慧創辦人邱銘彰在會中分享企業在面對AI浪潮時的實務挑戰。他強調,企業首要任務是盤點公司內部正在使用的AI應用程式,特別是各部門私下使用的工具。為了有效管理這些AI應用,必須建立完善的API gateway來記錄和追蹤所有大型語言模型的活動,提升可視性以便進行後續的管理和測試。
在AI安全方面,邱銘彰提出三個關鍵的安全面向。首先是模型安全性,不同的AI模型具有不同的特性和內建限制。他以DeepSeek為例,指出當數學問題中同時出現「中國」和「台灣」兩個詞彙時,該模型就會因為遇到政治敏感議題而無法解題,這凸顯了模型本身存在的偏見(bias)問題,包括內容偏見和文化偏見。
其次是應用程式安全,當應用程式搭載語言模型後,其行為會變得詭譎且難以預測,因此需要適當的包裝和保護機制。第三個也是目前最棘手的問題是資料安全。為了讓AI模型表現良好,往往需要讓它讀取公司所有資料,包括機密資料,但這也衍生出嚴重的資訊洩露風險,如A部門可能透過AI查詢到B部門的機密資訊。而AI在舉例說明時,也可能不慎將機密資料作為範例輸出。邱銘彰坦言,對於資料安全這個面向,目前業界尚未有完美的解決方案,企業必須審慎思考如何在AI效能與資料保護之間取得平衡。