伴隨著國際地緣政治衝突加劇，造成全球供應(yīng)鏈版圖重組，臺(tái)灣也順勢(shì)成為半導(dǎo)體、科技業(yè)代工製造重鎮(zhèn)。許多供應(yīng)鏈廠商手握有含金量高的國際大廠研發(fā)資料，卻還未有完善的IT+OT資安機(jī)制，而在進(jìn)入AI、數(shù)位轉(zhuǎn)型時(shí)代首當(dāng)其衝，成為駭客改變策略時(shí)的試金石。

隨著如今工業(yè)發(fā)展日新月異，工控場(chǎng)域的複雜性與產(chǎn)值也隨之攀升，但由於存在獨(dú)特技術(shù)或商務(wù)上的限制，再加上資安專業(yè)人才的匱乏，越來越多的高科技製造業(yè)或是關(guān)鍵基礎(chǔ)設(shè)施，逐漸成為駭客組織覬覦對(duì)象。當(dāng)駭客攻擊目標(biāo)逐漸轉(zhuǎn)向高產(chǎn)值、高風(fēng)險(xiǎn)的OT場(chǎng)域，無論所屬產(chǎn)業(yè)，都可能成為攻擊的對(duì)象。

根據(jù)Fortinet統(tǒng)計(jì)，2023年亞太區(qū)共偵測(cè)到9,703億次威脅，其中臺(tái)灣占比逾4成，顯見形勢(shì)已相當(dāng)嚴(yán)峻；且下半年的勒索軟體攻擊相較於上半年下降70%，也代表駭客的攻擊策略已從傳統(tǒng)寄送勒索病毒的釣魚信件，開始轉(zhuǎn)向更具針對(duì)性的「找漏洞」方式，鑽進(jìn)企業(yè)系統(tǒng)後門潛伏一段時(shí)間，待偷出夠多資料後，就會(huì)開始在暗網(wǎng)上販?zhǔn)郏蛘咭笃髽I(yè)支付巨額虛擬貨幣，以贖回這些自家或代工客戶研發(fā)的機(jī)密資料。

因此除了傳統(tǒng)品牌大廠之外，現(xiàn)今工業(yè)物聯(lián)網(wǎng)（IIoT）、人工智慧（AI）等數(shù)位轉(zhuǎn)型趨勢(shì)也為供應(yīng)鏈IT+OT安全帶來了資料外洩威脅，供應(yīng)鏈廠商須了解該如何有效管理敏感資料、使用技術(shù)工具來監(jiān)管供應(yīng)鏈資安的成熟度，從而建立應(yīng)對(duì)突發(fā)資安事件應(yīng)急計(jì)劃；並持續(xù)改進(jìn)資安管理策略，以因應(yīng)不斷變化的新興威脅。

圖一 : 現(xiàn)今IIoT、AI等數(shù)位轉(zhuǎn)型趨勢(shì)也為供應(yīng)鏈IT+OT安全帶來了資料外洩威脅，供應(yīng)鏈廠商須持續(xù)改進(jìn)資安管理策略，以因應(yīng)不斷變化的新興威脅。（攝影：陳念舜）

TXOne Networks發(fā)表SageOne平臺(tái) 助企業(yè)掌握資安設(shè)備

TXOne Networks（睿控網(wǎng)安）執(zhí)行長劉榮太進(jìn)一步表示：「Living-off-the-land 這類手法是近幾年很棘手的攻擊方式，由駭客寄生內(nèi)部合法軟體進(jìn)行惡意行為。由於往往是針對(duì)式的攻擊，並且常採用無檔案攻擊，所以逃避過許多常規(guī)資安的偵測(cè)。

然而，現(xiàn)今企業(yè)在資安成熟度上存在分水嶺，後段班的企業(yè)在基礎(chǔ)資安已部分部署，應(yīng)更著重提升資安覆蓋率，以建立強(qiáng)固的安全防護(hù)；前段班的企業(yè)產(chǎn)業(yè)複雜度高、機(jī)臺(tái)規(guī)模多，且基礎(chǔ)資安部署都到位，因此更需要有可協(xié)助資安人員綜觀全局的工具來找出可疑之處，以加強(qiáng)偵測(cè)及回應(yīng)能力，提升組織的資安前瞻免疫力。而這兩者皆需要採用可克服工控場(chǎng)域特殊限制的解決方案，讓企業(yè)即使在有限人力下也能進(jìn)行更有效的資安防護(hù)。

對(duì)此，TXOne Networks呼籲企業(yè)應(yīng)在針對(duì)「已知威脅」的工具上，加強(qiáng)「未知威脅」的偵測(cè)能力。將工控情境納入產(chǎn)品設(shè)計(jì)思維，進(jìn)一步強(qiáng)化現(xiàn)有針對(duì)『已知威脅』的工具，以探測(cè)出『高度可疑的威脅前導(dǎo)訊號(hào)』，並加入工控的情境判斷，大幅降低假警報(bào)，使工控領(lǐng)域中的威脅可以有效地被及時(shí)發(fā)現(xiàn)。」

進(jìn)而發(fā)表最新的CPS（Cyber-Physical Systems）防護(hù)平臺(tái)SageOne，這套集中管理主控臺(tái)提供了營運(yùn)技術(shù)（OT）環(huán)境CPS攻擊面的完整檢視，更可以分析不同來源的監(jiān)測(cè)資料，涵括TXOne Networks的3大產(chǎn)品線：Stellar端點(diǎn)防護(hù)、Element安全檢查，以及Edge網(wǎng)路防禦，針對(duì)網(wǎng)路內(nèi)的可疑行為發(fā)出早期預(yù)警，作為CPS威脅偵測(cè)及回應(yīng)協(xié)調(diào)（CPS Threat Detection & Response Orchestration）的一環(huán)，持續(xù)推動(dòng)OT防護(hù)的開發(fā)。

由於可視性為網(wǎng)路資安的基石，SageOne平臺(tái)經(jīng)由精準(zhǔn)掌握整體資產(chǎn)狀況，突顯各控管機(jī)制的安全資訊而進(jìn)行CPS攻擊面管理，將有效勾勒整體環(huán)境中資安風(fēng)險(xiǎn)的輕重緩急，找出OT環(huán)境中的資安焦點(diǎn)，使之得以提供整合式OT防護(hù)。

進(jìn)而將各種不同產(chǎn)品之間的資料情境化及彙整，保護(hù)裝置和系統(tǒng)的整個(gè)服務(wù)，實(shí)現(xiàn)偕同防禦的整合式生命週期防護(hù)，完整涵蓋受保護(hù)物件的生命週期；將資安解決方案集中而簡(jiǎn)化網(wǎng)路資安治理，提供可靠的威脅偵測(cè)及回應(yīng)。此以工控運(yùn)營為著眼點(diǎn)量身打造的主控臺(tái)，還可讓OT高階主管、資安人員，以及工廠負(fù)責(zé)人等，有效提高資安管理效率，協(xié)助企業(yè)資安人員全方位掌握工控場(chǎng)域設(shè)備的點(diǎn)線面，以因應(yīng)工控場(chǎng)域中日益變化的資安威脅。

此外，妥善處理已知CPS威脅固然重要，但偵測(cè)及回應(yīng)未知的威脅也舉足輕重。SageOne能從多種解決方案將所有資安洞見彙整，並偵察潛在的風(fēng)險(xiǎn)，以便提供早期預(yù)警，必要時(shí)並加以回應(yīng)。SageOne的分析聚焦於非預(yù)期行為與未知威脅，由OT原生XDR（延伸式偵測(cè)及回應(yīng)）引擎透過比較端點(diǎn)與網(wǎng)路監(jiān)測(cè)資料的方式來發(fā)掘可疑事件，並結(jié)合先進(jìn)的技術(shù)與友善的使用介面來落實(shí)關(guān)鍵基礎(chǔ)設(shè)施的防護(hù)，該平臺(tái)包含以下要素：

透過TXOne Threat Research部門專注研究工業(yè)控制系統(tǒng)（ICS）裝置和通訊協(xié)定的漏洞，蒐集、分析、套用有關(guān)CPS潛在及現(xiàn)有威脅的知識(shí)，並分析惡意程式及勒索病毒與OT威脅的關(guān)聯(lián)。其資訊也可能來自可公開取得的資料、產(chǎn)業(yè)報(bào)告和民間機(jī)構(gòu)資訊等其他來源。利用行為導(dǎo)向的AI數(shù)據(jù)分析引擎來監(jiān)控及分析CPS內(nèi)使用者、裝置與系統(tǒng)的行為，也能透過學(xué)習(xí)正常行為模式，進(jìn)而偵測(cè)異常活動(dòng)或潛在的威脅徵兆。

或是以資產(chǎn)為中心的可視性（Asset Centric Visibility），掌握網(wǎng)路上任何裝置的完整可視性；透過攻擊面分析還能夠過濾威脅的優(yōu)先次序，並提供最佳建議。資料視覺化工具（Data Visualizer），可將複雜的安全性資料與指標(biāo)轉(zhuǎn)化為易於理解的視覺化型態(tài)。透過各種圖表與網(wǎng)路分布圖，讓資安人員可以更快辨別規(guī)律、趨勢(shì)及異常情況。

配合生態(tài)系整合工具（Ecosystem Integrator），無縫整合各種不同工具和技術(shù)，包括將資料格式標(biāo)準(zhǔn)化、提升不同系統(tǒng)之間的互通性，建立一套一氣呵成的資安架構(gòu)，涵蓋整個(gè)生態(tài)系。如此，資安人員就能以標(biāo)準(zhǔn)化檢視查看資安情況、將流程自動(dòng)化，並更有效地回應(yīng)威脅。

還有法規(guī)遵循框架（Compliance Framework），則可提供一套結(jié)構(gòu)化方法來遵循相關(guān)的安全標(biāo)準(zhǔn)與規(guī)範(fàn)，包括：政策、程序與管控，確保每套系統(tǒng)符合法規(guī)、產(chǎn)業(yè)標(biāo)準(zhǔn)以及資安最佳實(shí)務(wù)原則。

圖二 : TXOne Networks發(fā)表最新的CPS防護(hù)平臺(tái)SageOne，提供了OT環(huán)境的完整檢視，更可以分析不同來源的監(jiān)測(cè)資料，持續(xù)推動(dòng)開發(fā)OT防護(hù)技術(shù)。（攝影：陳念舜）

Fortinet提供FortiNDR方案　實(shí)現(xiàn)AI辨識(shí)特徵防護(hù)

Fortinet則從資安領(lǐng)域起家，提供基於AI、濃縮的解決方案FortiNDR，透過已先成立的全球雲(yún)端中心FortiGuard每天蒐集海量資訊，協(xié)助AI訓(xùn)練機(jī)器自主學(xué)習(xí)能力，再加入大數(shù)據(jù)特徵資料庫。於最短時(shí)間內(nèi)找出（Delect/Tracing）並分析病毒、惡意（綁架）軟體、網(wǎng)路異常或網(wǎng)路異常龐大流量，找出未知威脅。

Fortinet還扮演7x24虛擬資安分析師（Virtual Security Analyst）的角色，藉由非插入機(jī)制，不停機(jī)低摩擦風(fēng)險(xiǎn)布署（Zero-downtime Deployment），以避免影響線上維運(yùn)服務(wù)運(yùn)作；藉此將流量檢測(cè)與事件判決降低到次秒（sub-second）級(jí)別，進(jìn)而在第一時(shí)間追溯及找到初始感染源，以杜絕後續(xù)感染。

利用該公司已在美國申請(qǐng)通過的ML-ANN專利單層人工神經(jīng)網(wǎng)路（US11574051B2），介於輸入、輸出層中間，來偵測(cè)和判決網(wǎng)路異常及惡意軟體。一旦有檔案資訊流經(jīng)後，可解壓縮抽取其特徵並微切割其程式碼成為3,000個(gè)微程式塊（code blocks），再交由600萬個(gè)節(jié)點(diǎn)（分析師），立即判斷其是否匹配單個(gè)惡意軟體特徵。

在FortiNDR出廠前，也都會(huì)先送到FortiGuard實(shí)驗(yàn)室不斷匯入超過2,000萬筆乾淨(jìng)和惡意文件預(yù)訓(xùn)練，培養(yǎng)數(shù)十億計(jì)的乾淨(jìng)和惡意特徵識(shí)別能力，並加入後方大數(shù)據(jù)特徵資料庫，協(xié)助神經(jīng)網(wǎng)路模型升級(jí)。藉此運(yùn)用AI/ML應(yīng)用於流量側(cè)寫（Profilign）來挖掘流量中的行為模式（PATTERN）、識(shí)別特徵（FETURES）並進(jìn)行維度分類，每個(gè)特徵都是一個(gè)獨(dú)立可測(cè)量的性質(zhì)，或一種可被觀測(cè)和描述的現(xiàn)象；透過內(nèi)建IPS資料庫，揭露潛藏在內(nèi)網(wǎng)中的網(wǎng)路攻擊。

這樣的技術(shù)可用在各種範(fàn)圍的分析，例如語音及臉部辨識(shí)/社群媒體內(nèi)容、網(wǎng)路異常流量分析（METADATA）、惡意檔案內(nèi)容分類等，有別於傳統(tǒng)防毒軟體簽章（Signature）的識(shí)別模式；毋須執(zhí)行檔案檢核，可用來檢測(cè)具有欺騙性、難以捉摸的「無檔案惡意程式（Fileless Malware）」或是，可見學(xué)習(xí)「正確」資料的重要性，有時(shí)更甚於有一顆AI運(yùn)算大腦。

FortiNDR還可與安全織網(wǎng)（Security Fabric）協(xié)作聯(lián)防，布署架構(gòu)簡(jiǎn)單；可執(zhí)行零日攻擊與進(jìn)階威脅防護(hù)，包括流量監(jiān)聽偵測(cè)模式、線上即時(shí)偵測(cè)阻斷模式等。在不能安裝防毒軟體/EDR端點(diǎn)防護(hù)的OT/IOT環(huán)境，可透過FortiNDR Zero-downtime Deployment+OT SCADA工業(yè)安全的IPS/Malware/Application識(shí)別，在不影響OT環(huán)境維運(yùn)的前提下，補(bǔ)強(qiáng)OT環(huán)境的資安能見度。一旦須要執(zhí)行資安防護(hù)Enforcement Action時(shí)，即可透過REST API與防火牆整合，將被感染的OT設(shè)備（如IP Camera）阻絕服務(wù)連線，避免被挾持為DDoS僵屍攻擊者。

圖三 : FortiNDR解決方案透過 AI 驅(qū)動(dòng)的網(wǎng)路流量和檔案式分析來自動(dòng)執(zhí)行調(diào)查工作，提供進(jìn)階威脅的即時(shí)識(shí)別，包括可能停留在您的網(wǎng)路中的持續(xù)性威脅。 （source：Fortinet）

TeamT5杜浦?jǐn)?shù)位安全問卜 資安防患於未然

此外，基於現(xiàn)今網(wǎng)路威脅無所不在，攻擊手法千變?nèi)f化，企業(yè)宜制訂完善的資安防禦策略，能預(yù)見、面對(duì)未知威脅，以確保營運(yùn)順暢。但一般認(rèn)為的威脅情資，即是將入侵指標(biāo)（Indicator of compromise；IoC）匯入防火牆或資安設(shè)備，在達(dá)到目標(biāo)的時(shí)候示警。

然而，「資安防護(hù)要做對(duì)方向，並且越早預(yù)知威脅，才能有充足的時(shí)間應(yīng)變，阻擋攻擊發(fā)生！」因威脅情資還有其他面向，包括辨別攻擊者及其背後操控的組織、攻擊目的、TTP（戰(zhàn)術(shù) Tactics、技術(shù) Techniques、流程 Procedures），甚至以IoC監(jiān)看特定攻擊事件，就能透過情資蒐集，為企業(yè)的資安防禦計(jì)畫帶來最佳效益。

TeamT5杜浦?jǐn)?shù)位安全公司創(chuàng)辦人兼執(zhí)行長蔡松廷強(qiáng)調(diào)，TeamT5 主要是進(jìn)行端點(diǎn)防護(hù)，威脅情資是企業(yè)資安防禦布局的關(guān)鍵，若有能掌握威脅情資的專業(yè)研究，則可以幫助企業(yè)化被動(dòng)為主動(dòng)，達(dá)到精準(zhǔn)資安防禦，實(shí)現(xiàn)真正快速、有效地防堵APT和勒索攻擊。該公司近年來也特別運(yùn)用開運(yùn)占卜的概念，提出「杜駭客之攻 浦天下資安」為主題，強(qiáng)調(diào)要幫助企業(yè)預(yù)測(cè)風(fēng)險(xiǎn)、防範(fàn)於未然，杜?惡意程式及勒索軟體的威脅，才能達(dá)到趨吉避兇之效！

隨著企業(yè)機(jī)密頻繁外洩至「深暗網(wǎng)」中，未來將面臨高度資安風(fēng)險(xiǎn)，蔡松廷指出，一般個(gè)人或企業(yè)不易接觸匿名網(wǎng)路，但其實(shí)暗藏許多犯罪行為，像是較常見的企業(yè)信箱帳密或機(jī)密資料外洩，後續(xù)都對(duì)企業(yè)或個(gè)人造成無法估計(jì)的損害。

因歐美廠商受限於語言隔閡，導(dǎo)致進(jìn)入門檻提高，但是TeamT5專注於亞太地區(qū)，因此擁有領(lǐng)先的暗網(wǎng)監(jiān)控技術(shù)，只要偵測(cè)到客戶的機(jī)密資料外洩，立即就會(huì)通知客戶進(jìn)行防禦處理。所以推出深暗網(wǎng)情資分析，開發(fā)自動(dòng)化系統(tǒng)，收集大量資料，針對(duì)深網(wǎng)與暗網(wǎng)的環(huán)境進(jìn)行監(jiān)控，藉此分析資安事件的風(fēng)險(xiǎn)，並在犯罪發(fā)生之前預(yù)警，降低可能帶來的危害，真正做到事前預(yù)防、事中偵測(cè)阻擋、事後協(xié)助處理。

該公司今年將推出新產(chǎn)品「深暗網(wǎng)情資分析」，即是針對(duì)深/暗網(wǎng)須透過Tor（洋?路由器，The onion router）瀏覽，是一般個(gè)人或企業(yè)不易接觸的匿名網(wǎng)路，經(jīng)常有許多犯罪行為發(fā)生，如email帳密或機(jī)密資料外洩，會(huì)對(duì)企業(yè)或個(gè)人造成無法估計(jì)的損害。TeamT5則是在深網(wǎng)與暗網(wǎng)的環(huán)境之中監(jiān)控各式各樣資料流通，並分析資安事件的風(fēng)險(xiǎn)，可在犯罪發(fā)生之前預(yù)警，降低可能帶來的危害。

圖四 : TeamT5杜浦?jǐn)?shù)位安全公司創(chuàng)辦人兼執(zhí)行長蔡松廷強(qiáng)調(diào)，TeamT5 主要是進(jìn)行端點(diǎn)防護(hù)，若有能掌握威脅情資的專業(yè)研究，則可以幫助企業(yè)化被動(dòng)為主動(dòng)，真正快速、有效地防堵APT和勒索攻擊。（source：TeamT5）

數(shù)發(fā)部打造數(shù)位高速公路 防弊也興利

值得一提的是，新任數(shù)位發(fā)展部長黃彥男上臺(tái)後即定調(diào)將射出打詐、數(shù)位韌性及數(shù)位經(jīng)濟(jì)三支箭，藉此打造一條安全及快速的「數(shù)位高速公路」，須具高度資安及韌性，撐起資訊傳輸?shù)姆雷o(hù)網(wǎng)，可提供政府各單位數(shù)位轉(zhuǎn)型所需的技術(shù)及工具，讓所有的產(chǎn)業(yè)都能容易使用，以達(dá)到興利及防弊的雙重效果，未來臺(tái)灣甚至有機(jī)會(huì)在資安產(chǎn)業(yè)「反守為攻」，推動(dòng)發(fā)展數(shù)位經(jīng)濟(jì)，讓數(shù)位經(jīng)濟(jì)在2026年成為新的兆元產(chǎn)業(yè)。

黃彥男指出，生成式AI技術(shù)進(jìn)步太快，應(yīng)該結(jié)合臺(tái)灣硬體優(yōu)勢(shì)做垂直整合，打造出生態(tài)鏈，才能壯大產(chǎn)業(yè)；而資安產(chǎn)業(yè)也很重要，資安產(chǎn)品不只電腦，還包含AIoT等同樣須做軟硬整合，，一旦結(jié)合AI去做更好防護(hù)，將成為臺(tái)灣的下一個(gè)機(jī)會(huì)。目前包含資安、AI等數(shù)位經(jīng)濟(jì)產(chǎn)業(yè)年產(chǎn)值約8,000億元，希望透過投資、輔導(dǎo)、補(bǔ)助等手段推動(dòng)臺(tái)灣人工智慧（AI）產(chǎn)業(yè)鏈整合軟體及資安產(chǎn)業(yè)，力拚2年內(nèi)成為新兆元產(chǎn)業(yè)。