最近在想一件事,做資安或IT這行,混得越久,心裡越毛。
不是因為威脅變多了...嗯,雖然威脅確實變多了。真正的問題是,我們害怕的,常常不是那些看得見的病毒或駭客,而是我們沒註意到、懶得去問、或是覺得「應該不會這麼衰吧」的那些小事。
這不只是技術問題。說真的,這全是人性的問題。信任、遠見、恐懼,還有那該死的自滿。
尤其現在,AI 跟量子計算這些東西冒出來,感覺舊的地圖完全不管用了。所以我一直在找一個簡單的方法,幫助自己,也幫助其他人,重新理解我們到底在面對什麼。後來,我找到了,一個很老的框架,但意外地好用。
一個改變我看法的思考工具:已知/未知矩陣
這東西叫「已知/未知矩陣」(Known/Unknown matrix)。聽起來很學術,但其實簡單到不行。它就是把風險拆成四個象限,讓你一眼看穿自己的盲點在哪。
老實說,當你腦子一團亂的時候,這種簡單的分類法,反而最能給你方向。它就像在濃霧中給了你一個指南針。與其列出一大堆看不完的威脅清單,不如先把它們丟進這四個格子裡,事情會清楚很多。
我們直接用個表來看,可能會更清楚。
| 風險象限 | 白話文解釋 | 給人的感覺 | 常見的錯誤心態 |
|---|---|---|---|
| 已知/已知 (Known/Knowns) | 就是那些老朋友啦。勒索軟體、釣魚郵件...我們都知道這是什麼,也知道怎麼防。 | 嗯,有點煩,像每天都要做的家事。 | 「這個我知道,反正就那樣。」...然後就輕敵了。 |
| 已知/未知 (Known/Unknowns) | 我們知道有這東西,但不確定它什麼時候、會用什麼形式打過來。像是AI變臉詐騙、量子電腦的威脅。 | 一種低度焦慮感。你知道狼在附近,但不知道在哪個草叢。 | 「等它真的發生再說吧,現在想也沒用。」 |
| 未知/已知 (Unknown/Knowns) | 這個最尷尬。其實答案或解法早就有了,但我們不知道...或是不想知道、懶得去處理。像是拖了很久都沒更新的系統漏洞。 | 事後回想會覺得自己很蠢的那種。 | 「換系統太麻煩了」、「這個洞應該沒人會打吧?」 |
| 未知/未知 (Unknown/Unknowns) | 完全意料之外的「黑天鵝」。它會徹底改寫遊戲規則,以前的經驗都沒用。 | WTF時刻。像是電影裡,突然發現外星人早就混在我們之中。 | 沒有什麼心態,因為根本沒想過。這就是考驗真正應變能力的時候。 |
第一象限:那些我們熟到不行的「已知/已知」風險
勒索軟體、釣魚郵件、DDoS攻擊...這些名詞我們都聽到膩了。但問題是,為什麼它們還一直發生?
因為它們也在「演化」。
根據 IBM 今年(2024)的報告,現在有所謂的「勒索軟體即服務」(Ransomware-as-a-Service),意思是一個技術不怎麼樣的罪犯,也能租到頂級的攻擊工具。門檻變超低。
還有 Verizon 的報告也提到,AI 讓釣魚郵件寫得跟真人沒兩樣,語氣、用詞都完美。以前還能靠文法錯誤來判斷,現在很難了。
這就像我們都知道要每天刷牙,但還是會蛀牙。因為我們有時候會鬆懈,會覺得「就這一次沒關係」。做好網路的基本功,聽起來很無聊,但它就是能擋掉九成以上的麻煩。
第二象限:地平線上的陰影,「已知/未知」的挑戰
這些是那種,你知道它會來,但不知道多快、多猛的威脅。
比如說,AI Deepfake。現在已經不只是換臉搞笑影片了。Gartner 的報告有講,現在有案例是直接模擬 CEO 的聲音和影像,打給財務部門要求緊急匯款。整個過程可能只有幾分鐘,信任就在瞬間被劫持了。
還有量子計算。這東西目前還在實驗室裡,但它帶來的威脅是...嗯...回溯性的。意思是,如果駭客現在就把我們加密過的資料偷走、存起來,等到幾年後量子電腦成熟了,他就能破解這些當年以為很安全的資料。美國的國家標準暨技術研究院 (NIST) 已經在推動所謂的「後量子密碼學」(Post-Quantum Cryptography) 標準了,但老實說,在台灣,有多少企業真的開始盤點自己用了哪些加密演算法?我自己覺得,大概不多。
這些都是警訊,還不到危機。但聰明的領導者會去讀這些訊號,而不是忽略它們。現在開始準備,是為自己爭取時間。拖延,只會換來後悔。
第三象限:最讓人懊惱的陷阱,「未知/已知」
說真的,這個象限最讓我感到無力。問題不是我們不知道,而是我們知道了,卻沒去做。
我看過太多次了,一個漏洞的修補程式明明幾個月前就發布了,但企業就是沒更新,然後就被駭了。Verizon 的報告裡,每年都有超大比例的入侵是源自於這種未修補的漏洞。
還有那些老舊的「祖傳系統」(Legacy systems)。大家嘴上都說該換,但心裡想的是「太貴、太麻煩、動了會出事」。但攻擊者可不管你這些藉口。他們最愛這種沒人敢碰的系統。
更不用說內部威脅了。很多時候,一個員工的行為舉止已經出現異常,旁邊的人其實有感覺到,但沒人往上報,覺得「應該是我想太多」。等到資料外洩了,一切都晚了。
這個象限教我們一件事:沉默不等於安全。你選擇忽略不去處理的問題,最終會變成你最大的負債。
第四象限:無法預測的未來,「未知/未知」
黑天鵝。改變遊戲規則的意外。
幾年前的 Spectre 漏洞就是一個例子。它不是軟體漏洞,而是動搖了整個現代 CPU 硬體架構的根本。在那之前,很少人會去想晶片本身可能就有後門。
未來呢?或許有一天,AI 攻擊程式可以自己演化、變異,速度快到人類的防禦根本跟不上。美國的 DARPA 已經在研究這種可能性了。
世界經濟論壇 (WEF) 的報告也提到,當 AI、量子、生物科技、太空技術這些東西全部攪和在一起,會產生什麼樣的怪物級威脅...?我們現在的任何框架,可能都無法想像。
面對這種事,做再多預測都沒用。唯一有用的,是「韌性」(Resilience)。
當災難發生時,我們多久能發現?我們多快能適應?我們的團隊,是只會照著SOP走,還是真的有能力在混亂中找到出路?
所以,我們到底該怎麼辦?
聊了這麼多,聽起來很絕望,但其實也不是。重點是,我們的思維要從「滴水不漏的控制」,轉向「快速恢復的韌性」。這裡有幾個我覺得比較實際的方向。
- 先把家裡打掃乾淨:盤點資產、更新補丁、管好帳號權限。這些是最無聊但最基礎的工作,卻能預防最慘的頭條新聞。
- 用AI來對抗AI:別再只靠固定的規則來抓病毒了。投資一些行為分析工具,去偵測「異常」,而不是單純尋找「已知威脅」。
- 把「零信任」當真:這詞被講爛了,但概念很重要。就是「預設不信任」,驗證每一個連線,就算它來自公司內部也一樣。
- 開始規劃「量子安全密碼學」轉移:這不是明天就要做的事。但至少要開始盤點公司到底用了哪些加密技術,然後找個不重要的系統,試著導入一些後量子時代的演算法玩玩看。
- 隔離那些老古董:如果有些祖傳系統真的沒法升級,那就把它關起來。用微切分(micro-segmentation)之類的技術,把它跟主要網路隔開,然後用最嚴格的標準監控它。
- 辦幾場「把事情搞砸」的演習:不要只演練怎麼「成功防禦」。要演練「已經被攻破了,然後呢?」。這種危機模擬演練,才能真正鍛鍊出應變的肌肉記憶。
結語:從追求控制,到擁抱韌性
我們永遠不可能消除所有網路風險。這是不可能的任務。
但我們可以去理解它、控制它造成的衝擊、並在被打倒後快速站起來。
未來的挑戰只會越來越多,AI 會模糊真假,量子會破解加密。但我覺得,只要我們保持好奇心,用一個清晰的框架去思考,為已知和未知都做好準備,就不會只是被動地防守。
資安不再是一個部門的工作,它關乎數位社會的信任和運作。嗯...好像扯得有點遠了。
總之,我想問問你,看完這四個象限,你覺得自己或你的公司,最讓你擔心的風險是落在哪一格?是那些煩人的老問題,還是那些看不見的未來威脅?
