資訊安全挑戰:新舊威脅並存與現代防禦轉型觀察

開場小記:資訊世界的閃失與自省

# 導航已知與未知的新興網路風險

![]

**引言:個人反思**

其實每次談到資安,腦子裡總會冒出一堆亂七八糟的畫面。唉,我自己待過政府跟那些什麼關鍵基礎設施,好像越是這種高壓、沒日沒夜的地方,那些讓人發毛的威脅就越潛伏得深。老實講啦,真正讓我心慌的,從來都不是眼前那幾項寫在報告裡、大家口中念念有詞的危機,而是那些誰也沒理、誰也不屑去碰甚至自以為穩當無虞的小細節。你說資安到底算不算技術?嗯,大概吧,但其實更像是一場性格測驗,每天在信任、焦慮和有時候那種「啊,應該還好吧」的僥倖心理之間鬼打牆。

對了,上次有人問我 AI 跟量子運算是不是把風險又攪混了一遍。我也不敢說很懂,但直覺就是:局勢每天變樣,而且看著身邊那些領導者忙著追趕新名詞,其實更需要偶爾停下腳步想一想,到底我們對數位風險這件事,是不是早就被自己的習慣騙了眼睛。有時候寫到這裡會突然想到早餐忘記吃,但還是拉回來——我愈來愈覺得,有責任推大家多反思一下。

本文靈感來源嘛,其實也是從 Donald Rumsfeld 那個「已知/未知矩陣」偷來的一點想法啦。說穿了,就是用它來整理腦袋瓜裡的新型網路風險輪廓。提出這套框架,不光只是因為職業病作祟——欸,不小心又開始碎唸——而是真切地經歷過勒索軟體搞砸營運現場,也親眼見識釣魚攻擊怎麼把信任關係拆解成粉末,然後內部威脅總是在回頭檢查時才發現蛛絲馬跡…一堆人事後才恍然大悟。

**改變思維模式的矩陣**

「已知/未知」這東西,看起來很抽象,有時候還嫌太哲學。但每當我陷入判斷模糊期,它卻意外地給了某種踏實感(雖然偶爾會忍不住懷疑人生)。基本上,它將所有風險切分成四大區塊:
- **已知/已知**:那些你能明確看到、理解並指出名字的威脅。
- **已知/未知**:我們可能有所猜忌但還沒抓到證據,像水面下晃動陰影。
- **未知/已知**:照理應該清楚卻被忽略掉,比如大家集體裝傻的一些老問題。
- **未知/未知**:最麻煩,也是最令人腦仁疼的新型怪胎——規則都能被它們重寫。

有時候畫出這類威脅地圖,好像做夢一樣拼湊破碎線索。不過話說回來,也只有靠這招才能比別人快半步發現盲區。不只是安全防禦,更重要的是組織要撐得住彈性,免得哪天全盤皆輸。嗯,有時候想想,到底什麼才是真的準備好了呢?反正先拉回主題再說吧。

有個矩陣,名字很長但很實用


**已知/已知:熟悉卻仍具風險**

勒索軟體?都聽過吧。釣魚攻擊咧,應該也不陌生。分散式阻斷服務(DDoS)還有供應鏈攻擊,名字都像廣告台詞一樣,但偏偏還是讓人頭痛。明明這些東西搞了這麼多年,可就是甩不掉它們,唉,有時候會想到底是誰在偷笑?其實大家都懂啦,威脅本身會變形。說真的,「勒索軟體即服務」這個玩意兒(Ransomware-as-a-Service),直接讓本來兩光的菜鳥,也能搖身一變當起犯罪高手。(IBM, 2024)

啊對,我剛想到那個AI——人工智慧技術早就把釣魚信搞到真假難辨了,有些時候我看了都怕自己按錯連結。(Verizon, 2024)然後還有那些國家級的行動者,據說他們就像幽魂一樣潛進基礎設施(CISA, 2024),想想就覺得背脊發涼。我差點忘記SolarWinds事件,那才真的是警鐘大響,被信任的軟體說壞就壞、直接成為特洛伊木馬走進你家門口——欸,我是不是又扯遠了?回來講,就是說,即便我們自以為理解這些威脅,可情感上好像老是在裝沒事。

網路安全那些基本步驟,看起來無聊又不起眼,大概也是那種「怎麼做都嫌煩」的存在;但沒它們,好像心裡總覺得少了一塊。

**已知/未知:逐漸浮現的新陰影**

然後啊,有一些威脅,其實不是完全藏著,而是慢慢地浮出水面,就在我們可預見範圍內。有時可以隱約猜到將來可能冒出什麼狀況,但細節嘛...根本抓不住全部。例如現在深偽技術被人工智慧推了一把,可以在幾毫秒內仿冒執行長身份,把大家信任感攪得亂七八糟。(Gartner, 2024)

說到這,我剛好想到昨天看到有人發了一張假圖,被騙的人比我想像中多太多,唉。不過拉回正題,就算我們知道那些新型態危機快要出現,也很難全盤預測影響到底有多大,所以每次寫類似內容,都有種捉摸不到邊際的不安感。嗯,大概就是這種「既認識又陌生」的焦慮吧。

Comparison Table:
結論內容
隔離舊有技術透過微分段、虛擬修補及嚴格監控等方式,減少無法升級系統的潛在風險。
進行危機模擬演練定期進行危機模擬演練,以面對可能的黑天鵝事件,提升團隊應對混亂的能力。
培訓與賦能人員加強資安意識的培訓,使每位員工成為最後一道防線,而非僅是制度上的勾選。
從控制到韌性雖然無法消滅所有網路風險,但可通過理解和壓制傷害範圍來提升組織韌性。
數位信任的重要性資安已成為數位信任、社會運作及國家韌性的關鍵支柱,必須重視其責任和影響力。

有個矩陣,名字很長但很實用

舊威脅為何還是最煩人的那幾種

量子運算到目前還是多半窩在實驗室裡啦,不過…嗯,NIST在2023年有觀察到說,未來這玩意搞不好真會把現在的加密法弄得沒那麼牢靠,有點毛骨悚然,連過去那些已經藏好的加密資料都可能會被解開重見天日。好吧,有時候想一想覺得自己是不是太杞人憂天?不過新聞、研究一直這樣講我也無法當作沒看到。

最近資安跟現實生活綁一起的狀況變多了,像那個Colonial Pipeline事件,一爆炸整條油管亂成一團(DHS, 2023),你說只是電腦出問題,但結果卻跑去影響街上的現實。唉,那天我看新聞,真的很容易分心。欸,對了——IoT還有雲端的漏洞也是越來越明目張膽,可是ENISA(2024)指出,好些組織壓根還沒摸清楚到底怎麼照顧這些後起之秀。有時候我會突然想,如果連它們自己都搞不懂要怎護,你叫駭客放過誰?

其實嘛,上面提到這堆事,它們更像是警鈴,而不是說馬上就世界末日了。領導的人如果只覺得能拖就拖,那真的是自討苦吃。咦,我剛才想到一個小故事但等等再講好了,就是你準備得越早本來就比較能爭取一些喘息,不然回頭後悔,大概就只剩拍大腿吧。

**已知/未知:自滿陷阱**
老實講,我對這個分類超有感。有時候最恐怖的不是資料查不到,而是大家明知道該動手卻一直拖延。很多例子就是漏洞早幾個月修復方法都在那邊躺著,但偏偏沒人理(Verizon, 2024),翻舊帳好像特別讓人煩躁。有些系統又老又舊,只因為換新太麻煩,所以乾脆裝死——可是MITRE(2023)倒是一語道破:駭客哪管你麻煩不麻煩,他們才不等你慢慢來呢。

其實內鬼的徵兆常常有人看到了,可惜就是不上報、不處理(CERT, 2023)。唉,有時我也懷疑自己是不是漏掉什麼重要細節。不過從這區塊偷窺出去,可以學到一點——裝聾作啞並不能保證安全,相反地,很可能讓事情繼續惡化下去。

那些模糊、尚未成型的影子——AI、量子跟IoT之間

我們沒能排到最前面的那些事情,最後搞不好反而變成最大的包袱。唉,這種感覺很難形容——總之,那些未知裡的未知(Unknown/Unknown: The Unwritten Future)才最讓人坐立難安吧。什麼是「黑天鵝事件」?意思就是,會徹底翻盤、讓人一臉懵的突發狀況——嗯,比方說:

- 你看像**Spectre**這種新冒出的漏洞類型,已經在硬體層激起不小波瀾了(Google Project Zero, 2023)。
- 還有哪天某個自主式AI代理突然就長出了比所有偵測工具還快的新惡意軟體,聽著很玄,但不是沒可能啊(DARPA, 2023)。

說到這兒我突然想到昨天在網路上看到一篇文章,不過算了,先拉回來——像**AI、量子科技、生物技術**還有**太空科技**這幾股力量的混融,據說會帶來連現在所有規則都卡不上去的新威脅(WEF, 2024),真的光想頭就痛。

面對這種局勢,其實你光靠預測是不夠的啦。彈性和適應力?那才是關鍵,大概吧。我們到底能多快捕捉到危險徵兆?我們自己轉身變陣的速度跟得上外界劇變嗎?再說,團隊是不是只練那套合規操作,一遇到混亂就傻眼?

然後策略呢?老實說,我覺得還是要以人為本搞資安防禦思維吧。嗯,我其實一直覺得,每個CISO、政策制定者或者領導人,都不妨從基本功開始:

- **1. 強化基礎工作**
比如說,把資產可見度弄清楚、修補管理別放爛,還有身份驗證控制該嚴謹就嚴謹。唔,有時候大家都忙著追潮流新招數,可基本面如果垮掉,也只是自欺欺人吧。

那些模糊、尚未成型的影子——AI、量子跟IoT之間

知道卻不在意?老問題和拖延症的代價

有些時候,老實說,就是那些最無聊、重複到快睡著的基礎作業,它們才真的是防止什麼「爆炸性頭條」發生的最大功臣。好吧,我知道這聽起來超級像長官講幹話,但仔細想一想,如果大家都只盯著最新花俏科技,誰還會理會那個每天要打勾的小清單呢?嗯…欸,剛剛差點又忘了主題是什麼。拉回來,其實枯燥作業就是用來降溫現場焦慮,也許很沒成就感,可它就是重要。

**2. 以AI現代化偵測機制**
投資於行為分析其實已經不只是科技公司的專利啦。不過,有時看到滿地AI標語也蠻煩的——但我還是得說:偵測異常狀況固然必要,更厲害的是提前預見危險,不等事情爆開才反應。唉,每週搞威脅獵捕雖然讓人壓力山大,但變成例行流程後,好像心裡也稍微踏實些(當然偶爾還是會懷疑是不是白忙一場)。

**3. 採納零信任,不止流於口號**
真的,每次聽到「零信任」被喊成口號,我都忍不住翻白眼。但你若問我怎樣才算落實,嗯,大概就是你得假設系統隨時可能給人翻牆入侵,即使全公司都在內部網路,照樣沒有天生安全可言喔。所以啊,每次有人連線,都該驗證身分一次。阿,就像—呃,好吧,又岔題了。我意思是,只要架構上開始避免「預設信任」,自己比較安心啦。

**4. 轉向量子安全加密技術**
現在談密碼靈活性這件事嘛,其實已經不能再拖延或挑三揀四了。我知道講「盤點加密資產」可能很多人直接放空,但……哎呀,就是得認真盤點。如果能先在測試環境中跑一下後量子演算法,那未來換策略才不至於手忙腳亂。有時候想到這些新名詞就覺得腦袋要炸,不過認真嘗試總比等災難臨頭強多了吧?

真正看不見的黑天鵝事件裡面藏著什麼


5. 隔離舊有技術
嗯,講到無法升級的時候,其實也不是說就只能認命啦。有時候反而要想些旁門左道,比如微分段、虛擬修補,還有那種很煩人的嚴格監控。雖然這些做法聽起來像是權宜之計,但現實裡沒辦法一刀切乾淨,只好用這種方式拖著撐下去。唉,我都會懷疑這樣真的行嗎?不過…拉回正題,只要能把潛在風險圈起來,也算是勉強過關。

6. 進行危機模擬演練
黑天鵝情境——大家都怕,但又不能假裝它不存在。有的人覺得演練很麻煩,好像花時間玩假的,可其實領導力就是看你敢不敢面對最糟的狀況。不知道是不是我多慮,總覺得模擬失敗比成功還重要。嗯,有點跑遠了。反正預先演練亂局,你才會在真正混亂來臨前,不至於愣住或手足無措嘛。

7. 培訓與賦能人員
人員到底是不是最脆弱的一環?每次討論資安都有人跳出來吵這個。我自己傾向認為,他們其實比較像最後一道防線吧。如果只是照表操課打勾檢查,那叫什麼文化?真要讓資安意識滲透進日常工作才算數啊。有時候我也忍不住想,到底有幾個人會真的記得那些規範?唉,好像扯遠了。但總之,人還是防禦體系裡不能缺席的角色。

結論:從控制到韌性
老實說,要徹底消滅網路風險基本上是不可能啦,大概就跟永遠找不到完美答案一樣令人洩氣。不過我們至少可以努力去理解、盡量壓制傷害範圍,然後事後設法復原。未來怎麼樣誰知道呢?各種系統和腦洞應該會被輪番考驗,而且人工智慧搞不好還讓真相變得更難辨認……想到這裡突然覺得頭痛,但人生大概就是一直試圖抓住那些快消散的東西吧。

真正看不見的黑天鵝事件裡面藏著什麼

打掃地毯下的灰塵:資產管理與無趣但重要的小事們

量子技術現在看起來,好像真的會對現有的加密機制造成挑戰吧。嗯,有時候想一想,攻擊者總是能找到我們沒注意到的小漏洞——每個盲點都像在黑暗角落裡藏著東西一樣,令人焦慮。其實,這種不安還真甩不掉。不過說到領導者,如果他們腦袋靈活、好奇心強,又總是在已知和未知之間準備得很周全,我覺得,他們通常不僅能守住自己的組織,甚至還有機會帶動整個團隊表現上揚。

唉,我剛剛突然想到午餐還沒吃,但拉回來——像這樣的情勢下,其實我們真的不能只靠那些儀表板啊、框架什麼的來引導所有決策,畢竟人性跟冷冰冰的數據差太多了。你知道,有時候清楚地溝通、有同理心,再加上一點責任感,比什麼都重要。資安這玩意,也早就不是那種「輔助」而已的小角色,它現在基本算是數位信任、社會運作甚至國家韌性的大支柱之一。我們怎麼可以小看這份責任呢?真的不能馬虎。

參考文獻
Carnegie Mellon CERT (2023)。_Insider Threats Annual Report_。CERT Division, Pittsburgh: SEI。
CISA (2024)。_Volt Typhoon and State-Sponsored Cyber Operations_。U.S. Cybersecurity and Infrastructure Security Agency

別再只是偵測——主動追蹤異常才算現代防禦嗎?

Cloudflare (2024)。《DDoS 攻擊趨勢:2024 年第一季報告》。欸,其實說到這個網址,還得自己去 [https://www.cloudflare.com/reports/ddos-trends/] 上翻找。不然,有時候網路一斷就什麼都沒了。嗯,好像離題…拉回來,總之就是這份東西記錄了 DDoS 那些事啦。

DARPA (2023)。《人工智慧與網路自主性:研究路線圖》。美國國防高等研究計畫署。唉,我有時候看「美國國防高等研究計畫署」名稱都念錯,但內容真的挺硬核的。他們講的那個「自主性」,最近好像很紅?不過好啦,不多扯,重點是他們 2023 年出的報告。

DHS (2023)。《關鍵基礎設施安全洞察:Colonial Pipeline 事件後續》。美國國土安全部。嗯……每次看到「Colonial Pipeline」這種字眼,就想到去年那陣油荒混亂。其實蠻煩的,那個事件現在被 DHS 拿來做案例,也算合理吧。對,就是在講這件事。

ENISA (2023)。《威脅態勢 2023》。歐洲聯盟網絡安全局。有時滑手機看到 ENISA 的名字會恍神,歐盟的事情總覺得離我很遠。但又會突然想,「搞不好哪天也是輪到我們頭上」。咦、不小心又岔開話題,但他們發佈這份《威脅態勢》是真的還蠻值得翻一下的啦,即使有點難懂也好。

別再只是偵測——主動追蹤異常才算現代防禦嗎?

傳統信任機制破碎後,零信任該如何實踐(以及沒人想做的量子加密轉型)

ENISA(2024)。《新興技術的資安挑戰》。歐盟出版物。唉,其實每次看到這些報告,總覺得自己是不是又漏掉什麼重點?但還是硬著頭皮看下去。然後,Gartner(2024)。《2024年頂尖資安趨勢》。史丹佛:Gartner Research。嗯,有時候我會想,這些大公司到底什麼時候才會寫點真正能讓人少失眠的內容啊。Google Project Zero(2023)。《CPU微架構中新型漏洞類別》。加州山景城。唔,我常被這種技術名詞搞到頭暈,不知道是不是只有我一個人,但反正他們真的有在研究啦。IBM(2024)。《2024年資料外洩成本報告》。IBM Security。說真的,每年都在強調外洩成本,但好像沒幾家公司真的學乖——呃,好像扯遠了,回來回來。MITRE(2023)。《舊有系統與網路風險報告》。維吉尼亞州麥克林:MITRE Corporation。有時看完這些標題,只覺得世界永遠追不上風險吧,大概就只能邊走邊修補了。我也不知道為什麼最近老是打哈欠,嗯,但內容就是這樣沒錯。

團隊韌性怎麼練?緊急演練、文化養成與最後那道防線

NIST(2023)。《後量子密碼學:第三輪標準化》。美國國家標準與技術研究院。嗯,講到這個其實我每次看到 NIST 就想到去年冬天,奇怪為什麼那時候一直下雨來著?總之拉回正題,這份報告的內容還是很嚴謹。

Taleb, N. N.(2010)。《黑天鵝:高度不確定性的影響》(第二版)。紐約:Random House。說真的,有時候人就是會遇到些無法預期的事情嘛,就像突然想吃鹹酥雞一樣莫名其妙。不過 Taleb 在書裡面把這種不確定性寫得好像全世界都要爆炸似的,雖然有點誇張但也蠻有趣啦。

Verizon(2024)。《資料外洩調查報告 2024》。紐約:Verizon Enterprise。我之前其實對 Verizon 沒什麼特別感覺,可是聽說他們每年搞出來的報告總是嚇死人,好吧,也許只是數據看起來多,其實那些外洩事件背後的人應該都頭很痛吧?唉,不知道今年又有哪些公司中獎了。

世界經濟論壇(2024)。《全球網路安全展望 2024》。日內瓦:WEF。有時候我懷疑這種國際組織到底多常見得到真的資訊,大概吧,不過 WEF 的東西還算權威,只是每次看到「展望」兩字就覺得遙不可及——明明我的電腦還沒更新防毒欸。

Related to this topic:

Comments