培育資安人才，風險辨識可為第一步

資安新創公司戴夫寇爾（DEVCORE）近日受邀參與台灣微軟和科技報橘舉辦的「企業資安年度檢驗攻略」線上論壇，會中除了分享評估風險優先次序、檢視企業資安體質等議題外，也提到企業在培育資安人才時可將「風險識別」做為第一步，不間斷地學習新手法。

全球網路攻擊量持續攀升，而 AI、Deepfake、元宇宙等技術或新概念的問世，造就更多難以防範的攻擊手法。戴夫寇爾觀察，AI 正成為資安戰場最新武器，除此之外，對駭客而言，利用弱密碼、不良資安習慣、cookie 設定等人性弱點所進行的攻擊和存取權控制，遠比尋找零時差漏洞（Zero-day exploit）更省時且省力，這也使得「身分驗證」成為資安配置上的一大威脅。

對此，戴夫寇爾執行長翁浩正認為，企業除了遵循資安法規以外，正確評估並辨識風險的優先次序，更是資安防護的重中之重，企業應定期透過紅隊演練、滲透測試等具備「駭客思維」的方式進行防禦重點評估，降低攻守兩方的資訊不對稱，優先保護高價值資產、找出可被攻擊者立即利用的漏洞，確保對風險評估具有足夠的真實性。

翁浩正說明，做到法遵並不代表可高枕無虞，需要真實性要夠高的風險評估，對企業才有幫助；企業需理解真正的風險是什麼、在什麼資產上發生、發生的可能性及衝擊等，並以「攻擊者的視角」來制定安排優先次序。

另外，隨著攻擊型態不斷更新，企業制定資安管理架構時，已逐漸從過往規則導向（Rule-Based）轉變為機器學習導向（Machine Learning-Based） 的策略，許多企業已開始透過機器學習的技術，判斷攻擊行為並協助企業分析出可能發生的攻擊，降低過往企業內部人員在思考防禦手段上的不周全和侷限性。

對此，翁浩正提醒，攻擊手段會持續推陳出新、也可能會避免使用已被偵測過、重複的手法來進行攻擊。在國家標準技術研究所（NIST）資通安全框架的五大面向—識別、防護、偵測、回應、復原中，AI 或許可以做到識別、防禦和偵測，但在「回應」及「復原」的能力上，企業仍需要透過理解攻擊方的思維，定期演練防守方的應變能力，才能確實評估資安防護的效益、全面提升資安體質。
最後，面對資安人才缺口的議題，翁浩正建議，資安人才的培育也是企業的重要課題之一，資安人員可將「風險識別」作為第一步，不間斷地學習新手法、培養更完整的技能樹，更重要的是訓練攻擊方的思維，進而協助企業做好因應風險的準備。

（首圖來源：戴夫寇爾）