為因應日益複雜多變的現代資安威脅，台灣的網路安全防禦措施亦迅速推陳出新。國家資通安全研究院（下稱資安院）在其中扮演關鍵角色，推行多項相關計畫，致力於強化台灣的數位韌性與資安防禦能力。

本刊深入訪談資安院院長林盈達，探討台灣推動資安發展的策略與創新作為。以下為訪談重點摘要。

台灣在資訊科技與營運科技（Operational Technology）的資安投資有何主要差別？為何營運科技系統容易淪為網路攻擊目標？

台灣在資訊科技的防禦投資力道遠遠超過營運科技或關鍵基礎設施。資訊科技泛指一般辦公環境的科技設施，而營運科技則涵蓋工廠或工業控制系統，涉及發電廠、天然氣管線、製造設施、運輸服務或電信業者等非一般辦公場域，這些設施的資安防護相對薄弱，但同樣容易遭駭，攻擊事件層出不窮，顯示機房的營運人員有待加強防禦專業。

這類攻擊的主要在於破壞服務，導致系統無法運作，造成大範圍的不便。以電信業務為例，資安威脅不只是服務中斷而已，還包括資料遭到竊取。駭客可能攔截簡訊或語音通話，滲透通訊內容而擷取敏感資訊，進而用於間諜活動、詐騙謀財或發動更多網路攻擊。

除了構成台灣關鍵基礎設施的政府機構外，全台約有1,700家上市櫃公司與36萬家非上市櫃公司使用固定IP位址，因此面臨攻擊風險。在這36萬家非上市櫃公司當中，約有5萬家的投資資本逾5千萬元，員工人數超過100人，因此許多都是舉足輕重的大企業。

台灣未來有哪些重大計畫能防護關鍵基礎設施與政府系統？

我們擬定了三項重大計畫。首先，我們正在籌組一支關鍵基礎建設防禦團隊，稱為「台灣隊」，初期由資安院人員組成，將與主要部門合作，防護並強化各部門的數位系統。第二項計畫側重定期舉辦沙盤推演，協助關鍵基礎設施提供者的資安長因應潛在的網路事件。透過演練，這些資安長得以研擬完善的應變策略，以期在遭受攻擊後迅速復原，最終目標在於建立管理層的韌性，培養面對網路威脅時的備戰能力與信心。

第三個目標是建立營運科技的網路攻防靶場（cyber range），亦即提供專門的測試環境，由扮演駭客的紅隊模擬網路威脅，而組織機構的內部資安人員與工程師則組成藍隊，負責防禦攻擊。這項計畫旨在為每個機構組織打造專屬的攻擊情境，其中許多情境是間接連網就能達成的攻擊。

儘管這些計畫尚未正式上路，但已經試行過小規模的沙盤推演。演練包含半天的培訓課程，正式推出後可望每月舉辦一次，並視需要進行後續演練，以期因應更多元的情境。

透過定期沙盤推演，資安長未來能夠全面掌握可能遭遇的情境、可行的行動方案、每項決策的成效與預期結果。長期累積實務經驗後，我們就能夠逐步退居幕後，不必主持每場培訓，轉而由這群專業的資安長接手，擔任下一代的台灣隊。

這個做法旨在培育自給自足的資安專業生態系統，讓資安院專注在設計新的攻擊情境供參與者體驗，逐步建立更完善的機制。

面對日益精進的網路威脅，您能預見未來有哪些挑戰？

網路安全威脅進展到下一階段，將會導入人工智慧（AI）戰術，讓這場持續不間斷的資安戰役更行複雜。傳統的自動化惡意程式會依循預設的攻擊路徑，但AI惡意程式不同，它能夠分析環境，遇到障礙時懂得靈活找出替代路徑。AI資安攻擊的適應力佳，因此防禦起來更加棘手。這類攻擊能夠持續演化、從防禦措施中學習、鑽資安漏洞，方式非傳統自動化威脅能及。

置身不斷演進的資安環境，籃隊為了超前部署，也必須善用AI優勢，部署AI防禦機制，以動態與靈活調整的方式偵測並阻擋潛在攻擊路徑。更進一步，則是建立借重AI之力的紅隊與藍隊，讓兩隊互動攻防。

我常常覺得，用AI紅隊訓練AI藍隊，有如以「魔獸」來訓練「天使」。紅隊扮演敵人，有利於逼使藍隊不斷進化適應、強化韌性，而藍隊也會反過來挑戰紅隊，導致後者的AI精進攻擊策略，進而創造出連續不斷的相互強化循環。雙方透過反覆的挑戰與改進，提升彼此攻防能力。

這是一項龐大的考驗。要在AI資安威脅中超前部署，不僅需要採用這些工具而已，還要對工具有全盤瞭解，並全面整合到防禦策略。AI並非獨立作業，需要優質的訓練資料、專業團隊和適當的基礎設施。資安的未來在於紅隊與藍隊掌握AI之力，在安全的營運科技網路攻防靶場中進行訓練，同時確保這些系統的安全。

台灣在導入零信任架構（Zero Trust Architecture）的進度如何？

儘管零信任架構的概念在全球資安領頭羊國家相對成熟，但在台灣仍處於初期導入階段。這個資安模型不僅防禦外來威脅，更重要的是能降低內部攻擊的風險，亦即入侵者已經取得特定機器、電腦或網域的存取權限時。

零信任架構要求組織機構內部網路的每個環節都需要認證，也就是任何機器都不能信任其他機器。阻擋進入點（entry point）可防止駭客存取新資料並進入客戶端系統。這個安全框架在台灣推出將近兩年，但實際部署進度仍然緩慢。

現階段而言，資安院扮演台灣零信任架構產品的測試者角色。我們的任務是透過外部攻擊面監控（EASM）和內部或身分攻擊面監控（IASM），評估這些產品是否確實符合零信任架構準則。

資安院的下一步包括建立一套稽核流程，檢視宣稱已妥善整合零信任架構的組織機構。持續稽核有助於組織機構遵循新標準，建立起安全至上的思維。

外部攻擊面監測與內部攻擊面監測的做法有何不同？

外部攻擊面監測聚焦在辨識可能被駭客利用的弱點，這個過程透過我們的程式自動進行，涵蓋更大的範圍，也能夠擴充規模。儘管外部攻擊面監測所提供的資訊不如手動滲透測試精細，但具有顯著的規模優勢，能在一、兩週內執行數百次測試。

內部攻擊面監測方面，我們的團隊會在組織機構的系統部署程式，模擬駭客行為，藉此評估我們能在網路的侵入程度，目標是找出潛在的橫向移動（lateral movement）攻擊漏洞，因為駭客可能遊走在系統的不同部分，而不被發現。倘若組織機構並無相關政策來限制橫向移動攻擊，或尚未實施零信任架構協定，則系統遭到滲透與自由遊走的風險高出許多。

民間科技業者在強化數位基礎建設安全上扮演什麼角色？

民間企業參與我們的評估，不僅自己受惠，也能裨益台灣。資安院一旦發現系統漏洞時，除了提醒企業有必要解決之外，也形同向主管機關表達現行法規可能不足之處。相關發現能夠促使主管機關修訂法規，或導入更全面的措施，以期加強各產業的資安韌性。

拿棒球來比喻我們與業者的合作策略再恰當不過。資安院是大聯盟總教練，但也需要科技業者擔任厲害的教練，輔導各個組織機構。教練需要先在小聯盟洗禮，也就是在自身營運中累積經驗與證明價值，才能晉升到更高的責任層級。

透過嚴格評估與持續審查，資安院能夠判別哪些科技業者已經準備就緒，有能力擴大貢獻規模。拜這種結構化方式之賜，只有具備實證專業與可靠度的業者，才能在台灣資安領域擔任要角。我們正在積極檢視業者表現，也會協助未達標準的業者加以改善。

針對合格且可靠的「教練」進行排名後，名單會公開提供給所有第一方組織機構，得以選擇評分最高或擁有最相關認證的業者來強化資安。對於未達標準的業者，「小聯盟選手」的身分也會對外公開，透過透明度激勵他們提升服務品質，爭取與大聯盟級業者並駕齊驅的肯定。

隨著高階資安服務提供者不斷增加，資安院便可轉型為第三方監督角色，追蹤進度與確保問責。在這個架構下，台灣隊得以切實支援所有組織機構，同時打造一個有競爭力的市場，推動品質卓越、思維創新、規模能夠拓展的資安服務。

您對這項計畫的未來發展有何願景？

我個人期望，透過建立起擁有詳盡標竿與寶貴觀點的資安計分卡，我們能與資通安全署合作設立兩個智庫，一個負責政策法規，另一個側重量化治理。兩者整合研究成果後，可以建立起打擊假訊息與反詐騙的實戰守則，尤其是應用在社群網路平台，進一步強化台灣的資安防禦。