資安廠商Fortinet統計，去年亞太區共偵測到9703億次網路威脅，台灣就占超過4成，其中「漏洞利用」是常見手法之一，去年台灣偵測漏洞較2022年增加逾6成，漏洞被發現後，平均4.76天就會被駭客拿來運用。如何及早發現內部潛藏漏洞、降低被駭客攻擊的風險，成為政府機關、企業、民眾的共同難題。

不過，所謂的「駭客」並非全指從事惡意行為者，駭客中有一群白帽駭客，他們是資安領域中最具「駭客思維」的專家，在不影響正常營運情況下，透過紅隊演練、滲透測試等服務，無所不用其極地模擬駭客行為，協助企業與組織及早發現漏洞。攻擊涵蓋網路到實體，換名片就開始情蒐、躲在廂型車內側錄企業的WiFi封包、偷偷放置帶有惡意程式的USB，許多宛如電影情節的手法，都是現實世界會發生的駭客行為。

專職模擬攻擊的「紅隊」，以及擅長防護和抵禦的「藍隊」，都是身處駭客攻擊熱點的台灣，不可或缺的資安能量。《聯合報》採訪專攻紅隊演練與滲透測試的攻擊型資安公司DEVCORE共同創辦人暨資深副總徐念恩等資安專家，解密白帽駭客的工作日常，帶讀者了解駭客思維、探討全球資安趨勢與人才需求。

記者林澔一／攝影

駭客進行網路攻擊時，絕非盲目行動、亂槍打鳥。徐念恩說，駭客和多數工作一樣，都追求高效率的賺錢方式，會針對目標對象進行縝密的事前情蒐、精心策畫完整劇本，著力攻擊對方軟肋，鎖定最容易攻陷的入侵管道，逐步誘導受害者掉進陷阱，以最小精力搏得最大效益。

" 國際上統計顯示，專業駭客要入侵一間企業內網，平均時間不用18分鐘。"

—DEVCORE共同創辦人暨資深副總徐念恩

「我們有時會開玩笑跟客戶說，從交換名片那一刻起，攻擊就已經展開」。駭客能用來進行攻擊的情資無所不在，徐念恩舉例，拿到名片就可以得知客戶使用的網域名稱、電話、地址等基本資料，團隊就可以開始分析。以網域名稱為例，透過掃描軟體就可針對網域做分析，找到延伸的子網域，如會員專區、金流服務等。

此外，為追求效率，以及讓釣魚郵件更真實、貼近企業發信口吻，駭客會竭盡所能地取得攻擊對象的所有資訊，從中找尋可用於攻擊的蛛絲馬跡。徐念恩分享，在一次模擬攻擊中，客戶指定攻擊的系統需輸入護照號碼和個資才能登入，當時團隊翻找了客戶YouTube頻道發布的所有短片，「還真的被我們找到」，其中一支宣傳影片中偶然拍到被當作道具的主管真實護照，團隊就這樣順利入侵系統。

資料外洩也並非僅限於網路環境，日常生活中不經意的舉動都可能引發資安危機。DEVCORE團隊有次到客戶辦公室開會，經過員工座位時，瞄到該員工電腦上貼了寫著帳號、密碼的便利貼，他們立刻就記了下來，沒想到剛好是高權限的IT人員帳密，正式開始攻擊時，團隊光靠著這組帳密就登入許多系統。

徐念恩說，駭客無時無刻都在情蒐、找弱點，弱點不只存於網路，實體場域也可能存在漏洞，偽裝成面試者、維修人員進入目標對象的辦公室找尋可用資訊，甚至撿碎紙機中的廢紙回來拼湊，都是駭客真實會採用的情蒐手法，辦公室不代表是百分之百安全的環境，除了設門禁管制，仍應避免將敏感資訊暴露於環境中。

圖／123RF

情蒐之後，駭客下一步會開始尋找目標對象的漏洞。由非營利組織MITRE維護的通用漏洞揭露（Common Vulnerabilities and Exposures，CVE）公開資料庫，會針對已知的資安漏洞核發編號，其格式為「CVE-西元年份-XXXX」，過去XXXX多只到四位數，但截至今年6月中，2023年所發放的最終編號為「CVE-2023-52890」，代表當年度有超過5萬個新弱點被發現，成長速度驚人。

徐念恩表示，多數企業都有不只一個系統和網站，「駭客不可能對每一個網站都狂轟亂炸」，太容易被發現蹤跡、沒有效益，通常駭客會選定最脆弱的標的，例如年久失修或看起來像測試頁面的網站，以及明顯有預設帳號、密碼能登入的系統進行攻擊，團隊也會以此方式規劃紅隊演練目標。

近年資安界多以「表面積」來評估企業或組織遭駭客攻擊的風險，放在外網、一般民眾都可使用的服務網站愈多，代表表面積愈大，以球類比喻就像籃球，例如醫院、政府部門、金融業等，有掛號、便民服務、網路銀行等對外服務的網站和系統，就屬於表面積大的目標。若攻擊表面積如乒乓球大小，例如對外僅有一個靜態官網，能被攻擊的標的就相對少。

駭客會根據網站功能來推論可能存在的漏洞。徐念恩舉例，電商網站訂單、會員資料都一定會串接資料庫，就容易存在SQL注入漏洞（註1）SQL注入漏洞是發生在網站、應用程式與資料庫之間的安全漏洞，駭客會在設計不良的程式中夾帶惡意指令誤導資料庫伺服器，進而破壞、入侵系統。 ；需要使用者上傳證件、圖片或檔案的網站，則較有可能遇到任意檔案上傳（註2）意即攻擊者可將任何檔案上傳至目標主機。若檔案中含有惡意程式，便有機會取得權限、控制受感染設備。 危機。此外，各式各樣的軟硬體，如印表機、攝影機、視訊會議設備、通訊軟體、NAS（網路儲存伺服器）等，也容易存有弱密碼、供應鏈管理不當等漏洞，「駭客會像水管工人，一段一段串接漏洞，最後形成攻擊鏈」。

記者林澔一／攝影

" 要去想像駭客會如何運用這些弱點？怎麼移動？想偷什麼東西？"

—DEVCORE共同創辦人暨資深副總徐念恩

徐念恩表示，產業面臨的資安風險會因重點服務項目有所不同，身為白帽駭客，會比照駭客攻擊思維，針對產業特性「客製化」威脅情境。舉例而言，金融業最怕遇到數位搶劫、客戶個資外洩，ATM、跨境匯款用的SWIFT系統就會是重點目標；製造業與高科技業多擔心產線被破壞，連接產線的核心網段便相當關鍵。

徐念恩說，駭客的攻擊手法不一定只靠網路，實體場域也能達到入侵目的，例如國外曾有案例，有資安團隊進行紅隊演練，為入侵目標，花時間跟蹤公司總經理、研究他平時的開車習慣，知道他每天停哪個車位，某日就在他車位下放置隨身碟，結果該經理果然順手撿起隨身碟、並用公司電腦讀取，駭客不用攻擊任何網段或設備漏洞，就可以將惡意程式植入，在內網通行無阻。

徐念恩表示，過去團隊也曾執行過實體攻擊。公司WiFi安全性是企業常忽略的資安面向，就曾有客戶希望針對其辦公大樓的WiFi進行檢測，團隊不從網站「正面進攻」，而是開著廂型車前往客戶公司附近側錄WiFi封包，由於對方使用弱密碼，不到半小時就成功破解，團隊就可以順勢存取、連入內網，發動一連串攻擊。

圖／123RF

不論是專精攻擊的白帽駭客，還是擅長防禦的「藍隊」，都是完善資安防護網不可或缺的環節，但據統計，全球資安人力缺口高達近4百萬人，較2022年提升12.6％，數發部長黃彥男也坦言，台灣資安人才現在遠遠不夠，未來2年希望能培養超過1千名政府資安人才。面對日益猖獗的駭客攻擊，如何補足人才缺口、訂定資安戰略，是台灣迫切需面對的課題。

全球資安人才缺口有多大？

國際資訊系統安全認證協會（ISC2）《2023年網路勞動力研究報告》顯示，全球資安人力缺口約為399萬人，較2022年提升12.6％。儘管過去5年中，全球資安勞動力已成長94.6％、總數達550萬人，但對於專業人才的需求仍持續擴大，其中以亞太地區缺口最大。

全球資安人才缺口高達近400萬人

資料來源／國際資訊系統安全認證協會（ISC2）《2023年網路勞動力研究報告》、記者整理

國際電腦稽核協會（ISACA）2023年發布的《網路安全狀況報告》進一步調查來自112個國家、17個產業的2178位受訪者，該報告顯示，隨攻擊手法持續精進，對資安人才的需求也不斷變化，目前最須補足的能力為軟性技能，包含溝通、協調與領導能力；其次則為雲端運算、資安管理、編程技巧以及軟體開發等能力。

由iThome所發布的2023 CIO大調查統計，目前台灣大型企業平均資安人力約為3.4人，距離理想目標6.1人缺口高達79％。進一步分析產業，以金融業資安人才需求最高，人力雖已逐年增加，但缺口仍達4成。政府與學校資安人力缺口成長則最為顯著，現有人力為4.9人，尚需補足5.6人。

台灣的待遇、人才招募競爭力與全球相比？

台灣數位安全聯盟前理事長、微智安聯創辦人蔡一郎分析，半導體業「錢」景好，理工科系畢業生首先會有一大批被半導體業吸走，資安產業得先和半導體業搶才。若畢業生願意投入資安領域，本土企業也需要和外商公司競爭，首選會是薪資待遇優渥的Google、微軟、Fortinet等外商，年薪起薪通常都可破百，再來則是本身有開發資安產品的本土企業，目前本土企業都很積極提升待遇，希望招攬優秀人才加入。

政府部門要招募資安專業人才就更居劣勢。成大計算機與網路中心主任陳培殷觀察，對資工、電機相關科系學生而言，「不會有人想去公部門」，例如關鍵基礎設施中的油水電，待遇難跟半導體業競爭。奧義智慧共同創辦人吳明蔚表示，資安人才現在是公部門體系的稀缺資源，政府應思考如何提供好的裝備、薪資，增加攬才誘因。

台灣還需要哪些努力、政府做了什麼？

2年前爆發的俄烏戰爭延伸至數位戰場，網路攻擊如同兩軍真實對戰。吳明蔚表示，俄烏戰爭對攻擊和防守方而言都是很大啟發，台灣受限於資安人才數量與國家規模，較難成為強力攻擊方，但一定要具備主動防禦、快速復原等能力，「不能只等著收屍」。

黃彥男表示，數發部預計未來兩年內在政府單位中培養超過千名資安人才，過去政府機關遇到薪資難與業界競爭困境，將透過加給、留任獎金、特殊專長加薪等機制來提升待遇，也將透過教育單位開設更多資安訓練課程，提升整體資安人才數量。

今年3月，全台第一個專職培養油、水、電關鍵基礎設施人才的資安攻防模擬基地在成大設立。成大計算機與網路中心主任陳培殷指出，過去資安議題多半聚焦在網路層面，對工控資安關注較少，也較少課程著墨這塊，但油、水、電的資安問題關乎民生，缺水、斷電、燃料短缺都可能引發危機，補足資安人才迫在眉睫。

過去油、水、電工控系統屬封閉環境，但近年因應數位轉型、自動化發展和智慧工廠，與網路連接的設備愈來愈多，資安風險也因此提升。成大計算機與網路中心網路與資訊安全組長李南逸舉例，過去美國進水廠加藥馬達就曾遭受駭客攻擊，加藥設備無法停止、水質超過正常標準，所幸水廠針對PH值、藥物濃度有固定偵測，即時發現異常，才避免擴大感染。

陳培殷表示，基地設有中油、水廠等關鍵基礎設施的設備縮小版，透過課程開設，帶學生實際演練攻防情境，培養參與人員資安意識與防禦能力。舉例而言，基地針對水廠鍋爐蒸餾系統設置攻擊情境，設備實際溫度已達100度，駭客卻竄改溫度顯示，使其僅顯示80度，學員需要學習如何防護和因應。

陳培殷說，目前第一屆共計有182名來自各科系的學生報名，共20幾位拿到學程證書，第二期則有50位學生報名，藉由減少人數讓課程更深入；另學校也針對油水電在職員工進行培訓，過去員工只需熟悉如何控制機台，但現在還需具備一定資安能力，知道如何透過控制設定，讓主責的機台不會那麼容易受駭客攻擊。

延伸閱讀