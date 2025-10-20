快訊

趨勢觀察／強化資安 企業必修課

經濟日報／ 徐念恩
台灣各類企業與民生基礎設施接連遭遇駭客攻擊，引發社會高度關注。（路透）
近年來，網路攻擊不再只是企業資訊部門的難題，而是全面升級為營運的重大風險。尤其台灣各類企業與民生基礎設施接連遭遇駭客攻擊，引發社會高度關注。

網路攻擊不易被偵測

《2024年全球金融穩定報告》（Global Financial Stability Report）指出，自疫情爆發以來，全球網路攻擊事件發生頻率增加逾一倍，造成損失較2017年翻了四倍，達到25億美元。

2024年，全球平均發現資安事件所需時間為194天，但全年CVE漏洞數量高達40,077個，這一連串數字清楚顯示出，資安風險已經對企業營運帶來深層且實質的威脅。

面對資安議題時，企業不應僅將「合規」視為「安全」，實際上合規主要是改善管理與流程，而非保障完全不被入侵。真正的風險往往潛藏於不易透過合規角度發現的問題，例如跨部門的流程設計、帳號權限過大、第三方供應鏈系統弱點未納入高強度常規檢測，反而是駭客最常攻破的切入點。即便導入掃描工具與滲透測試，也礙於企業資源有所限制，難以評估營運上可能的風險。

以政府機關為例，即使具備完備的資安指引與制度設計，但委外開發系統因管理與驗收標準落差，仍可能成為高風險的漏洞來源。即使是長期投入資安資源的金融產業，面對高頻率、高強度攻擊，仍須持續強化防禦與偵測機制，否則難以即時發現異常並妥善應變。

在高科技製造業中，老舊系統與技術債的存在已成為資安治理的一大負擔，一旦遭遇攻擊，往往導致重大停機損失，根據產業調查顯示，每次資安事件的停工成本介於20萬至200萬美元之間，對營運造成巨大衝擊。

紅隊演練找決策盲區

面對這些企業資安部署過程中難以自行發掘的痛點，紅隊演練（一種模擬真實攻擊情境的資安測試）提供了一種更貼近真實威脅場景的驗證營運安全的方式。相較於弱點掃描與網站滲透測試，紅隊演練從攻擊者的視角出發，模擬真實且具策略性的攻擊手法，目的在於測試組織在遭遇攻擊時的防禦韌性與應變能力。

其切入點並不局限於技術層面，更涵蓋跨部門合作、通報與決策鏈、人員訓練等組織性挑戰，更有效地發現那些未被察覺的決策盲區與應變落差。

實務上，企業可透過紅隊演練結果建立可量化的資安KPI，轉化為具體的治理與改進行動，並採取協調放行的演練模式，讓防守端具備適當應變空間與學習機會，在攻防過程中形成良性循環。透過紅藍雙方的互動機制，演練不僅能夠發現潛在問題，更促進團隊知識內化與風險意識提升。

近年來，已有愈來愈多企業的資訊安全長（CISO）開始將市占率、品牌信任、安全事件對法遵與財報的影響，納入資安風險評估範疇。這不僅有助於讓董事會與高階經營層更清楚資安風險在企業策略中的角色，也讓紅隊演練成為風險管理中不可或缺的一環。唯有將資安視為一項系統性風險，企業才能在快速變動的網路威脅環境中，建立真正具有韌性的營運體質。

（作者是DEVCORE共同創辦人暨資深副總）

