同行20年:從攻防兩端看見台灣資安的下一步

翁浩正/戴夫寇爾 DEVCORE 執行長
陳浩維/台灣駭客協會 創會理事

2026-05-07 12:40 - 13:30 @ 4F 展區會議室 4D, 南港展覽館 2 館

議程

議程核心摘要

企業資安最大的致命傷往往不是技術漏洞,而是攻擊方(紅隊)與防禦方(資安長/藍隊)之間的「認知落差」。本議程透過還原真實攻防情境,對照紅隊的入侵鏈推進與藍隊的事件回應決策,點出企業在合規與實戰間的盲點。資安防護必須從被動應對轉向主動建構韌性,並透過系統性的文化培養與跨界人才連結,全面提升組織的資安成熟度。

第一部分:真實攻防情境還原與認知落差

透過四週的實戰演練,真實呈現紅藍兩軍在同一時間點的視角差異與防禦盲點:

  • Week 1:盤點攻擊面
    • 🔴 紅隊:不驚動防守方,利用 OSINT、GitHub 等盤點外部資產與外洩資訊。
    • 🔵 藍隊:常規監控未涵蓋所有外部風險(如 CT Log、未修復的 BBP 漏洞)。
  • Week 2:取得進入權
    • 🔴 紅隊:利用外洩弱密碼與低速分散撞庫,成功登入 VPN 進入內網。
    • 🔵 藍隊:雖有異常登入告警,但因攻擊者偽裝合法 IP 及 MFA 非強制而未成功阻擋。
  • Week 3:橫向移動與抓包
    • 🔴 紅隊:在外包人員工作站落地,利用 AD 漏洞與 Pass-the-Hash 取得網域控制器權限。
    • 🔵 藍隊:察覺服務帳號異常行為,隔離設備並重設密碼,啟動事件調查。
  • Week 4:ADCS 濫用與資料外傳
    • 🔴 紅隊:利用 ADCS 憑證設定錯誤建立永久後門,並透過 DNS Tunneling 將資料切片外傳。
    • 🔵 藍隊:以為事件已解決而降低戒備,因缺乏 ADCS 稽核與 DNS 通道監控,演練結束後才驚覺資料外洩。
  • 🚨 攻防認知落差:紅隊已取得最高權限並偷走資料,藍隊卻在處理完表面異常後結案。必須透過正向的 Purple Teaming(紫隊)文化來縮短此落差。

第二部分:企業資安實務與防禦升級

  • Incident Response (IR) 不是事後救火:是事前的準備與演練。需建立完善的 Playbook,明確定義誰做什麼 (R&R)、升級條件與控制情況。
  • 正確評估紅隊成效:不要只看「有沒有打進來」,應關注偵測覆蓋率與回應時間,將結果轉化為防禦改善的閉環(Plan → Attack → Fix → Validation)。
  • 轉為主動防禦:從「等告警」轉變為威脅狩獵(Threat Hunting)與主動驗證,關鍵在於「思維」的轉變。
  • 發揮威脅情資價值:情報不是堆積如山的 IOC,而是要能影響決策、主動引導紅隊測試方向。

第三部分:企業常見的四大盲點

企業在推動資安時,最常陷入以下四個維度的盲點:

  1. 心態盲點:合規 ≠ 安全。過了稽核不代表萬無一失,合規只是最低標。過度依賴單一供應商,以為買了 Gartner 象限裡的產品就等於安全,卻無法分辨品質優劣。
  2. 資源盲點:預算花在工具,而不花在人。機房堆滿設備,人員卻被 Alert 雜訊淹沒。紅隊進攻時,真正的防線是「資安人員的應對」,而非工具本身。
  3. 組織盲點:資安團隊被孤立於決策圈外。內部威脅意識不足,員工將資安視為 IT 的事,導致釣魚信件照點、密碼貼在螢幕上等副作用。
  4. 演練盲點:沒被演練過的防禦,不是真的防禦。Playbook 寫得再漂亮,若沒有經過紅隊演練、桌上演練(Tabletop Exercise),出事時才會發現裡面的聯絡電話是離職同仁的。

第四部分:紅隊的真正價值與資安文化

紅隊公司的三大盲點與價值

  • 目標:不是打進去就完事,而是評估企業安全、訓練團隊。
  • 方法:應使用最精準的攻擊,而非大規模掃描。
  • 產出:終點不是交報告,而是讓藍隊變強,讓藍隊「懂」紅隊做了什麼。
  • 核心價值:紅隊是在幫企業培育資安團隊,幫助團隊建立「肌肉記憶」,知道攻擊長什麼樣子,雙方是攻防協作而非對立

建立正向資安文化與覺察力

  • Tabletop Exercise (TTX) 的重要性:最低成本的災難演練,無技術門檻卻能暴露組織真實反應,有助於釐清 R&R 並持續改善。
  • 被入侵並不丟臉,而是常態
    • 對內:建立正向團隊文化,給予資源。
    • 對外:展現事件處理的積極度與透明度,誠實面對才能真正改善並建立信任。
  • 資安覺察:資安是文化問題。組織需培養「覺察異常、察覺風險、察覺自身不足」的能力。如同榮格所言:「面對創傷才會成長」,企業亦然。

第五部分:產業合作與主動倡議

  • 人才是一切根本:資安不只是一份工作,更是在保護台灣的基礎建設。
  • 主動倡議與社群連結:從業者不能只是等待政策推動,應積極參與社群(如 HITCON、NISRA),連結政府、學界與產業,大家一起主動發聲與推動改變。

💡 總結 (Takeaways)

  1. 驗證你的假設:紅隊不是來證明你失敗,而是讓你的防禦假設不再只是假設。
  2. 誠實面對自己:真正的防禦力不是工具,而是組織是否透過每次的改善變得更有韌性。
  3. 主動覺察未來:防禦不應該被動,主動覺察才是真正的韌性,這必須建立在正向的資安文化之上。

(進階思考:面對 AI 時代,規模化和自動化攻擊將是對防守方的下一個重大挑戰。)