CYBERSEC 2025 臺灣資安大會之Gawr Gura畢業與AI大內宣

今年的資安大會是為了檢視目前的架構是否足以應付現在的威脅，也順便讓自己往外走走，不要整天窩在辦公室。搭捷運時看到Gawr Gura的重要聲明直播就知道大事不妙，疫情期間陪我們走過不安，疫情過後雖然開始怠惰，但去年的Hololive Meet看到現場直播，人生也沒有遺憾了：以企業經營角度看hololive Meet SUPER KARAOKE PARTY @ TAIPEI 2024。

這是她第二場直播演唱會，唱到Country Roads時當下有11萬人觀看，還記得當時系統商打來要修電子發票上傳問題，一邊戴耳機一邊聽電話和他們確認資料庫表格。系統可以當，歌不能不聽(X

最甜的情人節唱歌直播。

圍著營火唱歌。

爵士唱歌，這要醉不醉的聲調是不是想起了一位藍色頭髮酒醉妖精XD

SameAme自然貼貼，這兩位貼貼完全看不出來是商業操作，太自然了XD

天下無不散的宴席，隨著Ame離職，接下來換Same了。雖然聽到當下很傷心，但她現在是隻自由的鯊魚了，期待Senzawa和Dooby連動的一天。

緬懷完鯊魚後，把目光放回資安大會。去年資安大會以為AI這個詞很誇張了，今年幾乎每個廠商都在產品面前加上AI，這一年來有些廠商把對話式AI內建到產品中幫忙總結資安事件，並提出緩解政策。例如趨勢科技Trend Companion、微軟Microsoft Security Copilot。關於AI輔助事件調查，個人想法是幫助有限，因為一個事件的發生可能的原因有很多種，AI現在只能大方向和你說要檢查哪些地方，還無法取代專業分析師，當自己的能力有到達對話式AI的水準後，要找到針對式攻擊、或判斷是否是誤報或真警報，將資料交給MDR效果更好。AI可以幫你從0到60，對於一個剛接觸資訊安全、必須臨時上陣的MIS來說初期有幫助，但更重要的是去學習駭客思維才能百戰不殆，各行各業都要持續學習才不會被淘汰。

AI在資安領域巨大的貢獻，還是回到處理巨量資料上，讓AI處理大量資料、並讓專家進行調整，產出良好的結果再給使用者使用，使用者不用了解AI處理的過程、也不用與AI互動，人工把關才能明確定義資安事件，這點可參考卡巴斯基的HuMachine概念。

因此企業防護的架構上，在都有進行漏洞修補的情況下，若有可疑郵件、檔案、上網瀏覽等等該如何盡量做到嚴密防護？

端點防護、郵件閘道、防火牆規則防禦第一線
建立EDR資料，並搭配AI技術進行分析
建立沙箱分析可疑、未知威脅
定期檢查EDR各項資料
如果發現可疑的活動、交給MDR分析

這樣五步驟建立好後，再來就是導入ISO 27001，現在已經慢慢成為業界的必備標準了，當別人有的時候你沒有，你就落後了；當別人沒有你有的時候，你就超前了。當這些導入完成後，再找紅隊演練進行駭客入侵模擬，隨時維持良好的資安政策，這樣就能讓企業的風險降到最低。

概念講完後開始聽演講，首先任何人都有政治立場與喜好，即使領導的政權每四年替換一次，人的立場會隨著經歷、利誘而改變，但是在電腦世界必需做到把立場拋開，才能看到事件的全貌。雖然卡巴斯基沒有像其他廠商特別宣傳AI好棒棒，但2005~2006年就開始使用機器學習進行惡意程式分析，然後建立了卡巴斯基安全網路，也就是現在的AI分析，再經由公司專家的調整，達到低誤報、高偵測率的結果。卡巴斯基可能不會每次評測都拿第一，但參加評測這麼多年都保持一定的水準，不會說這次測試偵測率暴跌、下次誤報報高等不穩定的情況，這也體現了這間公司做科學的嚴謹。雖然因為偵測到疑似美國國安局的方程式組織遭到聯邦政府進用、又因為政治因素去年被美國完全驅逐，但全球營收一樣成長(根據創辦人說法，從美帝政府賺到的錢只夠他買幾台高級相機)，且美國並沒有把卡巴斯基的服務、威脅情資剃除，只是不能用軟體。根據待在美國的朋友、以及供應商客戶，現在到美國必需使用VPN才能更新卡巴斯基，因此我改推薦常去美國的人改用Bitdefender。

這次卡巴斯基演講請到美國來的Jeremy Carlson，談論卡巴斯基技術應用於OEM的發展。現在的駭客可能潛伏在開源專案中，例如XZ Utils後門事件、躲藏在PyPI的惡意套件，因此開發套件時、上傳套件時每一步驟的檢測也變得非常重要，卡巴斯基的OEM解決方案可以協助開發者降低使用惡意程式庫的機率，這些解決方案可參考：Kaspersky Integrated Technology Solutions，多數解決方案被用在華為、美團、騰訊等企業，甚至兆勤科技也有使用它們的方案。