【台湾资安大会直击】老牌纺织厂靠GAI强化资安，将社交工程演练平台化和AI化

远东新世纪资安处资安长易换棣在台湾资安大会上分享资安探索经验，先是从上市上柜公司资通安全管控指引建议的3大防线中，锁定人员资安意识面，自建社交工程演练平台、用生成式AI搭配8种风险指标，来生成钓鱼邮件内容。他们还利用AI推荐个人化的资安意识课程、自动评分和建议。目前，远东新世纪正探索结合AI和数位工具，来自动化执行社交工程演练。

上市公司面临的资安需求与挑战

远东新世纪是一家60几岁的跨国企业，横跨跨6个时区、行销85国，还在7个国家设置生产基地。他们是全球前三大聚酯纤维生产厂之一，拥有从石化、聚酯、化纤、纺纱、织布、染整、成衣到零售的完整上下游生产链。

但对远东新世纪这样的上市公司来说，还面临不少资安需求。比如政府法令法规，包括了资安法及其子法、个资法，以及影响台湾企业深远的上市上柜公司资通安全管控指引、公开发行公司建立内部控制制度处理准则，「虽然还没成为真正的法令，但它就像一把剑指著我们。」易换棣说。

再来是客户契约，尤其是客户对远东新世纪的资安要求，如C-TPAP美国海关商贸反恐联盟、欧美品牌公司力推的供应链安全措施。此外还有治理和ESG课题，如公司治理评鉴将资安认证列为加分指标，这也是一项资安需求。其他还有数位转型，如近年生成式AI兴起，采用AIGC应用可能带来资安隐忧，而IoT数位足迹、去全球化及战争威胁、国际诈骗等也是要考量的资安需求。

面对这些需求，易换棣点出，他们还有4种资安挑战要解决，包括资安人才、资安资金、专职与专责的资安人力，以及资安人员与主管和跨单位同事的关系和谐问题。

锁定人员资安意识，制定AI社交工程演练方法

面对这些挑战，远东新世纪从上市上柜公司资通安全管控指引中，找出可加强之处。这份指引提出「3大防线」，来建议企业从政策面、技术面和人员意识面强化资安防护，比如在政策面，要求企业成立资安推动组织与制定资安目标、设立资安专责人员、制定人员装置使用管理规范等措施，技术面则点出，企业要设置资安威胁侦测管理机制、资安防护与控制等机制。

人员意识面则给出3大建议，包括接受资安教育训练、资安专业课程训练，以及每年办理电子邮件社交工程演练。「因为我们在市场上很难找到成熟的产品或方法论，」于是远东新世纪选定人员意识面，作为探索领域。

他们自建一套演练平台，也制定一套AI社交工程演练方法，来提高人员资安意识。这套方法有8个步骤，首先，远东新世纪建立演练名单，并分析员工特质、建立员工风险履历。第2步是制定社交工程场景计划，包括建立计划草稿和客制化钓鱼邮件范本。

接著是钓鱼攻击演练，这步骤包含2件事：自动回复钓鱼邮件事件和钓鱼邮件家教，来协助演练和资讯汇整。第4个步骤是分析组织与员工的活动风险，其中，团队会用AI生成活动日志，来统计、分析组织和员工活动。根据风险分析，接下来是推动安全意识线上课程，比如透过AI推播个人化的课程。上完课，下一步要做的是线上安全意识测验，一样要透过AI辅助自动评分、给予考试内容辅导意见。

完成测验后，再来是借助AI，汇总公司和职员个人的风险报告。最后一步则是提出改善方案，来提高人员资安意识。

定义8种弱点特质、制作风险履历

这8步骤看来复杂，远东新世纪如何跨出第一步？

易换棣指出，他们先透过资安情报、公开资讯，盘点出高风险的邮件用户，也就是「钓鱼邮件演练不能放过的职员。」比如透过职位层级找出高风险职员，如高阶主管、IT、财务、高权限用户，以及过往资安意识表现较低的职员，如新进员工或资安培训不足的员工。

同时，他们也锁定联络资讯对外暴露的职员，如官网公开的Email清单、暗网泄漏名单、重要供应链视窗名单和社交平台活跃用户等，或是研发、人资和业务等特定部门员工，纳入高风险名单，作为必须演练的对象。

接著，他们制定风险履历，先定义出8种弱点，也就是演练对象容易上当的钓鱼邮件类型，包括恐惧威胁、贪小便宜、粗心大意、宗教政治、情感丰富、新兴科技、好奇宝宝、急功近利。

比如，恐惧威胁是以威胁口吻告诉收件者握有机密资讯，要求收件者在特定时间内支付赎金等内容。贪小便宜则指，利用打折、优惠等内容吸引收件者点选邮件连结。粗心大意则透过模仿金融机构、利用帐户安全等字眼，引起收件者担心、进而点击「忘记密码」连结。宗教政治顾名思义，以宗教或政治活动邀请，如探索宗教与自我的深层连结，来吸引收件者阅读、点击连结。

至于情感丰富类型，则是以灾区捐款、模仿慈善团体名义等方法，发送内含恶意连结的钓鱼邮件给特定对象。新兴科技是指以科技媒体名义，发送捏造的新技术新闻内容，如ChatGPT 5Alpha正式登场，并附上体验连结来吸引收件者点击。好奇宝宝类型则是以英文和近似大牌厂商名称，如Coco-Cola，来发送包含连结的中奖消息。最后一种急功近利型，则是以「绝对不能错过」、「快速致富」、「投资赢家」等字眼来激起收件者好奇心，进而点击连结。

远东新世纪用这8个弱点规画的风险履历，包含一套雷达图，以8个弱点作为指标，可根据个人和组织整体的8项分数，画出风险雷达图。

订定5种演练场景，采混合演练模式

接下来，对应到上述步骤2的社交工程场景计划制定，他们划分出5种演练场景，包括新员工培训、定期员工培训、发生资安事件后、特定部门钓鱼邮件演练，以及公司重要活动前，并分别制定不同演练计划。易换棣补充，第5个场景尤其重要，比如远东新世纪每年都会举办马拉松，在马拉松前发送钓鱼邮件，职员上钩机率较高，因此是个加强演练和宣导的好时机。

而他们的演练计划内容，通常包含演练目标范畴、管理层授权、执行团队统筹、锁定钓鱼对象并以生成式AI产生内容、开立IT需求单、事前演练、正式演练和出具报告与教育训练等。

在演练阶段，不少企业会分为统一演练和部门演练2种方式，但远东新世纪采混合式方法，将中央和部门采用同一套框架标准，再由各部门根据需求，来制定所需的演练内容。

如此，就能兼顾统一演练和部门各自演练的好处，像是贴近部门需求、参与程度高等。易换棣补充，他们也正探索，如何利用AI和数位平台，来高效能、自动化完成演练。

善用AI提高演练和教育效率

演练期间，他们还设计生成式AI驱动的钓鱼邮件家教，当员工收到可疑邮件时，可向家教询问，家教再根据邮件来源、特征等，来告诉员工是钓鱼邮件风险等级和处理建议。这些高风险邮件资讯还会储存起来，未来出现同样或类似内容时，就能通知职员。

易换棣解释，这个家教是他们训练的几支AI代理（Agent）之一，透过每一次的对话，即时告知员工判断要点，也发挥宣导功能。

再来，在演练后的资安意识课程部分，远东新世纪也运用AI推送合适的影片，并帮忙改测试考卷、给予建议。尤其，他们使用RAG技术，结合公司内部政策，能提供更贴切的资安说明员工。

与之类似的，还有团队打造的资安问答Chatbot。他们收集公司相关案例，员工透过资安问答Chatbot，可学习到过往社交工程资讯，先行预防。「透过这些方法，我们在教育训练的即时性、个人化表现是有提升的，」易换棣说。

最后，远东新世纪自建的AI钓鱼邮件演练平台，会根据部门员工分数，显示部门和公司整体风险履历表，包括8大指标雷达分数图，以及年度评测结果说明。同一页面还会秀出公司的社交工程实战看板，包括每次演练重点摘要和关键数字，另外也能从边栏，来查看事件回应分析、社交工程评估报告等更多内容。

至于如何衡量演练成效，易换棣也分享3大检核要点。第一是效果，比如收益是否高于成本、提升整体防护，再来是效率，如操作简单流畅、自动化且标准化、营运干扰最小化，以及贴合性，也就是符合实务、模拟真实攻击手法等。