回顾2025年4月的资安新闻,随著台湾资安大会连续3天盛大举行,台湾政府发布国家资通安全战略2025,还有多项LLM安全风险的示警与应对的消息,都让我们更进一步了解台湾与全球资安领域的蓬勃发展与态势演变,因此,这些资讯的传达成为我们本月首先关注的3大焦点。
其他还有3个层面的议题,同样值得我们重视,包括台湾资安事件现况、国际产业安全进展,以及预算影响资安专案的状况。在此我们汇整6大资安焦点,带大家快速回顾本月的关键新闻与趋势。
(一)2025台湾资安大会登场
CYBERSEC 2025 台湾资安大会本月登场,横跨30大资安议题,从网路韧性法到跨界整合,吸引400家厂商、1,500个摊位进驻,为期三天的活动吸引2万名来自全球产官学界的资安专家参与,显示企业对资安重视日益提升。
今年的CYBERSEC ARENA资安竞技场War Game,更是特别引进美国海军战争学院于美国Black Hat和DEF CON发表的台湾情境资安模拟游戏,透过建模、模拟与兵推技术,模拟真实资安威胁与战略应对。
台湾政府也持续展现政府对于资安的重视与支持,总统赖清德去年520上任,截至目前为止,他已连续四年亲自莅临,并在今年大会致词谈到未来四年重要的资安推动工作,我们不只要强化全社会资安韧性、关键CI防护,同时强调发展资安产业生态系,持续推动国产自主研发的资安产品与服务,以降低对外部技术的依赖风险,并要应对 AI、大数据、IoT与5G乃至未来6G技术的快速普及,研究新兴科技防御技术;美国在台协会(AIT)处长谷立言也在现场公布台美合作成果,包括今年3月主导举办5场聚焦半导体供应链防护的资安活动,并透露经济部标准检验局已完成美国「NIST网路安全框架 2.0」的繁体中文版,同时强调资安不仅是IT技术课题,更是国家与经济安全的重要环节。
(二)台湾多项资安新举措揭露
在国家资安防御动向,本月台湾政府有多项重大进展,最重要是《国家资通安全战略 2025》在8日发布,揭露我国2025到2028这四年的重要工作,涵盖4大层面,包括:全社会防卫韧性、国土防卫与关键CI、关键产业与供应链,以及AI应用与安全,同时也提及建立国家资安战情协同应变中心,突显我国更聚焦国安层级联防体系的发展,还有资安院算正规化的进展。
还有其他多项新进展于台湾资安大会揭露,涵盖PQC、零信任、产品资安、个资保护,以下是我们关注的4个重大突破:
●数发部数产署与后量子资安产业联盟(PQC-CIA)宣布,专为台湾设计的「后量子密码迁移指引」出炉,并在4月底发布自动化加密盘点工具。
●金管会阐释金融业导入零信任架构参考指引重要性,应从身分、设备、网路、应用程式、资料出发,另公布目前正发展金融云端资安监控基准。
●资安院解析多国法规已对ICT产品订明确安全要求,同时公布推动产业发展产品资安的3项计划,涵盖安全软体开发与检测的人才培育、推动PSIRT与建立资安院Bounty,以及国际法规的接轨。
●个资保护委员会今年即将成立,筹备处专家建议参考国际间的隐私框架,并用高强度MFA来确保使用者身分安全。
(三)LLM安全风险成2025年重要焦点
LLM应用风潮在这两年持续发酵,然而其资安风险问题容易被忽略,我们在4月制作封面故事阐述此议题,并从OWASP Top 10著手,透过简单易懂的阐释方式,帮助让大家了解提示词注入、敏感资讯揭露、资料与模型投毒、错误资讯等LLM应用10大风险。同时我们也以真实世界发生的状况来举例,让大家可以更清楚,当AI客服回应超出应有用途,员工将公司机敏资料上传公用AI服务,以及AI幻觉回应被使用者误信的状况。
另一方面,随著LLM推理模型与AI代理(AI Agent)的快速迭代,今年台湾资安大会的主题演说或各项议程中,我们明显观察到,现场有多位专家演说都聚焦LLM风险。在此我们挑出一些重点,例如:有针对企业推动AI应用上的建议,包括要有面面俱到的资安管理策略,建议可从资料、模型开发、员工使用及基础架构管理来著手,以及探讨LLM风险验测的困境,并建议可打造自动化验测机制、采取LLM-as-a-Judge做法,还有建议组织可从平衡AI利益及风险出发,依据WEF报告提出的6项问题来自评是否做好准备;另一方面,也有针对AI代理驱动网路犯罪商业模式Cybercrime-as-a-Servant的示警。
(四)台湾资安事件频传,勒索软体攻击持续严峻
根据公开资讯观测站刊登的重大讯息公告,本月有9家上市公司发布资安重讯,另外还有1起事故发生在地区医院。其中勒索软体攻击是主要焦点,像是振曜、沛亨的事故与CrazyHunter有关,还有桃园中坜长慎医院、倍力的事故则与NightSpire有关。这段期间,国内也接连有资讯服务商遭攻击,需要特别留意。
●第一周4起,盛余钢铁公告部份主机与电脑遭病毒攻击(4月底发补充公告,员工个资可能外泄);振曜科技、沛亨半导体表示部分资讯系统遭受骇客攻击;精诚资讯获匿名网路勒赎信件。
●第二周2起,力特光电公告资讯系统遭骇客攻击;万国通路表示发生资安事件。
●第四周3起,万海航运公告资讯网站遭攻击;万润科技表示部份主机与电脑遭病毒攻击;倍力资讯表示资讯系统遭受攻击。
此外,CrazyHunter的真实身分在4月初被查获,台湾刑事警察局公布犯嫌为中国浙江籍20岁的罗姓男子。
还有一项消息需要民众多加留意,那就是有资安业者发现攻击者散播常用软体,对方佯称提供即时通讯软体LINE,并透过搜寻引擎最佳化(SEO)方式散布,让民众在Google搜寻第一页就会看到仿冒LINE下载的网站,意图植入木马程式。
(五)国际多项产业安全重要进展
走出台湾,我们看到其他国家有多项资安防御新进展受关注,例如,持续演进的MITRE ATT&CK框架发布17.0新版本,同时针对VMware虚拟化平台发布新矩阵;CA/Browser Forum针对HTTPS凭证祭出新的2项安全要求,通过可有效防御BGP劫持的多方发行验证(MPIC),以及降低误发凭证风险的凭证检查(Linting);美国NIST发布1.1版的《NIST隐私架构》,以配合NIST CSF 2.0与AI RMF的修订变化。
还有一些重要消息,例如GitHub推出Security Campaigns,协助企业开发团队处理安全债更系统化并融于开发日常,还有Google发表资安AI模型Sec-Gemini,另也针对Gmail推出全程加密功能等。
(六)预算影响资安专案运作问题浮上台面
因为具有国会多数优势的在野党大幅删减与冻结政府预算,影响台湾资安发展,像是我国的资通安全署、资安研究院的计划深受影响,面临专案搁置或延后等,因为这些单位上层机关数位发展部所编列的预算,被大幅删除与冻结。
无独有偶,其他国家也发生类似状况,美国非营利组织MITRE传出因该国政府预算删减,将使维护CVE等多项专案停摆,此事更是引发全球关注,因为CVE的公布与指派已成全球漏洞管理基础机制,一旦CVE漏洞无法集中发布与追踪,将对整体资安生态造成冲击。
虽然美国CISA随后介入支援提供运作资金,但这起事件也突显CVE等体系的稳定运作,长年只有美国政府投入给予支持。目前CVE基金会已成立作为因应,不过欧盟漏洞资料库(EUVD)Beta版的发展也受关注。
回顾2025年4月第二星期的资安新闻,台湾最新国家资安战略出炉是主要焦点,当中揭露了我国国安层级联防体系的发展,以整合六块基础联防体系、跨部会协防体系与战略伙伴国际合作;其他网路攻击活动的揭露,以多起勒索软体攻击台湾与全球的消息,还有中国骇客锁定台湾、图博、维吾尔族散布间谍软体的情形最需留意
回顾2025年4月第四星期的资安新闻,台湾有长慎医院、万海航运、万润科技、倍力资讯遭遇网路攻击事件的情形,其中影响国内医院与资讯软体整合服务商的事故最受关注;国际间有日本Web邮件系统Active! Mail遭零时差漏洞攻击锁定,以及南韩多个产业遭攻击者以老旧BlueKeep漏洞攻击的状况