今年是iThome举办台湾资安大会的第十年,超过3百场资安演讲,也聚集了超过500家资安品牌参展,参与人数从十年前的一千五百人,到今年多达二万人来参与。台湾资安大会也从一场在地的资安会议,现在已经成为亚洲最大规模的资安展,数百位来自二十多个国家的与会者到场参加,像韩国就有三十多家金融机构组成的金融资安观摩团,包括韩国的重要银行、信用卡公司、证券和保险业者,一起组团来台湾参加台湾资安大会。
今年的台湾资安大会在520新总统就职典礼前一周举办,但是,总统蔡英文仍旧赶在任期结束前,再次参加台湾资安大会担任第一天开场演讲,这是她连续第六年参加,今年同样带了政府与资安相关各部会首长参加,甚至一一参观台湾资安馆中48家在地业者的展示。
台湾在2018年提出了第一部资安战略报告,将资安拉高到国安层级,积极推动资通安全基础建设和全民资安各项作为。2021年时,蔡英文更在台湾资安大会上宣布了「资安即国安2.0」战略,从国家资安,政府资安的强化,进一步要发展台湾自己的资安产业力,将资安产业视为国家六大核心战略产业之一。
3年来,政府投入了不少政策推动力道,像是透过产创条例的修法,将资安产品及服务等投资纳入租税优惠,来鼓励企业提升资安投资及开发相关的防护技术。
或像是这几年也强化了对上市柜公司资通安全管理的法遵要求,不只是提升各产业的整体资安能量,也创造了庞大的在地资安需求。国发基金更编列了三十亿元,来打造台湾的资安产业创业基地。资安人才成了科技人才中的当红炸子鸡,今年的台湾资安馆,也一口气多了11家新参加的本土资安业者。蔡英文在今年台湾资安大会开场演讲强调, 2023年台湾的资安产值已经超过740亿元,稳定朝向2025年800亿元产值的目标前进。
不只蔡英文总统,下一任总统当选人赖清德也连续第三年来参加台湾资安大会,他在资安大会第二天,率领新内阁多位资安相关主管来关心台湾资安产业发展现况,像是新内阁中的行政院副院长兼资安长郑丽君以及数位发展部部长黄彦男等。
赖清德同样强调「资安即国安」,他也承诺,未来的新政府,会延续蔡英文总统的政策,继续推动国安的工作,并将继续支持台湾资安产业的发展,推动台湾资安产业更上一层楼。
从2015年到2024年,台湾资安大会十年,正好见证也参与了台湾资安发展最蓬勃的十年,但这十年也是资安挑战和考验变化最剧烈的十年,不断的改变是IT技术的本质,资安的威胁和挑战更是如此。2015年那年才新出现了6,487个新漏洞,但是到了2023年,新漏洞已经暴增到26,447个,今年更预估会超过3万个新漏洞。
奥义智慧科技创办人邱铭彰(Birdman)回顾十年资安发展,资安发展从网路课题(以DoS攻击为主),历经了伺服器课题(以Web攻击为主),前几年转而聚焦端点课题(以APT攻击为主),而现在最新的资安课题则是Identity(身分)课题(以云端攻击为主)。「云端时代的战场,不再是端点,而是各式各样的工作流程中的身分风险。」他强调。
也因此,这十年来,企业的资安战略已经出现了典范转移,邱铭彰归纳,从过去以「了解敌人」的「什么不能出现的Security典范」,现在转而变成「了解自己」的「什么不该出现的Safety典范」,许多不该出现的存取行为、操作记录都成了判断资安风险高低,即时告警和阻断的关键。
在新的资安典范中,企业得在自己熟悉的IT场域中,找出风险最高,最容易发生攻击的弱点环节来防御,邱铭彰比喻,就像是要找出城市中最容易发生车祸的高风险路口,将资源集中到这些路口来防范车祸发生。
早在2014年,台湾资安全就流传Birdman的一句话,「台湾虽然是一个矿产、石油等天然资源缺乏的国家,却是一个拥有源源不绝恶意程式的天然资源国家。」他的这句话,点出了台湾发展资安最独特的国际级「优势」,这个优势正是过去十年,台湾资安产业蓬勃发展的重要推力。
但在下个十年,新的技术浪潮来袭,生成式AI浪潮掀起了全新的资安冲击,邱铭彰观察,多模态AI、合成资料(Synthetic Data)和因果推断(Causal Inference),这将是资安结合AI后的三大未来趋势,将会大大改变许多资安专业人员的工作样貌。
邱铭彰的预言,正是台湾企业和台湾资安产业,下个资安十年的第一道挑战和课题。