編按:過去談到資安問題總是強調「預防」,但駭客攻擊防不勝防,如果遭遇攻擊,擋不下來怎麼辦?

「現在資安強調的是『兩個 R』,第一個是系統能快速反應,Response。第二個是系統必須不能倒下,Resilience。」奧義智慧創辦人邱銘彰、人稱「駭客大神」的 Birdman 在接受《TechOrange》Podcast 節目〈全新一週〉專訪時,用人體免疫系統來解釋資安新觀念,讓門外漢也能一次搞懂資安。

Birdman 提到他的創業心路歷程,奧義智慧希望的是透過 AI 自動化來解決人員不足、人才不足的問題。同時將台灣的資安做出特色,尤其目前全世界最大的資安威脅來自中國,這也讓最懂中國駭客的台灣在資安領域上,佔有一大優勢。

Birdman 在節目中分析資安、AI 兩大議題:

1. 人體 vs COVID 就像企業 vs 駭客!企業要打造現代資安免疫系統,最重要的是「兩個 R」

2. 台灣現在缺乏資安人才,要如何透過 AI 解決這個問題

以下為節目專訪逐字稿。

《全新一週》主持人戴季全(以下簡稱「戴」)

哈囉,各位聽眾朋友們大家好,我們今天邀請到這位來賓,他在網路上面的 ID 叫 Birdman—鳥人,大家可以不用去 Google 了,幾乎我所有認識、我認為非常高竿、厲害的駭客、軟體工程師通通都知道 Birdman 是什麼樣一號人物,但如果你上網 Google 只會找到電影相關資訊。

Birdman 在真實生活中,他的身分是奧義智慧創辦人—邱銘彰。

今天我們請 Birmand 來跟我們聊聊,資安在我們這個世界,越來越多的智慧車、越來越多的 AI 服務,到底扮演什麼樣的角色,更不要說我們的國家面臨很大的資安威脅,甚至我們的總統一直再三不斷地強調,資安就是我們的國安。

聽完這集你就會跟我一樣,知道要怎麼樣保護我們的生活、工作、跟數位財產的安全。

今天我們邀請到奧義智慧的創辦人邱銘彰,但大家是不是都叫你 Birdman?

知名連續創業家、奧義智慧科技創辦人—邱銘彰(以下簡稱「邱」)

對,各位好我是 Birdman,沒錯。

戴:一開始先跟你討論一個課題,大家最近一直在討論,而且事情看起來還沒落幕,就是全世界前三大之一的加密貨幣交易所 FTX 申請破產,原因是因為創辦人他把加密資產都捲走或移走了,還有個說法是說,它的流動性出現問題,就是說他擅自去挪用裡面的資產。

我記得我在念資安相關的理論或資料的時候,有個部分叫做社交工程漏洞,我去看裡面的細節,一個例子就是說,如果你讓你的朋友在輸入電腦的時候,或者手機圖形密碼解鎖時被朋友看到,這個就是社交風險漏洞。

現在資安議題越來越多,譬如說我們要保護我們的數位財產安全,現在電動車、智慧車也會有很多車子安不安全的問題,不管是公部門、私部門都在數位轉型、都要上雲,會有資料安全的問題。
我想先問你,就你的觀點來看,你覺得 FTX 的事情算是一個資安的議題嗎?

邱:其實 FTX 的問題非常複雜,你剛剛講的社交工程,其實它應該不是這個問題,因為社交工程比較像是指騙術,不是技術問題,那系統漏洞它比較像是技術問題;可是如果是欺騙人、或是從流程上控制比較像是騙術,所以通常我們會把兩個區隔開來。

你講得沒錯,以前我們會講 Information Security,以前讀書的時候,現在我們會偏講 Cyber Security,範圍更大了、應用領域更廣了,不只有資料的安全,還有營運面、其他面向的安全。

戴:奧義智慧其實是專門 focus 在跟 AI 相關的資安,但其實我對於在 AI 上面怎麼做資安是完全不知道的。可不可以先跟我們介紹一下,奧義智慧是在做什麼?

邱:其實我們想解決的問題,就是在資安產業其實非常需要人力,不管是資料的分析或 log 的分析,我們一直希望用自動化解決人員不足、人才不足的問題

一直以來在 machine learning 的領域,很成熟是用在影跟音還有自然語言,這三個領域非常成熟,其他領域要用 machine learning 其實不是很容易,尤其我們領域裡面都是 log 的資料、event 的資料,那個都是一筆一筆 records,這種不是一般影音的資料,這方面 machine learning 探索就做得比較少,所以我們也希望在這方面盡可能找出一些自動化的方法,來做自動化調查。

在奧義智慧,有點像是我們開發自動化鑑識現場的機器人,以前是警察封鎖現場,然後做鑑識調查,這個是血跡、刀痕、毛髮……蒐集證物之後交給檢察官判斷。

那我們希望把資料蒐集跟鑑識的過程、數位鑑識的過程,轉成自動化方法來做,讓檢察官或是判斷的警官擁有很完整的 information、situation 就很完整,它就可以直接判斷。

我認為 machine learning、AI 方法用在資安最主要是在降低資料處理的複雜度,它不是取代專家;因為專家非常重要。

就好像前陣子 COVID 很嚴重,你不可能瞬間培養出兩千個醫生出來,因為醫生培養需要很長的時間、經驗,但是你可以訓練很多機器人護士出來,幫你處理醫生之外決策的事情,比如整理這些病例資料、整理這些樣本資料,分析好、資訊整理完畢之後,醫生就可以很快做決策。

我認為我們應該要正確使用 AI、machine learning 的方法:AI 其實是 augmented intelligence 而不是 artificial intelligence,我們必須認識這點,它是用來擴增我們的智慧、擴增我們的能力,而不是取代醫生的;醫生是沒有辦法被取代的

戴:哇 Birdman 你開了一個非常大的戰場,因為我記得有一次跟簡立峰在聊 AI 的時候,他說不要去想像會有一種 AI 可以做所有事情,通常一個 AI 只會做一件事情;譬如說演算法寫好,它下圍棋就是在有限的定義裡做運算,它沒辦法用開放式的……

邱:General-purpose(一般用途)可能很難。

戴:對,他說訓練一個 AI 大概就要三千萬美金,所以你剛剛講的事情是說,不僅是把資安 AI 化,你的資安其實也是應用在各個垂直領域,來去讓每一種不同的 AI 都能夠達到安全的水準。

邱:是,就像是有些人專門是胸腔科專門的醫檢師、有些是護士、有些是醫生,不同的角色其實有不同的 model 存在,你不可能訓練一個 model 是 general-purpose 的。 

其實在 machine learning 界有一個很重要的論文是 No Free Lunch Theorem,這個理論在 1995、1996 年兩邊很重要的論文,它證明了任何一個 model 都可以找到一筆資料讓它表現不好,也就是說,沒有一個 model 可以適用所有資料,它已經證明 general-purpose 應該是不存在的;我們必須認知這點,才知道會下象棋的 AI 是不會去開汽車的。

目前唯一已知的 general purpose AI 就是人類大腦,除了人腦之外我們不知道有別的成功例子存在,其他應該都是有限制的,我們必須把領域的問題定義得很清楚,它必須在特定的 scope、特定的 prior knowledge 才有可能產生好的 model 來做出這些行為。

為什麼駭客大神 Birdman 不看好「讓 AI 開車」?

戴:好,我來舉個實例:我想要換車很久了,我一直不太敢買特斯拉,因為我覺得它很危險,當然一開始的時候,我單純只是想說,我還是用我熟悉的方式去開所謂的傳統車,因為通常我的車載的都是家人老小、朋友,這些陸續出來的智慧車,它光是講到車上軟體系統有跟 Google 整合,心裡就覺得安全多了。

邱:Google 的 AI 在幫你。

戴:但至少我對 Google 這個公司的信任是,它在軟體領域、它至少在手機上面如防毒……這個我們等下可以聊、我也很好奇,我還記得我們以前都要買防毒軟體,為什麼突然就不用買了,

從你的角度來看,它的這些汽車 AI、智慧車,AI 和安全性之間的關係是什麼?

邱:我覺得分兩個層次,第一個是自駕系統,第二個是多媒體、多功能娛樂系統部分的安全性,以自駕系統來講,其實開發出來已經很長一段時間,也經過很多人的試驗,自駕系統演算法本身很成熟。

但是所有自駕車駕駛必須了解一件事情,你必須知道,它必須在限定範圍內才有效,我剛剛已經講過了,沒有一個 machine learning model 是 general-model,不可能有台車適用各種路況,比如說國外 machine training 出來的車開到市民大道下面,一堆摩托車、賣菜的阿桑騎腳踏車過去,各種奇怪的路況,它不是每個都能 handle。

戴:它只要沒有見識過的就無奈。

邱:它會一直嗶嗶叫,所以為什麼自駕車希望你把手放在方向盤上,它隨時受不了時你要幫它。

戴:它要 take over,它要還給你。

邱:其實大家誤解了,自駕車其實是輔助駕駛,它幫你把周圍情況蒐集起來,不然以前被 A 柱擋到、後照鏡沒看到,它幫你蒐集車子附近的情報,方便你決策、減少犯錯的機會,實質上還是你在開車,掌握這點的話使用自駕車就沒問題。

完全相信自駕車是非常危險的事情,之前就是有人手放開、睡著、喝酒醉、去喝咖啡,出車禍就很慘,因為自駕車只要出車禍,下場都非常悽慘。

我舉個例子,2016 年舊金山第一起特斯拉車禍,一台特斯拉撞到拖板車,因為拖板車後面很長、有斜坡,以為是交流道,它加速往前衝,自駕車只要出車禍就表示 AI 識別錯誤,識別錯誤它是不會煞車的,所以自駕車車禍是沒有煞車的,撞得很可怕,不知道自己錯就不會煞車

戴:因為它不知道自己錯了。

邱:對,它不知道自己錯所以不會踩煞車,但人的車禍不會,我們在緊張的情況下至少會鬆開油門、踩一下煞車, 可能會減緩損失,所以人會做 response,可是汽車不會,如果出車禍的時候。

所以大家必須了解這點,就是說要善用它,它可以幫助你做輔助駕駛,但它不是取代駕駛

如果真的要取代駕駛,現在有些自駕車是真正取代駕駛,它是沒有方向盤,它就全部都是乘客座位、沒有駕駛的座位。這種車通常是用在特定領域上面,這些 AI models 是必須在特定領域才有效,比如說公車在專屬道路上進行,有專屬的交通法規、專屬的設施,軌道下面有標線,專門 for 它測試,所有行為都是 predictable,這種情況下才是安全的。

像很多捷運都是沒有人的,可能是遙控或自駕,沒有方向盤必須在受限條件。

戴:其實為什麼火車或捷運,因為它有軌道,而且它其實幾乎是百分百 monitored 的環境下去看車間的……它所有狀態都容易預測。

邱:對,而且它有個 dashboard,今天有什麼狀況它寧可全線停駛,自駕車或汽車看起來好像是自動駕駛、或者在開放路面,它其實只是透過演算法或一些機制,它會設計出一個隱形的軌道,讓那台車去順著隱形的軌道去演。

戴:所以像台灣的標線很混亂,路凹凹凸凸的,它就會識別錯;不要說自駕車,我有時候光是把車開到台中或高雄,用路風格就跟台北很不一樣。

假設今天整個資安的概念正在同步發展,還有 AI 醫療、AI 可能還會應用在無人機,還有在鏡頭上面的一些識別如校園安全,AI 的資安是否在 AI building 的時候就要把資安的考量放進去。

邱:這些系統的安全性如果用 AI 來表達,很多資安的層次,必須在需求層次、規劃層次就把機能放在系統機制。講到之前有一些攝影機被駭客入侵,後來發現它的密碼很弱、必須要換密碼,當初設計沒有換密碼的功能、密碼是寫死的,台灣、中國廠商為了 cost-down,很多介面都省掉,設計規劃當初就沒有被要求做資安、做稽核、管理營運。 

戴:沒有加密。 

邱:Design 層次就沒有了,後面硬加很痛苦都改不了,你可能找不到這個 vendor、沒再更新了,它已經寫死了,它的機能就是這樣子,這是個大問題。

就像是上次裴洛西來台火車站招牌被換名字,後面廣告系統的廠商,它可能沒有做好資安規劃,任何人只要把訊息放在系統上,它就把它秀出來。

戴:其實不是只是 AI 系統的設計,例如說邊緣運算,這些 IoT 或 AIoT 的設備,可能在資料傳輸時它就是零碼、它沒有加密,或者它沒辦法換密碼,或者是加密金鑰、加密邏輯沒辦法換或 upgrade,等到事情發生後要去改就很難。 

邱:第一個是 AI model 的安全性,這剛剛自駕車有提過,我們必須認知到它不存在 general-purpose 的應用存在,第二個就是其他的應用層次,回應你剛剛提到的,這些娛樂功能設計好不好、有沒有把安全考慮進去,稽核管理是個大問題。

因為有可能被駭客入侵,你開車的習慣,或者說駭客在你的車用系統錄音,這就很可怕啦,你跟你老婆聊天……追蹤這個人去哪個 hotel 都可以追蹤,是非常可怕的事情,這些資訊的外洩產生另外一個資安上面的問題。

所以分兩個層次,一個是自駕的安全,一個是應用系統的安全;應用系統就必須回歸設計層次,應用系統就必須有好的稽核跟考量。

所以在軟體安全上,有討論供應鏈的安全,一個車子其實是由很多元件組成,它不是一個廠商做的,有各式各樣的 components 存在,所以現在推演的觀念就是 software BOM 表 (SBOM),一台產品這些元件分別屬於哪些供應廠商,如何去稽核、管理它們,光盤點可能就很難盤點,像盤點電腦有哪些是大陸軟體;現在推一個資安管理的概念,希望把組成成分把它秀出來,稽核它們的管理。

戴:BOM 表其實就是一個清單。硬體的是清單,軟體也是,只是說軟體跟 AI 設計有沒有用資安的角度去檢查過,它的系統安全性。

邱:用什麼樣的軟體開發流程開發出來的,QA 測試、規格 spec 是如何被檢驗的,很多軟體公司可能為了省,可能什麼都沒做,符合 spec 就好,這在很多情況下可能就會出現問題。 

戴:這個就要講一些大家都知道但大家都不能說的秘密,過去幾年其實圈內一直盛傳,台灣有半導體被 hacked,這個事情你有聽說嗎?

邱:這個有上過新聞嘛,新聞我就不用講了,前幾年就有類似的新聞,導致它的營運、機台受到一些……

戴:還有代工廠也有,甚至還有品牌筆電廠也有,就你的理解,這件事情是怎麼發生的?他們的製程其實也是需要用資安的角度重新 redesign 一次。

邱:其實這問題比較偏供應鏈安全,像那些機台廠商,一個晶圓廠它很多產品跟設備是很多不同廠商提供的,所以那台機台可能在原來生產的廠商裡可能就被 compromised 了,或是被感染一些惡意程式了,再把它放到產線上面就導致這些問題;進到產線裡面來,這個稽核管理就是個大問題,這是供應鏈安全,你公司做很安全,結果送進來的機器可能有問題,直接上架到機房裡面去。

戴:就像現代的木馬。

邱:它變得不透明、不夠理解,所以現在就希望每個供應商交付產品能夠有些驗證的證明、或是符合某些稽核的標準。

戴:不管是半導體、代工廠,或筆電的製造商,像 iPhone 在這方面反而是做比較成熟。

邱:是,非常嚴格。

人體 vs COVID 就像企業 vs 駭客!企業要打造現代資安免疫系統,最重要的是「兩個 R」

戴:慢慢地這些要求,過去幾年實際案例上面,都有因為駭客入侵停擺了,所以如果說現在很多的製造業開始在做智慧製造,其實就是工廠更自動化,或是用 AI 來控制、機器手臂、或者是更多 AI 辨識,他們是否在規劃怎麼做數位轉型的時候,就要把資安的概念,是不是應該——像剛剛講的供應鏈安全,前面就要先做?

邱:就像是……你講得沒錯,現在的系統功能變多了,以前車子可能只有 10 個功能,現在車子可能有 100 個功能,application 變複雜了,複雜度提高後,管理成本可能升高了,管理能量沒辦法完全 cover 得了它所有的行為,而這其中的 gap 就是資安問題。所以資安是出現在 IT 或系統不確定性的部分,是我們必須要去消弭的部分。

戴:所以我們是不是在開始把產線智慧化,不管是製造晶片也好、製造衣服、球鞋也好,早點找奧義會比較好。

我不是要幫你打廣告,我只是要釐清一下說,假設我們今天是製造商,我們的專長是製造商品。

邱:你們不是資安專業的。

戴:對於這些製造商、工廠來說,它的第一個動作要做什麼?

邱:他們很多是不知道如何投資資安,我有錢、我有預算,但是要怎麼做呢?

資安有個很重要的概念,駭客看不到、摸不到、聞不到,是個抽象的敵人,跟幽靈一樣,那到底我們在防什麼?我在裝的防火牆到底有用嗎?

所以第一個你要先做量測 measurement,評估系統的安全性,這個有很多方法可以做,從外部的稽核、內部的量測都有,比如說可以請資安公司來做滲透或紅隊演練,來驗證這些系統的有效性,找出這些軟體的弱點,了解自己的問題才有辦法變得更健康。

我如何讓自己變得更強壯?先做一次健康檢查,哪些是紅字的先把它列出來,我們明年的目標就是花錢把這些紅字降下來變藍字,因為資安看不到,表示目標不明確,一個目標不明確的東西,你無法訂一個計劃出來,因為目標必須有 PDCA,你要知道你的目標、objective 是什麼,因此首先第一個任務:讓資安可視化,你先讓它從不可視變成可視,看得到才量得到、量得到才能最佳化。

所以大家都被新聞混淆了,新聞上寫的攻擊非常可怕,我舉個例子,比如伊朗核電廠被駭客入侵、核電廠遭到惡意程式威脅,嚇得人心惶惶,其實你家又沒有核電廠、你公司裡又沒有核電廠,你幹嘛要擔心伊朗或核電廠惡意程式跑到你家來?你根本不需要了解。

所以透過對我自己的了解,我知道我是什麼性質的產業,我是金融、證券、交易平台,所以我需要注意哪些領域的安全?健康檢查的主要目的是先了解自己,不用去了解駭客,因為駭客你看不到,但是你可以了解自己。

所以現在資安強調一個概念是,那個 R 很重要。R 包含幾個詞,Response。以前希望 Prevention,阻絕攻擊於境外,就像戴口罩一樣、病毒不要到我身體裡面來,但現在轉換觀念,我們已經知道我們是擋不住駭客的,應該說會發生事情都是沒有擋下來的,那沒有擋下來我們該怎麼辦?所以第一個我們必須討論 Response。

第二個是系統必須不能倒下,Resilience。

就像是你感染 COVID-19,我們的免疫系統在四小時內才會發揮作用;一個急診病人送到急診室,其實醫生什麼都不能做,就是幫它撐過四小時,你先求活下來,再去知道如何去改善自己,當一個系統被攻擊,第一個是它產線不能停、它可以變慢,但是生產必須繼續,所有證物必須留下來,必須經過驗屍跟鑑識調查,把這些情報回饋到我們的 IT 系統,讓我們變得更健康,下次攻擊來的時候,兩小時內反應、縮短那個部分,這就是讓我們資安可視化的參考數據

不然你說什麼叫安全?老闆說我們今年花了一千萬買資安,我們變安全了嗎?你也講不出來,量化的量測很重要。

戴:這個其實越來越接近免疫系統的觀念,你要一直去回應跟適應,你也不能夠說……

邱:去優化我們的系統。

戴:所以它其實是一個持續的過程,這幾年我們政府一直在講資安就是國安,我其實一直不是很懂是什麼意思,但如果用你剛剛的這個描述,是不是我們應該整個國家要先做一次國防安全的健檢,例如說假設今天我們要去健檢的項目是,被入侵、登陸、被飛彈攻擊,甚至被駭客攻陷電廠、交通,還是金融,還是假訊息……這些東西都可以先列出來,去做一些攻防演練,再針對我們還不夠好的地方去強化。我這樣的描述方向是對的嗎?

邱:其實資安跟國安是很大的題目,我們必須知道兩岸的局勢跟國際局勢,代表的是資安層級升級到國家層級,為什麼講資安就是國安,除了剛剛你講的,關鍵設施跟民生基礎設施,resilience 重要,我要確保打仗的時候電不能斷、網路不能停、電話不能斷。其實政府做了很多資安評估,他們做很多的。

其實我再講一個觀念,你就知道為什麼資安跟國安很重要了。

我們如果全部的人都裝掃毒軟體了,然後掃毒軟體用國外廠商,如果打仗的時候,國外的公司不給你 license,你的掃毒軟體不能用怎麼辦?所以為什麼政府希望培養出國內的能量,打仗的時候只有自己人才能發揮作用,讓我們自己有反應的能量,就是你自己要有 T 細胞跟免疫細胞在身體裡,不能每次都靠打針,針可能買不到、人家可能不給你、斷貨,自己要有能力 resilience 下來。所以資安即國安就是要自立自強,讓我們自己有反應的能量,這非常重要。

現在在台灣大家有慢慢意識到這點,所以為什麼這幾年台灣資安公司變得很多,因為真的威脅來的時候,他們幫不了你,像前陣子因為 COVID-19 的關係,外國專家進不了台灣,資安需求又來的時候,所以培養國內的人才很重要,所以現在有很多學校、政府機關都在辦一些活動、比賽、課程,培養更多資安人才。

戴:這個是更根本性的問題,在我們理解資安的多樣性,已經不是過去很狹義的資訊安全,包含資產的保護、人身安全的保護、隱私、社會價值、人權價值的保護,因為我們正快速變成資訊化的社會,所以資安就隨著這樣的產業擴張或是社會行為、商業模式的演變……

邱:資訊的交流讓大家 link 在一起,所以這整個 whole system 越來越龐大,系統越大之後其實資安問題複雜度也提高,不只是量、複雜度也提高,我們整個社會都連在一起。

資安人才缺口,可以靠 AI 來補

戴:對,全部都接在一起了。我想要回到你的創業經驗。奧義是你的第幾間公司了?

邱:這是我第三次創業。

戴:你三間公司都是跟資安相關的題目嗎?

邱:是,我一直是做資安事件調查跟反應相關。

戴:你現在奧義智慧是怎麼去建立商業模式?

邱:其實我們早些年對資安有興趣、開自己工作室、然後接案子、小公司的時候,那時候大家對資安是沒有任何 sense 的,去敲鑼打鼓也沒人知道。

但這幾年突然熱起來,大家非常熱烈在做資安,因為兩岸局勢、地緣政治、駭客攻防,或者線上金融交易平台、金融的損失,所以我們發現資安變得很熱,但是我們發現很大的問題是人才其實跟不上來。

培養一個醫生要五年、八年,培養一個資安專家也必須要有一定的經驗,因為資安專家必須懂很多領域的技能,所以它不可能一瞬間跑出很多資安專家,那就出現一個 gap,需求跟應用面 gap 很大的時候,就需要更多自動化方法來做

所以我一直在做惡意程式跟自動化鑑識調查,我覺得這個領域是需要被自動化的,我們必須要給前線的鑑識資安人員更多自動化的武器,不能拿藍波刀跟駭客對抗,我們應該拿機關槍出來,給他們新的工具、新的方法,自動化的演算法更新,所以我們一直在做自動化調查,以前事件報告是人在寫,我們甚至做了一個系統是 virtual analyst 虛擬分析師,它產出來的報告幾乎跟人一模一樣,很多客人收到以為是人寫的,其實那個是 AI 分析完、AI 產出的報告,唯有這樣才能降低專家的 loading,我覺得是非常重要,在這個領域裡面。

戴:Birdman, 我現在突然想到一件事情,因為駭客現在也是自動化在攻擊,它通常是跑一組程式然後去掃脆弱的地方,這個和病毒和疫苗的關係也非常類似,因為疫苗就是用病毒去做的。

所以你剛才觀察到的局勢是說,當整個世界它因為資訊化和全球化連結在一起,資安應用領域變得非常大,可是其實原本的人才供給數量跟不上。

奧義它就是用 AI 彌補這個 gap,當有很多不同的產業,比如製造業或甚至國家、政府部門,其實可以透過奧義的服務,先很快速地把過去常見的漏洞,先做一次體檢,再由有經驗的資安人員來去優化、來去擬定計畫去消除資安漏洞。  

邱:做有效投資。

戴:甚至是如果你要 redesign 整個產程、製程,你要怎麼樣把資安的 concept 在重新設計的時候就先帶入,或者是你剛剛講的軟體 BOM 表,其實都有些檢核的標準,通過了你才可以用。

邱:沒錯,現在資安應用領域很大。要做自動化分兩個部分,第一個是戴:自動化了解自己的弱點、認識自己,因為認識駭客太難了;第二個自動化是,當攻擊發生時快速反應,以前可能要兩個禮拜才能把電腦全部鑑識、分析完,現在可能兩個小時就要出報告了,因為再拖兩個禮拜公司都要倒了,AI 自動化可以用在剛才這兩個面向沒錯。

戴:我覺得該用的廠商很多耶,我知道幾年前,台灣有個賣汽油的加油站也出過事。

邱:是,勒索軟體,只能做現金交易。關鍵基礎設施政府應該介入、幫助蠻多的,他們會幫它做調查,但是我比較擔心其他民間公司,它不是關鍵的產業──不是金融、不是油水電,沒有人幫他,它沒有這個能量,甚至連 IT 能力都不夠,它公司管電腦的可能只有一個、兩個在管而已。

戴:有一個我個人困擾很久的事情,我常常接到詐騙電話,他們到底怎麼知道我這麼多資料的?

邱:就我的了解,我們的個資早就外洩了,我們的身分證號碼、地址不會改變,我們的個資外洩一次就外洩了,在駭客間轉賣、一直轉賣,

戴:因為那個是 fixed 的東西。

邱:對,可能第一次 80% 的人外洩、第二次是 5% 的人外洩,久了之後就會累積一包很完整,所以大陸有些論壇在賣台灣人的資料,那個資料可能比台灣人自己蒐集的還要完整,這個資料出來後再拿來做很多的詐騙。

第二個就是其實在很多電商線上交易來說,有很多的 stage、很多的流程,不只是電商很容易被駭客攻擊。它為什麼要那麼精準知道你買什麼?你上午一買、下午電話就來。

第一個可能是電商系統可能有漏洞,為了追求快速上線,它可能是物流、金流被攻擊,整個供應鏈是很長的,我們常看到是其他體系出問題,有時候查半天查不出有什麼問題,因為不是它外洩了、而是它的廠商外洩了,那些人的資安能力、水準可能不是那麼好,這整個供應鏈都要安全、因為要讓大家體質一起上來其實是不太容易的。

有幾個線上交易建議,盡量用臨時的 email 去買東西,臨時註冊一個 email for 一個電商,因為你不能保證它不會外洩,你就假設它應該會外洩。第二個就是盡量降低自己的消費欲望,像我本人就完全不線上刷卡,我一律都是帶現金交易,我又不太買東西所以還好,線上交易實在太可怕,太多詐騙。再來是我幾乎不接電話,我只接通訊軟體的,打電話來的我一律不接,因為不可能有人知道我的電話,有知道的都是廠商外洩,那都是詐騙。

奧義智慧要讓全世界 VC 看見:投資台灣軟體會成功!

戴:最後是我個人好奇想問,就是你現在第三間公司都是在台灣創業,你這個創業歷程……

邱:其實創業是很孤獨的,很多人問我要不要創業,其實你要害一個年輕人就鼓勵他去創業,通常他下場都不太好,我不是說褒貶,而是說你必須認識自己的個性,你適合去創業再去創業,你把不適合的人推去創業他就會很慘、他就會過得很辛苦。

像在台灣就會很辛苦,因為一般軟體業很難獲得投資,我們的 VC 都會拿去投製造業;以色列在新創整個非常熱、美國也非常熱,國外新創都是拿 VC 去開公司,我們是拿老本、跟家裡借的錢去開公司,第二個是我們的價值很難喊出來,因為軟體公司只有電腦跟人才而已。

不過我覺得這幾年有變好,政府跟 VC 產業有慢慢認識其實軟體業是值得投資的,我也希望在台灣能慢慢做成一個榜樣,我們公司的 A 輪是很大的 VC 投、B 輪是新加坡淡馬錫,這也是少數在台灣有在投資安公司的。

我想要做出個成功的案例,讓軟體、讓 VC 圈知道投資台灣的軟體公司是會成功的,因為有第一個成功,後面創業的人才會被重視到,這是非常重要的,我覺得台灣在資安是有優勢的。

你說台灣的資安有什麼優勢?因為國外大廠這麼大,微軟或是美國大廠、以色列大廠那麼多……

但是你別忘了,全世界目前最大的資安威脅來自大陸,而台灣人是最懂中國大陸攻擊的人,全世界你要了解中國大陸駭客威脅,你不找台灣人要找誰?所以為什麼我們去日本、新加坡、或其他國家,為什麼他們會聽我們的話?因為他們被大陸駭客打的不要不要的,他們又不了解大陸駭客在想什麼,我們同文同種的,我們知道那些暗號是什麼意思,我們知道 SB 是什麼意思,我們理解他們的攻擊行為,我們也了解他們的攻擊習慣。

我們必須把台灣的資安做出特色,不然每個人都講資安、你的、我的、他的、政府的資安都很抽象,那我覺得至少把台灣的定位特色找出來,把資源給我們的晚後輩,對資安有興趣的人才有場域可以玩,我們以前做資安沒有人在重視,我們必須要把環境做出來、我們要做遊戲的改變者。

戴:謝謝 Birdman,希望以後還有機會請 Birdman 到節目來和我們分享一些秘辛,謝謝大家!

你喜歡這個內容嗎?收聽並關注〈全新一週〉,專屬決策者的 Podcast!從正在發生的變化中,找到未來線索,創造全新世界。

別錯過大咖人物專訪:教你看懂台海戰爭的真正訊號!面對超現代戰爭,我們該如何準備?|S2 EP 55 Ft.簡立峰 – 全新一週 

(圖片來源:adobeflickr 1234,責任編輯:游絨絨)