Yahoo奇摩財經 
金研院看世界-解讀美國全新資安戰略
資訊界是一個易攻難守,還是易守難攻的領域? 軍事界一開始把數位空間當成等同於陸、海、空、太空領域來思考時,想到的都是「生化人」或機器人大軍。這種機器跟現在的無人機有個差異:它們除了投射力量以外,還可以控制領土,是進攻領地的工具。
但後來,我們發現位元與原子是完全不同的東西,數位世界沒有任何穩固的牆壁。自從像Napster這種P2P平台開始流傳盜版音樂之後,資安和智慧財產權兩個概念就一直糾纏在一起。
雖然官僚的思維總是慢科技專家好幾步,但隨著資安概念不斷推移,美國的資安戰略也跟著改變,基本上已轉為在攻擊與防禦之間做平衡。其中最重要的是,美國目前認為要能有效維護資安,就得和盟友與合作夥伴協調努力。
■網路已經不是上一代的模樣
關鍵線索是來自「嚇阻」(Deterrence)一詞的使用頻率。2018年「嚇阻」才出現在美國網路戰略之中,助理國務卿福特在2020年的演講中表示,「有一段時間,美國似乎希望只要跟中國及俄羅斯等國的惡意網路行為者好好溝通,就能說服他們減少惡行。」
「但如今我們汲取了教訓,更明確地將嚇阻列為資安外交手段之一。過去幾年的發展清楚證實,光是制定出一套框架來規範國家的資訊行為必須負起哪些責任,不足以阻止國家繼續違規。我們必須讓大家知道違規將付出哪些代價。」
今年3月,期待已久的《國家網路安全戰略書》(National Cybersecurity Strategy)更新了美國原則,但是「嚇阻」一詞又再次消失。
這樣的翻轉,與幾項彼此關聯的變化有關。資安界守護資訊的方式已改為縱深防禦(Defense in Depth),因為沒有任何方法可以完全保證與網路連結的資產安全。與此同時,過去五年的地緣政治變化,已讓非技術性的嚇阻變得更加不管用,尤其更難應對俄羅斯與中國的作為。美國在最新版的《戰略書》中,將這兩國列為跟北韓、伊朗等級,是最重要的威脅。
另外,由於駭客手法更加老練,區塊鏈生態系更加成熟,這段時間的勒索軟體攻擊也有所增加。因此,新版《戰略書》更重視金融面的防禦,包括防制洗錢與反恐,同時特別關注非法加密貨幣交易。必須守住整體資安環境,才能擴大落實既有數位資產監理,真正控制相關犯罪。
■不只是超級大國才需要在意網路安全
比較兩版《戰略書》,新版最有趣一點,是外交。2018年版本四大目標的最後一項是「提升美國影響力」,大量提及自由、治理、市場等等概念;當時人們普遍認為網際網路必然會促進開放,可加速中國民主化,但現實的「牆內花園」(主要由無法互通的社群媒體構成封閉生態系)讓這個樂觀願景的實現困難重重。
今年的《戰略書》已不再強調美國的影響力,轉而主張形成國際聯盟、強化國際夥伴(包括台灣)關係。這某種意義上反映了黨派對美國實力的不同看法,但也相當務實地因應了全球性資安威脅。報告中也特別提到哥斯大黎加、阿爾巴尼亞、蒙特內哥羅受到攻擊後,美國給予的協助。
這種觀點不只適用於網路安全。如今美國愈來愈常使用金融制裁與半導體供應鏈來掌控局勢,最近禁用TikTok的決定,也讓人更覺得美國主要仰賴懲罰措施來對抗中國。在這種狀況下要確實與中等強權維持關係,就得找到一些「胡蘿蔔」來軟硬兼施。傳統的開發募資工具最多只能達到中國「一帶一路」的效果。某位肯亞官員的感嘆,成了推特上諷刺「債務外交」的名言:「每次中國來訪都會蓋一棟醫院,每次英國來訪都只會對我們演講。」
資安其實不僅僅是菁英在關注的事,真要說起來,只要其他比較窮的國家有技術將它們的金融體系連上網路,那麼他們會更在意資安問題。
■聊天機器人?或駭客機器人?
未來的重要問題會是大型語言模型(LLM)能不能緩解相關困境。雖說人類至今為止相關預測都錯得離譜,所以應該盡量謹慎,但仍可以得出一些初步結論。
大型語言模型無法發明新的攻擊類型,反而其他更專門的演算法,比較可能製造出這種威脅。但大型語言模型能為各種攻擊提供經濟引擎,將某些比較簡單的攻擊方式,例如社交工程詐騙的成本,降到數十或數百分之一。
新版《戰略書》發表後的短短幾個月內,網路安全的相關環境又產生許多改變,這次的改版可能不會大幅影響攻防之間的配置權重。眾所周知,網路的維護必須與實體的治理同時存在,才能發揮效果。所以目前真正的問題是,世界級的相關人才極為稀少,到底該如何培育擴增?(本文譯者/廖珮杏)
更多工商時報報導
金管會明年金檢 聚焦三重點
大宇資業外補 11月每股賺13.47元
工商社論》論海外就業劇減二十多萬人的迷思
