[新聞] 如何擋下網攻不破防？華碩資安長曝粗暴解方：強制推行15碼密

原文標題： 如何擋下網攻不破防？華碩資安長曝粗暴解方：強制推行15碼密碼，駭客就會「累到放手 」？ 原文連結：https://www.bnext.com.tw/article/84769/asus-cyber-attack 發布時間：2025.10.15 記者署名：邵元婷 責任編輯：李先泰 原文內容： 隨著AI、量子技術的發展，資安威脅也隨之不斷進化。根據Check Point Software Technologies的威脅情報部門數據顯示，2025年第2季全球每週遭受網路攻擊的次數平均 為1,984次，和2024年同期相比增加21%，與兩年前相比更成長了58%。 其中，台灣的網路攻擊情況特別嚴重，平均每週遭到4,055次攻擊，位居亞太地區之首。 而台灣受攻擊次數最多的前三大產業，依序為硬體供應商（平均每周8,139次）、政府與 軍事機構（5,042次）和製造業（4,983次）。 面對日益升級的資安風險，華碩資安長金慶柏指出，早期駭客只是單純為了炫技，到現在 演變成全球化、生態系化的「勒索即服務」的犯罪模式，攻擊者已將獲利模式變得更精準 化、規模化。 資安防禦如今已不再是單純的IT技術問題，而是攸關企業生存與品牌信任的戰略議題。而 面對當前的資安威脅，華碩將其歸納為兩大類： 威脅一：利用AI大量產出釣魚訊息 如今，駭客不再需要花費大量時間手寫惡意程式碼或設計社交工程郵件。透過生成式AI， 駭客就能大規模的產出語意完美，且高度客製化的郵件或訊息，大大提升了員工被釣魚或 社交工程攻擊成功的機率。 此外，透過深度偽造（Deepfake）的影像與聲音，詐騙集團也能模擬高階主管的聲音、外 貌，發動「變臉詐騙」，直接鎖定財務或供應鏈人員，造成難以追回的巨大財損。 威脅二：針對AI系統本身的攻擊 當AI模型成為企業的核心資產（例如內部知識庫LLM或智慧生產系統），駭客的目標也開 始轉向模型本身。例如透過惡意輸入，讓AI模型做出非預期的行為，甚至竊取訓練數據或 機密輸出。再加上近年AI代理人的興起，只要這些能自主執行任務的AI體系被滲透，潛在 的破壞力更是不容小覷。 簡單粗暴但有效的防範招式：密碼升級至15碼 隨著生成式AI與供應鏈攻擊日益複雜，金慶柏認為，現在企業資安遇到最困難的挑戰，其 實是「人與文化」。 「企業防護做得再好，可是只要有一個員工粗心大意，就可能把公司幾十年辛苦的防範， 全部化為烏有。」金慶柏強調，再複雜的技術防禦，其實都可以靠預算解決，但人性的疏 忽卻可能讓資安防線瞬間瓦解。因此，華碩認為，資安工作的核心在於文化轉變，必須建 立起全公司「保密防駭，人人有責」的集體意識。 為了讓資安防護深植於企業DNA，華碩採取了各種不同的策略， 其中最讓人意想不到的， 就是強制推行15碼的高強度密碼。 金慶柏指出，多數企業會在IT系統端下功夫，卻忽略 了員工的個人裝置與習慣。然而，這小小的一個舉動，卻是一個「便宜」卻又非常有效的 方法。 金慶柏強調，只要密碼從4碼升級到15碼的安全強度， 就夠確保駭客在現有技術下需要花 上百年才能成功破解，極大地提升了資料的安全性。 「就算你把密碼貼在電腦底下，我 們不鼓勵，但也會比單純4碼密碼安全的多，」金慶柏笑著補充，「畢竟能進到公司、辦 公室偷取機密的人，就已經大大減少了。」 另外，華碩的資安長也親自扮演「資安傳教士」的角色，透過持續性的教育、訓練和年度 的資安週活動，不斷向全體員工宣導和傳遞資安意識，確保這種「人人有責」的防駭觀念 ，能夠從上到下，真正成為華碩企業文化的一部分。 華碩怎麼應對AI帶來的資安挑戰？ 要在AI時代安全地利用AI工具，除了公司內部資安文化的建立，一個由上而下且持續優化 的治理框架更是關鍵。 「沒有任何企業能保證永遠不發生資安事故，」金慶柏強調，企業能夠不支付贖金的「底 氣」，就在於是否具備強大的數位韌性，而這樣的韌性，則必須具備完善的災害備援機制 、嚴謹的資料分級與保密，以及能夠快速恢復營運的系統能力。 策略一：災害備援機制 備份的最終目的，是確保在數據遭到加密或破壞後，企業能隨時「倒帶」回去，以最快的 速度以備份的基礎重建系統並恢復資料。 因此在資料保護上，金慶柏建議實施「3-2-1」的備援機制，也就是企業的關鍵數據「至 少要有三份副本，儲存在兩種不同的儲存媒介上，其中一份必須存放在異地或雲端」，這 樣就能應對各種極端災害。 策略二：嚴謹的資料分級與保密 面對AI時代的來臨，華碩在2024年成立了由董事長親自指示跨部門的GenAI委員會，負責 統籌全公司的AI技能培訓，更設立了標準化的資安審查流程，要求任何部門導入第三方AI 服務都必須通過評估，從源頭保障企業機密。 最關鍵的是，這項政策採用PDCA（計畫-執行-檢查-行動）循環，並嚴格執行「紅線禁區 」，明確禁止將「機密」及以上等級的數據用於未經核可的公開AI模型，確保企業核心數 據安全。 策略三：能夠快速恢復營運的系統能力 在攻擊發生前，企業內部也應設有應對資安事故的標準作業流程。這套SOP必須明確紀載 事故發生後，所有部門的職責和具體應對行動。這樣在被攻擊後，團隊也能不手忙腳亂地 一步一步照流程處理。同時，華碩也加入了FIRST等全球資安社群，確保內部團隊能隨時 與國際領先者同步，不斷提升資安應變的成熟度。 「資安防禦的最終目的，是讓企業具備在風險中持續營運的能力。」金慶柏最後強調，只 有將資安從技術任務提升為全員文化，並將其視為設計與營運的核心價值，企業才能真正 的實現永續經營。 心得/評論： 看重訊時偶爾會看到有公司被駭客攻擊甚至勒索 付錢能解決都還算小事，如果技術機密外流可是重傷 透過增加密碼長度讓駭客要攻擊華碩時還要提高蒜粒 看起來華碩在資安方面已經準備好了，顯著的提高公司的投資價值@v@ -- 台積電福音 第一章 By資深PTT鄉民 1. 你早晚要買TSM的，為什麼不要現在買？ 2. TSM是你們的方舟，信者必得救。 3. Morris張 看見這許多迷惘的人，便走下山來，告訴他們，你們當輪班，信仰TSM。 4. TSM，願你的腦機介面晶片降臨，願你的晶片在這世上，如同呼吸般自然。 5. 神愛世人，甚至將他的TSM賜給眾人，叫一切信他的，不致崩跌，反得飆漲。