原文标题:
如何挡下网攻不破防?华硕资安长曝粗暴解方:强制推行15码密码,骇客就会“累到放手
”?
原文连结:https://www.bnext.com.tw/article/84769/asus-cyber-attack
发布时间:2025.10.15
记者署名:邵元婷 责任编辑:李先泰
原文内容:
随着AI、量子技术的发展,资安威胁也随之不断进化。根据Check Point Software
Technologies的威胁情报部门数据显示,2025年第2季全球每周遭受网络攻击的次数平均
为1,984次,和2024年同期相比增加21%,与两年前相比更成长了58%。
其中,台湾的网络攻击情况特别严重,平均每周遭到4,055次攻击,位居亚太地区之首。
而台湾受攻击次数最多的前三大产业,依序为硬件供应商(平均每周8,139次)、政府与
军事机构(5,042次)和制造业(4,983次)。
面对日益升级的资安风险,华硕资安长金庆柏指出,早期骇客只是单纯为了炫技,到现在
演变成全球化、生态系化的“勒索即服务”的犯罪模式,攻击者已将获利模式变得更精准
化、规模化。
资安防御如今已不再是单纯的IT技术问题,而是攸关企业生存与品牌信任的战略议题。而
面对当前的资安威胁,华硕将其归纳为两大类:
威胁一:利用AI大量产出钓鱼讯息
如今,骇客不再需要花费大量时间手写恶意程式码或设计社交工程邮件。透过生成式AI,
骇客就能大规模的产出语意完美,且高度客制化的邮件或讯息,大大提升了员工被钓鱼或
社交工程攻击成功的机率。
此外,透过深度伪造(Deepfake)的影像与声音,诈骗集团也能模拟高阶主管的声音、外
貌,发动“变脸诈骗”,直接锁定财务或供应链人员,造成难以追回的巨大财损。
威胁二:针对AI系统本身的攻击
当AI模型成为企业的核心资产(例如内部知识库LLM或智慧生产系统),骇客的目标也开
始转向模型本身。例如透过恶意输入,让AI模型做出非预期的行为,甚至窃取训练数据或
机密输出。再加上近年AI代理人的兴起,只要这些能自主执行任务的AI体系被渗透,潜在
的破坏力更是不容小觑。
简单粗暴但有效的防范招式:密码升级至15码
随着生成式AI与供应链攻击日益复杂,金庆柏认为,现在企业资安遇到最困难的挑战,其
实是“人与文化”。
“企业防护做得再好,可是只要有一个员工粗心大意,就可能把公司几十年辛苦的防范,
全部化为乌有。”金庆柏强调,再复杂的技术防御,其实都可以靠预算解决,但人性的疏
忽却可能让资安防线瞬间瓦解。因此,华硕认为,资安工作的核心在于文化转变,必须建
立起全公司“保密防骇,人人有责”的集体意识。
为了让资安防护深植于企业DNA,华硕采取了各种不同的策略, 其中最让人意想不到的,
就是强制推行15码的高强度密码。 金庆柏指出,多数企业会在IT系统端下功夫,却忽略
了员工的个人装置与习惯。然而,这小小的一个举动,却是一个“便宜”却又非常有效的
方法。
金庆柏强调,只要密码从4码升级到15码的安全强度, 就够确保骇客在现有技术下需要花
上百年才能成功破解,极大地提升了资料的安全性。 “就算你把密码贴在电脑底下,我
们不鼓励,但也会比单纯4码密码安全的多,”金庆柏笑着补充,“毕竟能进到公司、办
公室偷取机密的人,就已经大大减少了。”
另外,华硕的资安长也亲自扮演“资安传教士”的角色,透过持续性的教育、训练和年度
的资安周活动,不断向全体员工宣导和传递资安意识,确保这种“人人有责”的防骇观念
,能够从上到下,真正成为华硕企业文化的一部分。
华硕怎么应对AI带来的资安挑战?
要在AI时代安全地利用AI工具,除了公司内部资安文化的建立,一个由上而下且持续优化
的治理框架更是关键。
“没有任何企业能保证永远不发生资安事故,”金庆柏强调,企业能够不支付赎金的“底
气”,就在于是否具备强大的数位韧性,而这样的韧性,则必须具备完善的灾害备援机制
、严谨的资料分级与保密,以及能够快速恢复营运的系统能力。
策略一:灾害备援机制
备份的最终目的,是确保在数据遭到加密或破坏后,企业能随时“倒带”回去,以最快的
速度以备份的基础重建系统并恢复资料。
因此在资料保护上,金庆柏建议实施“3-2-1”的备援机制,也就是企业的关键数据“至
少要有三份副本,储存在两种不同的储存媒介上,其中一份必须存放在异地或云端”,这
样就能应对各种极端灾害。
策略二:严谨的资料分级与保密
面对AI时代的来临,华硕在2024年成立了由董事长亲自指示跨部门的GenAI委员会,负责
统筹全公司的AI技能培训,更设立了标准化的资安审查流程,要求任何部门导入第三方AI
服务都必须通过评估,从源头保障企业机密。
最关键的是,这项政策采用PDCA(计画-执行-检查-行动)循环,并严格执行“红线禁区
”,明确禁止将“机密”及以上等级的数据用于未经核可的公开AI模型,确保企业核心数
据安全。
策略三:能够快速恢复营运的系统能力
在攻击发生前,企业内部也应设有应对资安事故的标准作业流程。这套SOP必须明确纪载
事故发生后,所有部门的职责和具体应对行动。这样在被攻击后,团队也能不手忙脚乱地
一步一步照流程处理。同时,华硕也加入了FIRST等全球资安社群,确保内部团队能随时
与国际领先者同步,不断提升资安应变的成熟度。
“资安防御的最终目的,是让企业具备在风险中持续营运的能力。”金庆柏最后强调,只
有将资安从技术任务提升为全员文化,并将其视为设计与营运的核心价值,企业才能真正
的实现永续经营。
心得/评论:
看重讯时偶尔会看到有公司被骇客攻击甚至勒索
付钱能解决都还算小事,如果技术机密外流可是重伤
透过增加密码长度让骇客要攻击华硕时还要提高蒜粒
看起来华硕在资安方面已经准备好了,显著的提高公司的投资价值@v@