虛擬威脅無所不在，微軟資訊安全技術長教三招護資安|數位時代 BusinessNext

虛擬威脅無所不在，微軟資訊安全技術長教三招護資安

微軟技術長 Diana Kelley 提醒現代企業在數位轉型的過程中，不可忽略資訊安全的重要性。企業需要能以機器學習方法找出攻擊手段特徵，並自動化整合工具，來面對多數複雜、快速變種的虛擬威脅。

微軟資訊安全技術長 Diana Kelley 提醒，現代快速變遷的數位環境已經和過去很不一樣，沒有百分之百保證安全這回事，企業必須學習與虛擬威脅共處，與更多合作夥伴用多元的整合手段，學習完成資訊安全工作。

當生活中出現越來越多的智慧終端裝置，物聯網安全也是接下來智慧生活不可避開的問題。Diana Kelley 建議服務提供商在考慮解決方案時，可特別注意 選用硬體是否能具晶片等級的安全防護、安全的作業系統與雲服務等三要素來強化智慧生活的安全性。

數位化帶來機會跟隱憂

隨著數位環境更加普及，智慧裝置已經取代許多科技或人力，在第一線服務著我們的日常，例如手機與 App 就可以做到無卡提款，也可以作為許多商業大樓的身分認證裝置。

對許多不同業種的企業來說，如何將現有服務過渡到數位化環境更是迫在眉睫，數位轉型一詞更是許多未來經理人的共通焦慮。

雲服務與智慧化終端裝置，加上包含智慧交通工具等，更多無所不在的物聯網應用的全球數位化環境，為許多企業同時帶來了機會與威脅。全球化對很多企業的成長路徑來說，意味著更多市場、客戶與潛在商業機會。能夠讓人隨時在線，也意味著生產力進一步提升。

可以快速規模化的雲端服務與儲存空間，不但允許我們可以更有效率、低成本的完成技術工作，也意味著我們可以更快速、全面地分析巨量資料。同時也有機會透過快速開發建立新功能，並能夠回應威脅（無論是商業策略上的、或是虛擬安全威脅都是）。

數位化詐騙變形無所不在

這樣的數位環境也不是沒有隱憂，全球化也讓我們觀察到更多數位排他問題，例如數位落差可能導致沒有足夠數位資源的人群無法近用某些先進服務，人們也更容易在線上串連產生新的認同問題。

更多裝置、更多服務、甚至現在連供應鏈也永遠在線，意味著他們有更高的機會面對安全威脅。從終端到雲端，人們在線上識別安全上，需有新的控制手段。

根據微軟所出版的第23期智慧安全報告，如今駭客在線上的主要活動在於攻擊個人識別（例如你的帳號、密碼、身份證字號、銀行帳號、金鑰等），取得你的身份識別後就有更多可能可以攻擊或近用其他線上服務，得到權限接觸資料與服務，並掠奪所需資源。前三名攻擊手段主要是殭屍網路（Botnet）、詐騙釣魚（Easy Mark Methods）與軟體綁架工具（Ransomeware）。

根據殭屍網絡研究，近期由美國聯邦調查局與歐洲刑警組織在內的多國聯合網路犯罪行動小組與微軟、ESET、ICANN 在內的產業夥伴，共同繳獲的殭屍網路： Gamarue 發現，其下擁有 464 支獨立的殭屍網路、透過 1214 個控制伺服器運作，並有 80 餘種不同的木馬程式滲透各類型的裝置或服務。

網路釣魚或詐騙更是常被發現的攻擊手段，透過精心設計的電子郵件、假網站服務或各種散佈技術、手段，惡意目的組織透過連結騙取你的個人資料，僅在2017年 12 月到 2018 年 1 月的兩個月內，微軟透過旗下服務偵測出接近 2 億封釣魚郵件。WannaCry 這個綁架軟體，在前陣子更是讓許多企業或個人難以招架，工作成果或服務隨著快速感染無法運作的電腦或伺服器一起付之一炬。

沒有百分百的供應鏈安全，謹記系統更新還是上策

以大型製造商與供應鏈為例，現在許多廠商的生產環境中幾乎都設計運營著混合雲架構，同時使用實體與虛擬隔離的公有雲與私有雲服務。許多製造環境可能還是從第三方供應商所採購的機器設備與控制系統，這些控制系統一定帶有底層的作業系統與其上特定生產用的應用程式，由許多不同的系統透過內部或外部網路串連，共同組成生產線的全體，生產高度自動化的同時，供應鏈安全變成重要課題。

所有製造商都希望能最大化產能利用率，在生產線設備歲修、固定維護時間，也很少注意要同步排定資訊系統的更新。

Diana Kelley 進一步說明，現在主流的資訊安全意識，是越靠近現代化的作業系統、應用程式或工具，越有機會達成資訊安全的防護工作。就算是已經過時的作業系統或應用程式，多數負責任的軟體服務商、資訊安全公司也會針對新興的特定威脅推出相應的更新或整理程式。就算產能利用率高，還是建議製造商的技術部門，需要先透過沙盒驗證更新或整理程式可維護這些作業系統，同時保證生產所需的應用程式能夠繼續正常運作，再盡快排入固定維護時程進行完整更新作業來保障供應鏈安全。

自動化與機器學習工具，是處理虛擬威脅的現代顯學

Diana Kelley 也在 2018 微軟年度資安大會中，引用現任奇異數位集團（GE Digital）的軟體工程副總裁 Dave McCrory 在 2010 年所提出數位化企業所需面對的「資料引力法則」（law of data gravity）進一步分享，資料作為真正企業營運的核心，雲端化成為必然趨勢，選擇能夠提供快速處理資料能力的雲服務商，服務商能結合自身經驗協助面對虛擬威脅、在客戶應用服務過程中所累積的資安經驗提供安全實踐就成為現代企業面對數位轉型的重要考量。

無論是各資料安全商的報告或各大資訊安全研討會，都可見威脅現代網路安全的攻擊事件與手段在環境快速數位化、聯網的近年成指數化成長。

如今，雖然持續有新種的網路攻擊手段，但無論是殭屍網路、釣魚詐騙或綁架軟體的各種變種都有特定的手法或資料特徵。持續提供服務的數位化企業，比過去更需要選用有自動化快速處理能力的解決方案或服務，甚至針對虛擬攻擊，以機器學習方法等對流量、訊號資料進行處理，在短時間提出應對方案。

Diana Kelley 指出，就算是已經成為企業雲端服務巨頭的微軟，面對各種綁架軟體的變種，也透過建立沙盒，在其中以機器學習方法分析找到可能的威脅手段，最快可以在 14 分鐘內自動整合現有工具，通過沙盒中的演練並快速佈署至現有服務中。

以TWQR為核心，打造多方受益的數位金流生態圈

過去，面對不同政府機關發送的消費券或振興券，民眾常需要在不同平台登記、領取與使用，不僅流程繁瑣，商家核銷程序也相對複雜。為了解決這類問題，政府積極建構「數位公共建設金流平臺」，整合部會、地方政府與銀行，讓政策補助與振興措施更智慧，從三個面向共創生態系多贏：

提供民眾更便利的「全時服務」：民眾領取跟使用補助券不再受限於時間與地點，真正做到「想領就領、想花就花」。

玉山銀行信用卡暨支付金融處處長張正志進一步解釋，傳統的紙本券除了領取時間與地點受限，還有排隊等候、保管不易與使用不便等問題，即使金融機構推出數位券，民眾也面臨需要下載不同 App 才能使用的狀況。「整合數位公共建設金流平台後，民眾不需切換平台，即可在同一個 App 內完成電子支付、數位券與點數的整合付款。」

協助商家簡化核銷流程並增加客源。舉例來說，玉山銀行特約商家無需更改既有系統，也不用支付額外費用或重新簽約，可以原有收單系統完成收款與核銷，大幅降低導入門檻；此外，玉山銀行亦積極打造好玩、有趣、高互動性的數位券行銷活動，商戶可以透過參與這類活動提升曝光、接觸新客群，進而創造新的營收機會。

玉山分享不僅2月的「一馬當先好運金」活動帶動 10 倍流量，3月推出的「2026新年數位任務挑戰賽」等活動也吸引大量客戶參與，創造民眾、商家與玉山的共贏。對金融機構而言，則是擴大支付場景與深化客戶關係的關鍵平台。透過 TWQR 約 60 萬家商家通路，銀行等金融機構不僅能提升客戶使用頻率，也能逐步建立點數與支付整合的生態圈。

玉山銀行的作法是將數位公共建設金流平台與玉山 Wallet App 整合在一起，開通電子支付並綁定支付工具，藉此引導客戶多加使用玉山 Wallet App，以及透過 TWQR 通路優勢以及交通（乘車碼）跟生活繳費場景應用等方式提升客戶往來頻次與增加跨售機會。「根據我們的統計數據，玉山電子支付帶動玉山銀行開戶的數量，是其他錢包的 6 到 10 倍。」

TWQR數位券再進化：從優惠工具、場景金融到實現精準行銷

對玉山銀行來說，整合數位公共建設金流平台不僅是優化民眾領取與使用消費券與振興券體驗的重要工具，更是實現多元場景金融、貫徹精準行銷的重要平台。舉例來說，相較於沒有精準分眾的活動，透過數據分析遴選出的玉山特選用戶領券繳費折抵的轉換率超過 8 成、重購率逾 7 成，成效十分亮眼。

張正志面帶微笑的說：「未來，我們將以系統平台為核心，由跨部門籌組的科技聯隊以數據分析跟 AI 持續優化行銷成效，打造差異化服務體驗。」例如，計畫推出行銷智能化服務：不用人工事先挑選名單，當客戶行為樣態觸發系統預判條件，AI Agent 便會智能發券，提供專屬禮遇。

總體來說，TWQR數位券讓支付更簡單、更智慧，也讓政策補助落地更快速，也為銀行與民間支付合作提供舞台。而玉山銀行除透過舉辦與TWQR相關活動引流、吸引客戶申請數位券服務，更透過平台將獎勵回饋發送到玉山 Wallet App，協助客戶開啟使用電子支付服務，使用後將再度獲得回饋進而養成使用習慣，爾後，以有趣且高互動的客戶經營方式，引導客戶從使用一個銀行服務擴展到使用多個服務，發揮獲客、活客、留客與悅客的正向循環，更好實現跨生態多贏。