企業上雲往往漏洞百出，專家點出資安界20年來未解的問題|數位時代 BusinessNext

企業上雲往往漏洞百出，專家點出資安界20年來未解的問題

近年來雲端興起，企業上雲蔚為風潮，但人為疏失卻成了雲端資安的最主要威脅。這不禁讓人們思考：大眾的資安意識，能有追上科技發展的一天嗎？

「不過就四、五年前，我們去拜訪一些企業、政府單位的時候，他們都堅決地說絕對不會上雲。現在整個趨勢都不一樣，」在IBM擔任威脅情資產品X-force的全球主管保羅・格里斯沃德（Paul Griswold）說。

他的觀察反映全球企業在近五年來快速遷移到雲端的現象。根據國際數據統計公司Statista的報告，2019年全世界花在雲端運算上的總額約368.6億美元，比起2014年的121.6億美元翻了超過三倍。

對追求數位轉型的企業來說，上雲的好處是顯而易見的。雲端運算省去實體資料中心的建置，讓企業能更容易地規模化，提升營運效率。同時，雲端也加速了應用的開發流程，再加上越來越多雲端平台供應商如AWS、Azure及Google Cloud Platform（GCP）快速發展，讓企業上雲的門檻也逐漸降低。

然而，就如同價值觀的移轉總是落後於制度的改變，與雲端相關的資安風險，最主要的影響因素並非複雜的防禦科技，而是企業本身的心態問題。

企業上雲第一步：拋棄以資料中心為主的做事思維

根據2018年IBM X-force資安威脅報告，在所有遭到公開洩露的資料中，有43%是人為疏失導致。這個數字在前一年時不過才17%。「人們用過去以資料中心為思維基礎的做事方式把資料送上雲端，這是一切問題的起始，」格里斯沃德指出。

過去在自有資料中心的開發環境下，資安常常是程式碼都寫完後，最後才加上去的一層防護罩。然而雲端卻不容許你這麼做，雲端的規模化與高效率特性大大縮短程式從開發到推出、營運的流程。本來大約九到十個月的程式開發期，現在縮短到兩週、甚至是一天。

格里斯沃德認為，在雲端驅動的科技時代，資安觀念應是程式碼的架構基礎，而不是一個附加上去的功能。「工程師不應該出現『我現在要來處理資安防護了』的想法，而是打從一開始就把資安意識放在心上，」他說。

對於嘗試上雲的中小企業，格里斯沃德建議，要多留時間做上雲的規劃。他看過太多公司因為急著把應用傳上雲端導致程式碼內資安漏洞百出。「我知道作為開發者，將程式遷到雲上是很興奮的事。但你必須確保你們是用正確、安全的方式上雲，」他強調。

在格里斯沃德眼裡，雲端運算催生的是一整個科技產業的典範轉移。在這樣一個筋骨汰換的過程裡，我們正處於轉換必經的陣痛期裡。

20年前的攻擊手法，至今仍舊奏效

可是這樣的陣痛期會多長呢？格里斯沃德給出一個不怎麼樂觀的例子。在IBM的年度威脅情資報告X-force裡，像是網路釣魚、企業老舊設備不安裝新補丁等問題層出不窮。即便網路發達，基本資安意識就能阻絕的攻擊，卻始終能得逞。

當然，還是有一些新的攻擊方式及趨勢。舉例來說，IBM發現2018年利用電腦CPU及GPU進行挖礦的攻擊行為比起前一年上升450%。除了傳統金融業以外，由於大數據興起，掌握大量旅客個資的旅遊業遭網攻的比例也大幅增加。

不過20年前惡意程式入侵的手段，至今仍存在。因此國際權威研究機構Gartner提醒，2022年時會有95%的雲端資安威脅源自人為疏失。

然而，駭客是不等人的。

科技迭代發展，資安思維卻難以跟上

格里斯沃德表示，資安界目前面臨的挑戰有二。第一、由於駭客圈的情資分享很順暢，許多網攻工具甚至以開源的方式公開在網路上，使得駭客越來越難應付。同時，基於面子問題，許多大公司並不互相分享情資，很多中小企業的資安人員是由IT管理人員兼任，在遇到勒索軟體攻擊的狀況時，時常會選擇付錢了事。「 直接付錢可能比請一個資安人員來得划算， 」格里斯沃德說。

第二，也因為新的攻擊一直出現，舊的攻擊也始終奏效，不同的資安防護技術及工具不斷疊加，但這些東西缺乏統整。許多企業手裡都有超過80種不同的資安工具，同時也導致資安人才越發稀缺。因為人們期待資安人員要懂得很多不同技術，這使得進入資安界的門檻越來越高。

「以我的經驗來說，常常開出三個資安相關職缺，面試到最後，就只有一個人能真正符合要求，其他位子則繼續空著。」他說。

至於格里斯沃德沒說出口的第三個挑戰，或許是最難改變的現實：在資安界裡，攻擊是一種技術，防禦卻不只如此——它更是一種思維。無論是一般網路、雲端或是未來由5G驅動的物聯網時代，價值觀都跟不上科技的改變。隨著科技迭代發展，人們恐怕得為了落後的價值觀付出更大的代價。

大眾缺乏資安思維的狀況難以在短時間扭轉，格里斯沃德也積極地思考一些解套的方法。例如，由IBM X-Force提供威脅情資的非營利資安專案Quad9，就可以透過伺服器的設定，讓一般民眾在不知情的情況下受到連線防護。

訪問到尾聲，好奇地問了格里斯沃德在資安界做了二十多年，最難忘的一次經驗是什麼？他說，2017年WannaCry勒索軟體攻擊爆發時，他聽朋友說，火車站內顯示時程表的螢幕被切換成勒索軟體的畫面，大大地呈現在所有旅客面前。那不只暗示了有多少老舊的機台沒有即時更新補丁的習慣，同時也是一種恐懼的公然散播。

確實，駭客是不等人的。不過，資安意識雖然難以推動，但在大眾跟上以前，如格里斯沃德一樣的資安大師，還是願意走在前線，去打一般人難以想像的仗。問他為何喜歡這個產業？格里斯沃德笑說：「敵人永遠在改變啊。這種充滿動態的感覺，任何其他產業都找不到。」

投資人為何不敢投？內容團隊具備三個關鍵條件了嗎

王敏惠分析道，台灣內容產業長期存在結構性問題。過去不少團隊以單一作品作為募資單位，這種「單片集資」雖具操作彈性，卻難以累積長期企業資本。一旦作品未如預期，團隊往往得重新尋找資源，甚至從頭再來。王敏惠形容，內容產業更像一場考驗「安打率」的競賽，每次作品推出都在重新接受市場檢驗。

若想站穩腳步，就必須學會用投資人的語言溝通。她指出，好的投資標的必須同時具備三個要素：獲利、穩定與成長，「且這三者是必要條件、缺一不可」。為了讓團隊更理解資本市場的邏輯，王敏惠精準剖析這三個指標的商業意義。首先是「獲利」，作品不僅要有人買，賣價還要能覆蓋製作成本；其次是「穩定」，如果拍五部片只有一部賺錢，這對投資人來說就不夠穩定；最後是「成長」，公司今年賣出一個版權，明年能否賣出兩個、五個？這考驗著商業模式能否被持續複製與擴大。

她直言，在高度競爭的市場裡，錢是規格放大的工具，唯有獲取長期資金，團隊才有底氣從單點創意走向規模化競爭。「你可以花錢請人寫合約、處理會計帳，但沒有人能幫你把賺錢這件事委外。」團隊必須清楚說明商業模式的可執行性。未來的競爭不只比創意，更比誰能把創意轉化為一門長久的生意。

第七期文化創業加速器升級：強化營運體質，全面加速募資實戰力

面對不同成熟度的團隊，第七期文化創業加速器將培力架構優化為「兩階段能力強化」，逐步銜接從經營基礎到募資實戰的關鍵能力。整體設計導入高度結構化內容，規劃 70 小時以上的經營主題課程與 7 次專屬顧問諮詢。第一階段著重於穩健團隊的商業模式與財務基礎，協助釐清營運邏輯、收益結構與成長路徑，強化可被市場驗證的經營體質；第二階段則聚焦於募資能力提升，透過實戰導向培訓與策略輔導，強化團隊在投資溝通、提案策略與資本對接上的成熟度。

此計畫並透過期中評選機制，遴選具備高度成長潛力之團隊，進入第二階段的深度陪跑，課程將完全轉向「募資對接」導向。入選團隊須具備成熟的財務預測，並在專業業師引導下，制定精準的資本策略。這不只是知識傳遞，更是高強度的提案演練；透過針對投資人評估標準的深度打磨，強化 Pitch Deck（募資提案）的說服力。王敏惠表示，文策院整合院內外與產業社群的多方資源，協助團隊完成符合資本市場期待的募資準備。最終，團隊將站上 DEMO DAY 舞台，在實戰中展現優化後的商業模型，精準對接投資需求，爭取擴大事業規格的關鍵資金。

讓創意變成生意，三大降風險策略

若想達到投資人看重的「穩定」與「成長」，前提往往不是先追求規模，而是先建立可管理的風險機制。王敏惠在第七期文化創業加速器中，也特別提醒團隊必須跳脫單一作品思維，從經營角度建立長期成長所需的底盤。

首先，是建立「投資組合」觀念。她認為，內容公司不應將資源全數押注在單一作品，而應透過多元業務與作品配置分散風險。當營收來源更分散，公司便不會因單一專案失利而大幅波動，也更有機會維持穩定現金流。

第二，是導入「工作流 SOP」。王敏惠強調這並非限制創意，而是讓創意在有效率的流程中被實現。從前期規畫、製作管理到資源配置，若能建立清楚流程，便可降低無謂耗損與成本失控，讓有限資金投入更有價值的環節。對企業而言，效率提升代表獲利空間增加，也代表面對市場變化時更具韌性。

第三，推動「買方（Buyer）先行」思維。王敏惠主張募資前應先讓市場說話，若有客戶買單、試用或表達明確預購需求，就是商模最具公信力的背書。她指出，若能說服市場的作品，也將是生意保證，帶著市場證據尋求注資，不僅能驗證獲利能力，更能提升投資人信心。

在王敏惠看來，台灣文化內容產業下一步，不能再停留在單打獨鬥。透過文化創業加速器串連企業資金、產業通路與外部資源，讓成熟業者帶動新創團隊，才能形成更完整的產業協作模式。她也總結，內容團隊若想在全球競爭中站穩腳步，終究得從「作品導向」走向「經營導向」。唯有當創意能被制度承接、被市場驗證、被資本放大，台灣的文化內容產業才有機會從在地市場走向更大的國際舞台。

突破規模瓶頸，實現募資願景

加入文化創業加速器
❱❱ 計畫申請平台：https://lihi1.me/RZSGw/bnext
❱❱ 申請時間：即日起至 5/22 (五) 17:00
❱❱ 詳細計劃內容：https://lihi1.me/8DmRB/bnext