企業上雲往往漏洞百出，專家點出資安界20年來未解的問題|數位時代 BusinessNext

企業上雲往往漏洞百出，專家點出資安界20年來未解的問題

近年來雲端興起，企業上雲蔚為風潮，但人為疏失卻成了雲端資安的最主要威脅。這不禁讓人們思考：大眾的資安意識，能有追上科技發展的一天嗎？

「不過就四、五年前，我們去拜訪一些企業、政府單位的時候，他們都堅決地說絕對不會上雲。現在整個趨勢都不一樣，」在IBM擔任威脅情資產品X-force的全球主管保羅・格里斯沃德（Paul Griswold）說。

他的觀察反映全球企業在近五年來快速遷移到雲端的現象。根據國際數據統計公司Statista的報告，2019年全世界花在雲端運算上的總額約368.6億美元，比起2014年的121.6億美元翻了超過三倍。

對追求數位轉型的企業來說，上雲的好處是顯而易見的。雲端運算省去實體資料中心的建置，讓企業能更容易地規模化，提升營運效率。同時，雲端也加速了應用的開發流程，再加上越來越多雲端平台供應商如AWS、Azure及Google Cloud Platform（GCP）快速發展，讓企業上雲的門檻也逐漸降低。

然而，就如同價值觀的移轉總是落後於制度的改變，與雲端相關的資安風險，最主要的影響因素並非複雜的防禦科技，而是企業本身的心態問題。

企業上雲第一步：拋棄以資料中心為主的做事思維

根據2018年IBM X-force資安威脅報告，在所有遭到公開洩露的資料中，有43%是人為疏失導致。這個數字在前一年時不過才17%。「人們用過去以資料中心為思維基礎的做事方式把資料送上雲端，這是一切問題的起始，」格里斯沃德指出。

過去在自有資料中心的開發環境下，資安常常是程式碼都寫完後，最後才加上去的一層防護罩。然而雲端卻不容許你這麼做，雲端的規模化與高效率特性大大縮短程式從開發到推出、營運的流程。本來大約九到十個月的程式開發期，現在縮短到兩週、甚至是一天。

格里斯沃德認為，在雲端驅動的科技時代，資安觀念應是程式碼的架構基礎，而不是一個附加上去的功能。「工程師不應該出現『我現在要來處理資安防護了』的想法，而是打從一開始就把資安意識放在心上，」他說。

對於嘗試上雲的中小企業，格里斯沃德建議，要多留時間做上雲的規劃。他看過太多公司因為急著把應用傳上雲端導致程式碼內資安漏洞百出。「我知道作為開發者，將程式遷到雲上是很興奮的事。但你必須確保你們是用正確、安全的方式上雲，」他強調。

在格里斯沃德眼裡，雲端運算催生的是一整個科技產業的典範轉移。在這樣一個筋骨汰換的過程裡，我們正處於轉換必經的陣痛期裡。

20年前的攻擊手法，至今仍舊奏效

可是這樣的陣痛期會多長呢？格里斯沃德給出一個不怎麼樂觀的例子。在IBM的年度威脅情資報告X-force裡，像是網路釣魚、企業老舊設備不安裝新補丁等問題層出不窮。即便網路發達，基本資安意識就能阻絕的攻擊，卻始終能得逞。

當然，還是有一些新的攻擊方式及趨勢。舉例來說，IBM發現2018年利用電腦CPU及GPU進行挖礦的攻擊行為比起前一年上升450%。除了傳統金融業以外，由於大數據興起，掌握大量旅客個資的旅遊業遭網攻的比例也大幅增加。

不過20年前惡意程式入侵的手段，至今仍存在。因此國際權威研究機構Gartner提醒，2022年時會有95%的雲端資安威脅源自人為疏失。

然而，駭客是不等人的。

科技迭代發展，資安思維卻難以跟上

格里斯沃德表示，資安界目前面臨的挑戰有二。第一、由於駭客圈的情資分享很順暢，許多網攻工具甚至以開源的方式公開在網路上，使得駭客越來越難應付。同時，基於面子問題，許多大公司並不互相分享情資，很多中小企業的資安人員是由IT管理人員兼任，在遇到勒索軟體攻擊的狀況時，時常會選擇付錢了事。「 直接付錢可能比請一個資安人員來得划算， 」格里斯沃德說。

第二，也因為新的攻擊一直出現，舊的攻擊也始終奏效，不同的資安防護技術及工具不斷疊加，但這些東西缺乏統整。許多企業手裡都有超過80種不同的資安工具，同時也導致資安人才越發稀缺。因為人們期待資安人員要懂得很多不同技術，這使得進入資安界的門檻越來越高。

「以我的經驗來說，常常開出三個資安相關職缺，面試到最後，就只有一個人能真正符合要求，其他位子則繼續空著。」他說。

至於格里斯沃德沒說出口的第三個挑戰，或許是最難改變的現實：在資安界裡，攻擊是一種技術，防禦卻不只如此——它更是一種思維。無論是一般網路、雲端或是未來由5G驅動的物聯網時代，價值觀都跟不上科技的改變。隨著科技迭代發展，人們恐怕得為了落後的價值觀付出更大的代價。

大眾缺乏資安思維的狀況難以在短時間扭轉，格里斯沃德也積極地思考一些解套的方法。例如，由IBM X-Force提供威脅情資的非營利資安專案Quad9，就可以透過伺服器的設定，讓一般民眾在不知情的情況下受到連線防護。

訪問到尾聲，好奇地問了格里斯沃德在資安界做了二十多年，最難忘的一次經驗是什麼？他說，2017年WannaCry勒索軟體攻擊爆發時，他聽朋友說，火車站內顯示時程表的螢幕被切換成勒索軟體的畫面，大大地呈現在所有旅客面前。那不只暗示了有多少老舊的機台沒有即時更新補丁的習慣，同時也是一種恐懼的公然散播。

確實，駭客是不等人的。不過，資安意識雖然難以推動，但在大眾跟上以前，如格里斯沃德一樣的資安大師，還是願意走在前線，去打一般人難以想像的仗。問他為何喜歡這個產業？格里斯沃德笑說：「敵人永遠在改變啊。這種充滿動態的感覺，任何其他產業都找不到。」

為何「影音體驗」是網路品質的關鍵指標？

愈來愈多消費者入手旗艦機，追求的不只是硬體規格，還有流暢的 AI 應用與多工協作。然而，無論是視訊即時翻譯或雲端會議，這些高階功能都有一個共同前提：網路必須穩定。一旦網路品質不佳導致畫質下降或音畫不同步，旗艦級的 AI 功能將形同虛設。

這也意味著，檢驗網路價值的標準已經改變。如今，不能只看單點測速的瞬間峰值，更重要的是高負載情境下的耐力表現。因此，比起單點測速，影音體驗會是更完整的測試標準，直接挑戰了網路在室內深處、移動途中或人潮聚集時的網路實力；而唯有在長時間串流下依然不卡頓、不降畫質，才稱得上是高品質的連線。

換言之，隱身在硬體背後的電信商，才是發揮旗艦機性能的關鍵；唯有透過最佳網路品質，才能讓手中的旗艦機既是規格領先、也是體驗領先。

唯一影音體驗雙料冠軍，Opensignal 權威認證的有感體驗

雖然相較於測速數據，影音體驗更貼近日常使用，但也更難量化。對此，國際權威認證 Opensignal 的「影音體驗分數」，依循 ITU 國際標準，透過真實用戶裝置在行動網路上進行影音串流的實測數據，觀察不同電信網路在實際使用情境下的表現。

簡單來說，評測聚焦三項核心指標：影片載入時間、播放期間的卡頓率，以及畫質（解析度）是否能穩定維持。使用者從開始播放到持續觀看的整體品質，分數以 0–100 呈現，分數愈高，代表在三項指標的表現愈佳。相較於單點測速，這類評測更能呈現長時間、高使用量下的網路品質。

而在今年最新公布的 Opensignal 評測中，台灣大哥大獲得「影音體驗」獎項唯一雙料冠軍。其中，「整體影音體驗」為全台獨得第一名，「5G 影音體驗」則與遠傳並列第一。

之所以能在影音體驗拔得頭籌，關鍵在於台灣大哥大目前是全台唯一整合 3.5GHz 頻段 60MHz 與 40MHz、形成 100MHz 總頻寬的電信業者，亦是現階段全台最大 5G 黃金頻寬配置。頻寬愈寬，代表單位時間內可傳輸的資料量愈大；在大量使用者同時進行影音串流、視訊互動的狀態下，更能維持穩定傳輸、減少壅塞發生機率。

台灣大獲權威認證，NRCA技術撐起穩定基礎

除了頻寬帶來的流量優勢，台灣大哥大也採用「NRCA 高低頻整合技術」，也就是透過高低頻協作，讓 3.5GHz 負責高速傳輸、700MHz 補強覆蓋與室內連線，改善室內深處與移動情境的訊號落差，提升連線連續性。

同時，為了讓住家、通勤動線、商圈與觀光熱點等高使用場域維持穩定表現，台灣大哥大已在全台超過213個住宅、觀光及商圈熱點完成 100MHz 布建，提升人流密集區的網路覆蓋率。

值得注意的是，在今年的 Opensignal 評比中，台灣大哥大還拿下了「5G 語音體驗」與「網路可用率」兩項第 1 名，累計獲得 4 項獎項。這意味著不僅具備影音體驗優勢，在語音互動與連線率等關乎用戶日常應用的基礎指標，皆有亮眼成績。

尤其，隨著影音與即時互動成為新世代的工作常態，網路品質的重要性只會持續上升。無論是遠距協作所仰賴的視訊與畫面共享即時同步，內容創作對直播與即時上傳連續性的要求，或是 AI 視訊互動、即時翻譯與會議摘要等新應用，都高度依賴低延遲與穩定的資料傳輸。網路品質因此不再只是連線條件，更是支撐內容生產、協作效率與新應用落地的基礎能力，甚至直接牽動競爭力。

而台灣大哥大經 Opensignal 認證、於多項關鍵指標領先業界，不僅將成為 AI 時代的重要後盾，也讓使用者能更充分發揮高階手機的效能，把「快、穩、滑順」落實在每天的工作與生活中。