企業上雲往往漏洞百出，專家點出資安界20年來未解的問題|數位時代 BusinessNext

企業上雲往往漏洞百出，專家點出資安界20年來未解的問題

近年來雲端興起，企業上雲蔚為風潮，但人為疏失卻成了雲端資安的最主要威脅。這不禁讓人們思考：大眾的資安意識，能有追上科技發展的一天嗎？

「不過就四、五年前，我們去拜訪一些企業、政府單位的時候，他們都堅決地說絕對不會上雲。現在整個趨勢都不一樣，」在IBM擔任威脅情資產品X-force的全球主管保羅・格里斯沃德（Paul Griswold）說。

他的觀察反映全球企業在近五年來快速遷移到雲端的現象。根據國際數據統計公司Statista的報告，2019年全世界花在雲端運算上的總額約368.6億美元，比起2014年的121.6億美元翻了超過三倍。

對追求數位轉型的企業來說，上雲的好處是顯而易見的。雲端運算省去實體資料中心的建置，讓企業能更容易地規模化，提升營運效率。同時，雲端也加速了應用的開發流程，再加上越來越多雲端平台供應商如AWS、Azure及Google Cloud Platform（GCP）快速發展，讓企業上雲的門檻也逐漸降低。

然而，就如同價值觀的移轉總是落後於制度的改變，與雲端相關的資安風險，最主要的影響因素並非複雜的防禦科技，而是企業本身的心態問題。

企業上雲第一步：拋棄以資料中心為主的做事思維

根據2018年IBM X-force資安威脅報告，在所有遭到公開洩露的資料中，有43%是人為疏失導致。這個數字在前一年時不過才17%。「人們用過去以資料中心為思維基礎的做事方式把資料送上雲端，這是一切問題的起始，」格里斯沃德指出。

過去在自有資料中心的開發環境下，資安常常是程式碼都寫完後，最後才加上去的一層防護罩。然而雲端卻不容許你這麼做，雲端的規模化與高效率特性大大縮短程式從開發到推出、營運的流程。本來大約九到十個月的程式開發期，現在縮短到兩週、甚至是一天。

格里斯沃德認為，在雲端驅動的科技時代，資安觀念應是程式碼的架構基礎，而不是一個附加上去的功能。「工程師不應該出現『我現在要來處理資安防護了』的想法，而是打從一開始就把資安意識放在心上，」他說。

對於嘗試上雲的中小企業，格里斯沃德建議，要多留時間做上雲的規劃。他看過太多公司因為急著把應用傳上雲端導致程式碼內資安漏洞百出。「我知道作為開發者，將程式遷到雲上是很興奮的事。但你必須確保你們是用正確、安全的方式上雲，」他強調。

在格里斯沃德眼裡，雲端運算催生的是一整個科技產業的典範轉移。在這樣一個筋骨汰換的過程裡，我們正處於轉換必經的陣痛期裡。

20年前的攻擊手法，至今仍舊奏效

可是這樣的陣痛期會多長呢？格里斯沃德給出一個不怎麼樂觀的例子。在IBM的年度威脅情資報告X-force裡，像是網路釣魚、企業老舊設備不安裝新補丁等問題層出不窮。即便網路發達，基本資安意識就能阻絕的攻擊，卻始終能得逞。

當然，還是有一些新的攻擊方式及趨勢。舉例來說，IBM發現2018年利用電腦CPU及GPU進行挖礦的攻擊行為比起前一年上升450%。除了傳統金融業以外，由於大數據興起，掌握大量旅客個資的旅遊業遭網攻的比例也大幅增加。

不過20年前惡意程式入侵的手段，至今仍存在。因此國際權威研究機構Gartner提醒，2022年時會有95%的雲端資安威脅源自人為疏失。

然而，駭客是不等人的。

科技迭代發展，資安思維卻難以跟上

格里斯沃德表示，資安界目前面臨的挑戰有二。第一、由於駭客圈的情資分享很順暢，許多網攻工具甚至以開源的方式公開在網路上，使得駭客越來越難應付。同時，基於面子問題，許多大公司並不互相分享情資，很多中小企業的資安人員是由IT管理人員兼任，在遇到勒索軟體攻擊的狀況時，時常會選擇付錢了事。「 直接付錢可能比請一個資安人員來得划算， 」格里斯沃德說。

第二，也因為新的攻擊一直出現，舊的攻擊也始終奏效，不同的資安防護技術及工具不斷疊加，但這些東西缺乏統整。許多企業手裡都有超過80種不同的資安工具，同時也導致資安人才越發稀缺。因為人們期待資安人員要懂得很多不同技術，這使得進入資安界的門檻越來越高。

「以我的經驗來說，常常開出三個資安相關職缺，面試到最後，就只有一個人能真正符合要求，其他位子則繼續空著。」他說。

至於格里斯沃德沒說出口的第三個挑戰，或許是最難改變的現實：在資安界裡，攻擊是一種技術，防禦卻不只如此——它更是一種思維。無論是一般網路、雲端或是未來由5G驅動的物聯網時代，價值觀都跟不上科技的改變。隨著科技迭代發展，人們恐怕得為了落後的價值觀付出更大的代價。

大眾缺乏資安思維的狀況難以在短時間扭轉，格里斯沃德也積極地思考一些解套的方法。例如，由IBM X-Force提供威脅情資的非營利資安專案Quad9，就可以透過伺服器的設定，讓一般民眾在不知情的情況下受到連線防護。

訪問到尾聲，好奇地問了格里斯沃德在資安界做了二十多年，最難忘的一次經驗是什麼？他說，2017年WannaCry勒索軟體攻擊爆發時，他聽朋友說，火車站內顯示時程表的螢幕被切換成勒索軟體的畫面，大大地呈現在所有旅客面前。那不只暗示了有多少老舊的機台沒有即時更新補丁的習慣，同時也是一種恐懼的公然散播。

確實，駭客是不等人的。不過，資安意識雖然難以推動，但在大眾跟上以前，如格里斯沃德一樣的資安大師，還是願意走在前線，去打一般人難以想像的仗。問他為何喜歡這個產業？格里斯沃德笑說：「敵人永遠在改變啊。這種充滿動態的感覺，任何其他產業都找不到。」

當GPU不再是唯一主角，記憶體為何躍上AI舞台中央？

過去，半導體的焦點多圍繞在晶片，例如CPU、GPU跟AI加速器等，市場普遍認為，晶片運算能力是左右科技產業發展速度的關鍵，但在進入生成式AI世代後，產業逐漸發現另一個事實：真正限制AI效能的瓶頸不是運算，而是資料能否快速被存取與傳輸。

從大型語言模型訓練，到AI推論、代理式工作流程（Agentic Workflow），甚至未來的機器人與自駕車，龐大的資料流量正持續推升對高頻寬、低延遲、高容量記憶體的需求，讓記憶體產業從過去相對標準化、以價格競爭為主的市場，逐漸轉變為AI基礎建設的重要核心。

「仔細觀察AI應用服務會發現，大多數工作負載都被頻寬限制。」美光科技全球業務執行副總裁Mike Cordano認為，記憶體是突破（頻寬）瓶頸的關鍵，也讓AI競賽從晶片算力升級到記憶體與儲存架構的系統級競爭。這樣的產業洞察，也正是Mike在歷經二十餘年的儲存產業資歷，加上四年半的創投生涯後，選擇加入美光的核心原因之一：在AI重塑產業結構的浪潮下，記憶體將成為這波成長最直接的動能所在。

從零組件供應商到策略夥伴，記憶體共創時代來臨

AI的崛起，正在改變記憶體廠商與客戶的關係。

過去，記憶體產品多是標準化元件，客戶關注的是價格、供貨與規格；合作模式也偏向短期採購與交易導向。然而隨著AI系統規模愈來愈大，從資料中心、雲端平台到終端裝置，記憶體已經成為決定系統效能的重要關鍵，也因如此，越來越多企業將記憶體視為「策略性資產」，而非單純零組件。

Mike表示：「現在，我們跟客戶合作的時間跨度改變了，在產品正式上市前三到四年便開始合作，從系統架構階段就共同規劃未來需求。」例如，美光科技與NVIDIA共同研發的資料中心所使用的低功耗記憶體，便是雙方提前多年展開深度合作（co-design）的成果。

值得特別注意的是，美光科技除從技術層面與晶片製造商等夥伴共創產品，也在需求層面與客戶進行密切合作，例如，將過去較無約束力、期限僅一年的長期協議（LTA）轉變成為期五年、條款更具約束力的策略性客戶協議（SCA），藉此掌握客戶的未來需求，進而在技術層面做更深度的合作。Mike坦言，深度協同設計是高成本的投入，美光的做法是先廣泛進行市場感知，理解不同場域的需求方向，再與生態系統中的夥伴們展開客製化合作。

從裝置導向轉為Token導向，AI浪潮重寫記憶體成長模式

除了合作模式改變，更大的典範轉移是需求的改變。

Mike解釋，過去記憶體需求跟PC、手機跟伺服器出貨量息息相關，但在AI新世代，推動記憶體需求成長的核心不再是設備數量，而是AI模型所產生的運算與資料消耗量。「AI產業逐漸走向以『Consumption』或『Token』為主的新經濟模式，每一次的模型運算都需要消耗大量的記憶體跟儲存資源，這意味著，即使設備銷量成長趨緩，記憶體需求仍可能持續上升。」

更重要的是，AI應用正從資料中心外擴至手機、PC、自駕車與機器人等場域，儘管不同場域對記憶體的需求不盡相同，但是，Mike認為：所有AI裝置都存在三項共同需求：更快的速度、更大的容量，以及更高的能源效率。

正如Mike在受訪時提到的：「我們最大的挑戰，是如何與客戶和整個生態系保持高度一致，一方面創造供給與產能，另一方面持續推動技術創新。」可以預期，在接下來的五年，記憶體產業面臨的挑戰不僅僅是擴展產能，而是如何與客戶共同規劃需求、同步投入技術創新，而這也是美光科技積極經營AI生態體系的原因。

總的來說，AI帶來的改變，不只是算力提升，而是重新定義整個運算架構：過去，記憶體被視為支援運算的基礎元件；現在，則是決定AI效能、能源效率與創新速度的關鍵資源；當產業競爭從晶片性能延伸到資料流動效率，從裝置數量轉向Token消耗量，記憶體的重要性也將隨之水漲船高，對美光科技來說，這將是其從供應商走向AI生態系核心夥伴的關鍵角色轉變。