近年來，惡意郵件、釣魚郵件威脅影響越來越大，因為有更多網路攻擊的前奏，在一開始是利用釣魚郵件，來突破企業的防禦，進入企業內部網路，尤其像是近年猖獗的勒索病毒、商業電子郵件詐騙，以及APT攻擊，都頻頻利用社交工程及郵件釣魚技術。

麻煩的是，釣魚信往往是攻擊階段很早期的行為，容易被忽略，不論企業規模大小，都有遇害的可能性，如何過濾電子郵件中的惡意程式及連結，便是如今企業資安防護當務之急。

為了對抗這些惡意郵件與釣魚郵件的威脅，企業不應只是期待使用者去自行判斷，採用郵件安全防護系統，並善用社交工程演練等工具來積極面對，就像戰士上前線作戰時，應提供自動化武器與充分訓練，來強化防禦能力。

隨著威脅態勢日益嚴峻，現在的郵件安全防護技術也更進步，過去企業知道要做好垃圾郵件過濾、郵件防毒，現在郵件APT、進階郵件安全防護等方案，就是企業要重視的項目，才能幫助使用者過濾無法看出的郵件潛藏威脅。

不過使用者仍是最後的防線，尤其現在的社交工程手法搭配其他技術的攻擊，更是令人防不勝防，道高一尺，魔高一丈，不能單靠郵件資安產品的防護，如何同時提升使用者資安意識也是關鍵，應以雙管齊下的方式，才能有效提升面對各式電子郵件威脅的防護力。

強化郵件安全防護力道，協助過濾大部分的郵件威脅

論及電子郵件的安全問題，垃圾郵件與病毒郵件是最早的困擾，之後興起的則是詐騙郵件與釣魚郵件，近年電子郵件威脅層面更是擴大，像是帶來廣泛影響的勒索軟體，以及更具針對性的釣魚詐騙手法，例如，APT攻擊與商業電子郵件詐騙（BEC）。

儘管惡意電子郵件、釣魚郵件帶來的威脅風險越來越高，但是許多的企業用戶，仍是仰賴電子郵件作為正式溝通管道，如何降低這些風險與威脅，就是首要課題。

而透過郵件安全相關防護功能，的確可以幫助使用者過濾掉大部分的威脅，是最基本的作法，否則，光靠使用者用人眼來判斷所有郵件內的威脅，顯然並不切實際。

但要注意的是，談到電子郵件安全，企業過往想到的，可能就只是防垃圾郵件與防毒，而現在的郵件安全防護面向與功能，並不僅於此。

無論是郵件稽核、進階郵件威脅防護，甚至是應用威脅情報分析及機器學習等技術，以及郵件簽章、郵件加密與網域驗證等機制，還有網頁郵件帳號安全的雙因素認證與異常登入警示，都是企業應該關注與瞭解的部分，不能只停留在過去思維。而且，現在這些郵件安全防護設備的價格門檻，其實並不高。

當然，我們也期盼在AI人工智慧發展越來越快速的情形之下，能夠更精準、更快速地幫助企業過濾種種可疑的陷阱。而在郵件安全防護之外，注意作業系統與軟體程式的更新，降低遭受漏洞攻擊的情況，以及端點安全、網頁安全閘道與威脅情資系統的配合，建立多層次與縱深防禦的概念，也都是近年強調的資安防護之道。

執行郵件社交工程演練，強化使用者識別釣魚與威脅的能力

不過，資安教育訓練仍是企業面對郵件威脅的最後一道防線。畢竟這些主動寄來的電子郵件，鎖定的攻擊目標就是「人」，誘騙使用者開啟信件後，透過點擊連結或下載附件等方式，藉此突破企業防禦大門。系統只是輔助，可以幫使用者過濾掉大部分的威脅，降低可能發生的機率，但其餘的郵件安全防護，還是得仰賴提升使用者的資安意識，因此企業也得設法解決。

由於各企業在郵件或資安防護上，做的不一定都很到位，駭客也總是會過各種偽裝方式與新手法，來避過系統偵測與攔阻，還有正常郵件內容的詐騙郵件內容，因此系統也可能還是會有盲點，使用者本身的郵件資安意識就很重要。

為強化人員郵件資安意識，利用演練與測試信的方式，來訓練使用者對於郵件社交工程的警覺性，也是現行常見會採取的作法。

演練的用意，就是不希望等到真的面對釣魚郵件時，卻沒有一點警覺性，或是一時慌了手腳而不慎上鉤，等到最後釀出更大災情時，才責怪當初怎麼沒有發現。

而透過演練的方式，一方面，是為了測試電子郵件使用者是否會點選郵件中不明連結，或開啟來路不明的附檔，進而培養企業員工養成不輕易上鉤、察覺可疑郵件的習慣；另一方面，企業也可以掌握哪些使用者是高風險群，容易成為資安缺口，做出重點加強。

事實上，為了避免政府部門員工遭到社交網路郵件的攻擊，我國政府機關在2005年開始這樣要求，至今，各機關單位也都持續在進行，執行每年兩次的防範電子郵件社交工程施行計畫，近年金管會也有類似的規定，要求所有金融業者，應定期執行電子郵件社交工程演練與教育訓練，每年至少一次。當然，不僅是政府單位，許多企業也會藉此方式訓練員工，各種類型產業都有，像是高科技產業、傳統產業、服務業，以及電商與第三方支付產業等。

而要執行這些演練，除了企業自己實做，市面上也有不少資安服務業者會提供這些服務，名稱像是社交工程演練服務，或是電子郵件警覺性測試服務，也有業者能提供買斷方式供企業自建系統來執行。

特別的是，隨著雲端服務的盛行，市面上，開始有提供寄送釣魚測試信的雲端服務，以及資安教育訓練的平臺，這也成為企業現在可以利用的新資源。

另外要注意的是，在演練之外，教育訓練與管理制度的配合，也是企業不容忽視的部分，除了基本的教材、上課與測驗方式，培養與訓練員工的資安意識，如何讓企業員工持續認識郵件資安威脅，或是也會關注資安事件與新聞，這也是政府提倡全民資安所希望達到的目標，同樣需要企業一起努力。

此外，像是釣魚信回報的重要性，可能是企業與使用者容易忽略的問題，一旦用戶判斷出或察覺到可疑釣魚郵件，只要刪掉不理就沒事嗎？還是應該訓練使用者立即回報，讓資訊單位同仁能做出其他處置動作，或是宣導避免其他同事中招。雖然有企業可能認為實務上，不可能每封郵件都要請IT人員協助，造成其他事都不用做，但反過來思考，是否企業本身系統的資安防護不足，或是已經成為重點攻擊對象。還有近年盛行的BEC詐騙，由於企業員工過於信任電子郵件，特別是看起來向是上級的指令，因此，關於金錢交易相關的資訊，是否能讓員工意識到應採第二管道確認或建立管理流程，也是重點。

每周進行釣魚信演練，食藥署已持續施行8年

食藥署資訊室主任林文洲表示，他在民國99年時，就要求每天都需進行抽樣釣魚，透過委外服務業者發送釣魚信件，讓員工持續保持警覺，釣魚信內容都是以時事題為主。而這樣的作法也吸引到其他單位前來取經，因為他們的演練成果比較出色。

衛福部食品藥物管理署為了減輕資安事件的衝擊，既有郵件防護體系之下，他們相當看中員工對於郵件安全意識的訓練。

要如何貫徹演練，食藥署資訊室主任林文洲提到幾個關鍵，像是要獲得長官支持，而且就算是長官被釣魚信釣到，也要來上課，做好榜樣。當然，一開始長官也會很擔心被釣到會不會怎樣，這也就是要培養與習慣之處。他也建議教育訓練不要拘於形式，因為大家上班都有自己分內的工作要做，如果沒時間上課，最簡單的辦法就是設法通過測驗，同時，為了要讓其他同事快速獲得提醒，因此他們對廠商提出的需求是，一旦有人不慎點擊釣魚連結，5分多鐘後就會發出通知郵件。當然，如果有人不配合，資訊室的作法是透過發出改善單的方式，利用更多力量來強化演練的執行效果。

此外，林文洲還特別提到一點，對外公務信箱是他們最常受到攻擊的對象，因此，在既有郵件安全防護與演練之外，他也建議這類信箱最好與公司內部網路環境有所區隔，透過虛擬機器的方式來收信，降低郵件威脅的風險。

論及電子郵件威脅的安全問題，過往企業最憂心的是垃圾郵件與病毒郵件影響，普遍企業懂得要搭配防垃圾郵件與防毒功能的設備，只是，近年的電子郵件威脅早已經不是那麼單純，不論是勒索軟體、APT攻擊、BEC詐騙、釣魚郵件與社交工程手法等，也都利用電子郵件管道來突破企業與政府機關防禦，帶來極大影響，而過去已知威脅防禦的垃圾郵件過濾與防毒機制，已不足以防禦全新威脅，希望使用者自行識別所有不同的潛在威脅，更是無法想像。

因此，運用郵件安全與進階威脅防護產品，強化過濾與偵測，就是幫助企業面對這些威脅的新防禦性武器，也是有效率的作法。現在市面上，已有許多資安與郵件安全廠商提供的產品，可協助企業因應這些新興的電子郵件威脅，幫助企業過濾掉大部分的惡意郵件、釣魚郵件，甚至詐騙郵件等。

進階郵件防護當道，各式技術加持並整合威脅情資，防護更即時

基本上，郵件資安防護設備的功能，一直在隨著攻擊手法不斷變化，新增加不同的防護技術。從過往的電子郵件安全相關產品來看，功能從垃圾郵件過濾、郵件防毒到郵件稽核等都有，利用各式技術來攔阻垃圾郵件，並加入防毒廠商的防毒引擎來偵測，同時透過原則管控的設定，不僅是防護企業資料外洩，建立內寄外的企業郵件安全政策過濾，也能利用來阻擋外寄內的相關威脅，透過設定過濾條件的方式，例如將附檔類型為EXE的檔案，隔離且不允許進入郵件伺服器。

隨著各式郵件威脅的演變，加上現有的病毒變種的速度非常快、釣魚網站存活時間都很短，造成傳統郵件防護機制無法即時有效偵測現有的攻擊與威脅。因此，現在這些郵件安全產品的功能又更豐富，並聚焦於進階郵件威脅防護上，幫助企業面對新興與未知攻擊的偵測與防護。

例如，它們使用了靜態特徵比對、動態沙箱模擬分析，也加入APT防護的相關功能，以及關鍵的URL偵測技術，支援即時威脅情報分析，並且應用機器學習、人工智慧與交叉分析等技術；即使像是BEC詐騙這樣的攻擊，現在也看到有偵測與警示的機制，來提醒使用者注意；甚至還有啟用多重防毒與附檔內容威脅解除與重組的作法，這些各式不同技術，都是為了協助企業進一步過濾掉大部分的郵件威脅。

即便像是現在主要的雲端郵件服務業者，不僅是將防垃圾郵件與防毒功能內建為基本功能，同時也會預設封鎖一些不安全的副檔名附件，像是.EXE、.JAR、.SCR、.VBS等，近年還增加了.JS，避免使用者直接收到這類檔案的風險，用戶也不用像傳統方式需要一一設定管控原則。

另外，關於釣魚郵件可能竊取企業郵件帳號，除了依靠系統攔阻這些釣魚信與釣魚網站，在網頁郵件帳號安全的保護上，也是企業不容忽視的一環。像是啟用雙因素認證，讓登入時需多一道驗證程序，還有像是設定合法連線的IP位置、異常登入警示等機制，都是讓企業能夠更主動去防範帳號遭盜用的機制。

還有像是為避免企業郵件遭冒名的風險，也可透過這些郵件及其安全防護產品，來增強電子郵件往來的安全性。舉例來說，像是可啟用郵件加密功能，將整封郵件或附件加密保護，以確保郵件的機密性；或是導入郵件簽章功能，確保郵件的完整性、身分鑑別及不可否認性，又或是使用SPF、DKIM、DMARC來驗證雙方電子郵件等進階機制。

設備部署方式彈性，價格門檻也比想像中要低

對於電子郵件威脅日益嚴峻，因此，不論企業規模大小，都應採取行動積極強化自身的郵件安全，現在市面上也有不少郵件安全閘道類型設備與雲端服務可以選擇，可以建置在企業內部，或是透過雲端部署整合Office 365、G Suite等企業雲端郵件服務，相當彈性。更值得注意的是，這類產品的價格如今也沒有想像中貴，即便小企業也應該有能力可以購買。

舉例來說，本土廠商網擎的雲端產品MailCloud郵件安全防護包，每人每月價格只要50元，如果是一間50人的企業，每月就是2,500元，一年下來，3萬元也差不多是一臺電腦的價格；或是另一家本土廠商Cellopoint雲端產品COP的進階版，每人每月也只要100元，就能提供郵件網址與郵件附檔過濾的APT防護功能，而且，通常購買授權數越多也會有更多折扣。

當然，各廠商各有所長，功能面向也有大有小，就看客戶需求和能力的考量。接下來，我們也實際接觸一些廠商，將概略介紹他們產品的防惡意郵件、釣魚郵件的功能，以及相關特色。

本土廠商積極增加新防護技術，開始具備威脅情資整合，應用沙箱分析、機器學習等能力

基本上，提供郵件安全產品的臺灣本土廠商不少，例如這次我們介紹的4家廠商：Cellopoint、網擎、眾至、中華數位。

Cellopoint

電子郵件經常是許多APT攻擊所利用的主要管道，國內郵件安全防護廠商Cellopoint，也提供多種對應的防護方案，包括自建方案的Email UTM設備，以及雲端郵件安全服務Cellopoint Online Protection（COP）。

在防護特色上，CelloPoint強調五層縱深防禦，從防垃圾信功能，過濾大量廣告信、垃圾郵件、退信攻擊、DDoS攻擊，到防毒功能過濾已知病毒、惡意程式與勒索軟體，還包括防APT附件與連結，以及BEC詐騙偵測的功能。

其中，又以APT防護功能最受注目，主要分成郵件附件與郵件網址過濾兩大部分，像是透過雲端沙箱惡意程式，以及重寫未知可疑網址，導向CelloCloud即時比對，郵件內嵌URL的釣魚及偷渡式下載連結檢測。

網擎

長期發展郵件系統的廠商網擎資訊，除了自家Mail2000郵件伺服器與MailCloud雲端郵件產品外，也提供了電子郵件安全的閘道產品MailGates，以及具有雲端版本MailCloud郵件安全防護包，來增強電子郵件的安全防護功能。

對於惡意威脅的防護，網擎主要藉自家的Openfind Cloud Protection與MailCloud蒐集的信件樣本，對於惡意連結的防護，也與全球性釣魚網站資料庫同步更新，即時防止釣魚信件發生。較特別的是，他們提供了像是純文字遞送、移除JavaScript、顯示外部連結網址的功能，可減少使用者受到釣魚郵件欺騙的機率，並也能藉由點擊偵測並引導至警示頁面，

另外，對於釣魚網站變化之快的威脅，網擎未來也將開發連結點擊威脅紀錄的功能，讓收件人點擊的連結先導到MailGates並記錄，若經過一段時間資料庫更新發現該連結為釣魚網站，事後將發送信相關報表告知企業管理者。

降低郵件內的惡意網址威脅，作法多元

為了對抗惡意郵件與釣魚郵件，也有郵件安全產品提出不同的作法，例如可去除郵件中的連結，僅顯示網址文字，不讓使用者輕易點選，另外也能藉由點擊偵測並引導至警示頁面。（圖為網擎MailCloud郵件安全防護包方案的管理介面）

眾至

在本土廠商眾至提供的郵件伺服器MS-6430+產品中，也提供了多項防護機制，主要強調信件異常寄送偵測模式、內文URL解析、自動學習資料庫與郵件安全簽章。

其中較具特色的功能，像是利用了IP反解驗證、灰名單、系統黑白名單、SPF驗證，以及結合卡巴防毒機制與DKIM驗證來阻擋釣魚信件攻擊。並強調自家的信件異常寄送偵測模式，透過規則條例的設定，可針對主旨、副檔進行深入解析動作。他們也利用垃圾郵件分類引擎，自動學習SPAM和HAM（非垃圾信）的信件特徵，來協助識別各式惡意程式或病毒。

中華數位

中華數位也是不少國內企業都很熟悉的郵件安全廠商，在郵件安全產品SPAM SQR之中，強調可快速更新惡意網址資料庫，針對郵件內容及附件內容進行掃描，也具有置換可疑超連結的機制，同時還加入智慧型詐騙郵件行為特徵檢測，可針對像是匯款詐騙、冒名偽造網域的社交郵件防禦等做到郵件警示。

較特別的是，不僅是透過威脅行為控管的功能，將惡意連結和惡意附檔隔離在系統上，SPAM SQR還能提供威脅指標統計和威脅帳號的資訊揭露，像是外發郵件異常、外發威脅郵件、點擊惡意連結、密碼強度不足等行為，方便資安弱點評估。

國際級廠商整合的威脅情報遍及全球，對於延伸的上網安全防護也更為周延

對於郵件安全防護，許多國際級廠商也都有提供相關解決方案，例如這次我們介紹的6家廠商：Cisco、FireEye、Forcepoint、微軟、Sophos，與趨勢科技。

Cisco

網路設備大廠Cisco提供了可建置在企業內部Email Security Appliance，有實體與VM版本，另外也提供Cloud Email Security雲端服務，提供彈性部署的環境。

由於Cisco先前併購了市面上知名的安全技術廠商IronPort，因此產品本身也延續了既有的電子郵件與網頁安全功能，且，而且後來也併購了威脅情報研究公司Talos，每天可分析6千億封郵件，而能具備強大的威脅偵測及反應能力。

近年他們主打的是進階惡意程式防護功能（Advanced Malware Protection，AMP），主要針對郵件附檔的安全，提供動態沙箱分析，強調以實體環境偵測，防止反沙箱的技術，並透過檔案信譽與分析檔案指紋，同時與Cisco Talos全球威脅情報服務比對，同時還有兩個引擎可分析檔案子從關係，以及分析檔案特徵值與行為。

特別的是，還具有業界少見的事後防護機制，可針對放行的郵件附檔持續分析與記錄檔案活動，日後系統若察覺同樣檔案發作情形，可主動通知或移除。

BEC詐騙偵測成為近年郵件安全防護新特色

針對近年的BEC詐騙，現在許多郵件安全產品也會強調BEC詐騙的偵測能力，像是可在偵測到高階主管信件可能有冒名問題時，會在郵件標題自動添加「Possibly Forged」的提示，可提醒用戶注意。（圖中為Cisco Cloud Email Security管理介面）

FireEye

國際資安大廠FireEye也提供了EX系列和Email Threat Prevention Cloud，強項是利用沙箱技術，判斷釣魚或APT等攻擊。它們主要分析項目包括：Live模式的惡意連結檢測、偽造網站檢測、加密／壓縮檔案檢測，以及APT攻擊檔案檢測，並藉助自家DTI動態情報威脅平臺，以及Mandiant的調查結果，來加強防護準確度。

特別的是，FireEye還強調提供了保留郵件Metadata 24小時的機制，如果其他地方發現該郵件有問題，則能夠在系統上標註該郵件為威脅郵件。另外，他們也強調與全球威脅情報資訊iSight Partners公司合作，整合多種情報來源。

Forcepoint

以網頁安全防護聞名的Forcepoint（前身為Websense），也提供電子郵件安全的產品Email Security，並具有雲端版本Email Security Cloud。他們產品的主要功能特色是，整合Forcepoint網址分類情資庫，當郵件內含指定阻擋的網址類別，則將郵件予以隔離，可辨識是否為釣魚網站或惡意網站。

基本上，這幾套產品具有防垃圾郵件、防假冒郵件、防病毒郵件的功能，提供內嵌網址過濾、真實附檔類型過濾、動態沙箱等郵件威脅防護技術，較特別的是，並在惡意程式偵測引擎機制中，具有Raytheon公司的國防等級先進威脅情資，能憑藉在國防領域蒐集的大量攻擊樣本，強化阻擋進階變形APT郵件的偵測效果。未來產品功能的強化面向，也將放在BEC防護、雲端部署，以及整合UEBA。

微軟

近年主打Office 365平臺的軟體大廠微軟，在雲端郵件威脅防護上，他們也強調內建Exchange Online Protection（EOP），可以做到基本的自動垃圾郵件篩選與病毒過濾。

對於更進階的郵件威脅防護，微軟也提供了Advanced Threat Protection（ATP）的技術，這是一項屬於EOP模組的選購功能，主要強化對於未知惡意攻擊的偵測能力，像是郵件附件與郵件網址過濾，並強調使用了各種的機器學習與分析技術。另外，現在還有看到有詐騙偵測功能，以及進階反釣魚功能。

Sophos

防毒大廠Sophos也有郵件安全防護相關的解決方案，像是Sophos Email Protection強調具有多樣偵測技術防範最新惡意攻擊，可透過自家SXL（Sophos Extensible List）技術，從SophosLab取得最新的安全威脅資訊，且單一設備整合防病毒郵件、防垃圾郵件、郵件加密、沙箱防護的功能。另外，值得一提的是，不少廠商的郵件安全產品中，也都會搭配搭配Sophos防毒引擎。

趨勢科技

國際資安大廠趨勢科技對應郵件安全防護的產品提供，可說是最為豐富，包括像是郵件閘道產品InterScan Messaging Security Virtual Appliance（IMSVA）、Deep Discovery Email Inspector（DDEI）、以及雲端郵件防護產品Hosted Email Security與Cloud App Security for Office 365。

透過這些產品，可以提供基本的病毒碼比對、執行檔攔阻、惡意網址比對能力，也帶來了沙箱技術的惡意檔案分析、惡意連結分析、壓縮密碼猜測、惡意連結改寫，還有像是加入機器學習。而且，這些系統本身皆具備商業郵件詐騙BEC防護的能力。

針對郵件附檔的清除重組技術，開始興起

對於郵件安全防護，近年我們還看到了另一種作法，有廠商運用檔案內容威脅解除與重組（CDR）技術，並提供對應的郵件安全產品。在此機制之下，提供了不同於傳統的特徵碼偵測作法，像是將郵件附檔格式中的每個組成元件拆解，把其中可能執行程式碼的元件清除，如果沒法清除的部分則以注入亂數的方式，使之無法執行，而不向過去的防毒技術，僅能做到攔截、隔離，可以因此影響使用者所要存取的檔案。

同時，應用這類技術的廠商，也強調具有多重防毒的能力，不像多數郵件安全產品，通常只提供1到2種防毒引擎。

OPSWAT

在臺灣市場最早開始引進CDR產品，是資安公司OPSWAT提供的郵件安全軟體Metadefender Email Security，可主動將附檔文件內的任意Scripts指令碼與巨集移除，防止透過文件及圖檔偷渡各種威脅，同時重組還原文件內容，維持郵件附檔的正常使用性，目前支援超過100種檔案格式。

它所具備的複合式掃描技術，最多可同時支援30種防毒引擎掃描，並藉由自家特製的最佳化技術，加速掃描時間，結合多家不同的防毒軟體之所長，增加對於已知型威脅的防護偵測率。而且，只要一家防毒偵測出問題，系統就會依據預設處置動作隔離或刪除。另外，這套產品也內建超連結檢測的機制，像是顯示的網址文字與實際超連結不符，系統就會自動移除超連結，僅保留文字。

Votiro

另一家主打CDR的新興資安公司Votiro，近期主打Secure Email Gateway（SEG）郵件安全閘道產品，可清除PDF內夾帶的JavaScripts指令碼、Office文件的巨集與使用的OLE嵌入物件等。

而且，更是強調自家專有CDR技術的支援性與防護能力，像是已經能夠支援超過130種檔案格式，不論是一般文件類型微軟Office與PDF檔、壓縮檔、圖檔與電子郵件系統所產生的MSG與EML檔，甚至AutoCAD圖檔格式也能做到防護。同時，這款產品也有強調多重防毒引擎偵測，目前提供6種防毒引擎供選擇，可同時搭配掃描。

檔案內容威脅清除與重組技術興起，協助郵件附檔安全

針對郵件附檔安全，現在也有業者運用檔案內容威脅清除與重組技術（CDR），來針對微軟Office、PDF、圖檔文件等類型，自動移除任何檔案指令碼與巨集等潛在威脅，並還原成可用的檔案。（圖為Votiro SEG的SMD-Admin管理介面）

近年來，檔案同步與共享（EFSS）機制的興起，能夠針對企業共用檔案的情形，加以管理、追蹤，但論及能企業內部自行架設，國產的解決方案其實並不多，最近網擎資訊推出的ArkEase Pro，就是這種型態的產品。

在2017年底，網擎收購和沛科技推出的ArkEase Pro之後，便開始與自家的SecuShare整併，並計畫於今年3月統整為單一產品。對於企業的建置上，ArkEase Pro主打直接能彙整原有的檔案共享措施，像是Windows檔案伺服器、FTP、網路資料夾等，減少轉換上的不便，而在使用者應用的部分，這個解決方案的獨道之處，在於針對端點電腦面臨勒索軟體攻擊時，具備異常檔案覆寫偵測的功能，進而阻止上傳，能保有較多可還原的內容，同時，ArkEase Pro提供使用者存取檔案的方式，算是多元。

針對個人端電腦檔案的共用，ArkEase Pro支援Windows與macOS作業系統，以及推出iOS與Android專用的App，同時，針對文件的快速存取，提供了Office與Outlook專用的附加元件，此外，若是想要透過網路磁碟機的方式提供資料，網擎也推出可供選購的模組，對於原本採用這種型式共用資料的企業而言，使用者就能延續同樣的操作方法。不過，像是整合自家郵件伺服器Mail2000，或是提供較為豐富的報表內容等，則是未來將會提供。

能偵測檔案出現大量異常加密行為，並暫緩同步

使用者的電腦若是受到加密勒索軟體攻擊，導致大量檔案無法使用時，ArkEase Pro在個人端同步應用程式上，可阻止這些資料上傳伺服器，避免同步到其他電腦裡的檔案，一併遭到置換。

對於受到攻擊的電腦，在清除了上述的惡意軟體後，一般來說，通常就要經由版本還原的措施，取得仍然可用的舊版資料，但是，操作流程相當繁瑣，需針對每個檔案或資料夾，逐一指定想要還原的版本。而ArkEase Pro則是提供了自助快速還原功能，使用者只要指定想要還原的資料夾，以及檔案回溯的時間點，就可執行。

我們實際在一臺Windows 10虛擬機器中，安裝了ArkEase Pro檔案同步軟體，並將資料同步完成後，啟動了Bad Rabbit勒索軟體病毒，加密了ArkEase Pro所提供的誘餌檔案，此時，同步軟體便彈出警示視窗，提醒使用者，電腦可能受到加密勒索軟體攻擊，ArkEase Pro已暫緩資料同步，請通知管理者進一步處理。

等到使用者將電腦中存在的惡意軟體清除之後，我們只要從ArkEase Pro網頁介面的個人資料裡，執行快速還原功能，就能將沒有受到影響的檔案同步到電腦上，整個自助還原過程可說是相當容易操作。

防止勒索軟體竄改檔案上傳與同步

網擎資訊推出的ArkEase Pro，針對同步的檔案，提供大量竄改時的警示通知。並停用上傳功能，其做法是透過誘餌檔案偵測，若是勒索軟體嘗試逐個檔案加密時，就會啟動。

可指定預設同步資料夾名稱，支援存取多個來源

值得一提的是，端點電腦的同步軟體上，ArkEase Pro有項功能非常少見，就是最多能夠指定5個同步資料夾，一般而言，這種檔案同步服務中，使用者只能指定全部或是部分的個人資料，存放到電腦的單一資料夾裡。而ArkEase Pro則額外提供自訂功能，使用者能額外將4個端點電腦資料夾的內容，納入資料同步的範圍中，對於在電腦裡已經分門別類的檔案，就能透過這樣的機制，加到ArkEase Pro儲存、同步的空間裡，而無須再次搬動電腦檔案的路徑。

一般而言，檔案同步資料夾的根目錄，通常會採用指定的名稱，但ArkEase Pro並沒有這樣的限制，因此使用者可指定任意路徑，做為檔案同步的位置。

提供多種快速存取檔案的措施

除了端點電腦與伺服器之間的檔案同步，ArkEase Pro也提供多種可選用的模組，像是能從Word、Excel、PowerPoint直接開啟文件，或由Outlook郵件夾帶ArkEase Pro裡的檔案，以及可選購的網路資料夾功能等。而這些模組，與檔案同步應用程式並無任何的相依性，因此使用者能自由挑選所需的模組安裝。

無論是ArkEase Pro的Office軟體擴充模組，還是Outlook附件檔案擴充功能，都能向下相容舊版的Office軟體，即使是執行Office 2003，也能使用。再者，對於使用網頁存取郵件的措施而言，網擎正在將旗下的Mail2000與ArkEase Pro兩者，進行整合。未來不只能夠從Mail2000的介面中，快速存取檔案同步平臺，也規畫存放在ArkEase Pro的個人資料，能以共用連結做為郵件附件夾帶。

在行動裝置上，使用者也可透過ArkEase Pro專屬App，存取個人檔案。這款App的主要功能，包含了能預先下載想要離線使用的資料，也可以手動加入裝置內的檔案，至於檔案內容的檢視上，App沒有內建檢視器，使用者要透過其他的應用程式開啟、編輯。

提供手機App，便於快速共用檔案

對於檔案的同步與共用，ArkEase Pro也具備行動版本的App，使用者安裝後就能存取已經同步或是共用的檔案、資料夾，此外，這裡也能將行動裝置內的檔案上傳。

控管功能以共用權限為主，上傳內容管理與報表仍待加強

相較於使用者端，ArkEase Pro擁有多種應用程式，系統管理功能就顯得較為平庸，除了系統組態設定的功能，大多是針對檔案共用的控管。

像是可分享檔案的方式來說，企業能針對全公司或是特定的使用者群組，指定共用檔案的權限，包含下載的有效期限、次數，以及取得他人共享的資料之後，能否再次提供給其他使用者等。

對於已經共用的檔案，ArkEase Pro則是提供了專屬的管理頁面，管理者可檢視每個分享連結的有效期限，與下載次數等資訊，並依據檔案或使用者的部分名稱，找出可能不符合公司規範的分享情事，再行刪除。

不過，檔案共用權限雖有詳細的規畫，然而，對於上傳檔案的管制，以及事件記錄的統整，仍然有待加強。

以檔案類型的控管而言，企業可依據副檔名，限制使用者不能上傳的類型，但若是用戶逕自改掉檔案的副檔名，就能迴避這樣的管制政策。再者，ArkEase Pro也不像許多同類型產品，可規定上傳單一檔案大小，若是使用者傳送動輒GB等級的大型檔案，甚至對外開放共用，很可能造成企業網路頻寬極大的負擔。

雖然，ArkEase Pro的帳戶列表中，已列出每個用戶儲存空間的使用情形，以及共用的項目為何，但是針對個別的共享檔案或資料夾，沒有顯示檔案容量，僅倚靠前述的下載次數資訊，管理者難以找出大量占用頻寬的共用檔案。

針對報表的部分，管理平臺僅能針對特定類型的事件，像是上傳、下載、刪除檔案等，輸出為CSV檔案，對於使用者的存取情況，則尚未提供統計報表與排行榜，企業必須輸出記錄到SIEM平臺另行處理。

產品資訊

●原廠：網擎資訊(02)2553-2000

●建議售價：18萬元起

●伺服器硬體需求：Intel Xeon E3-1220、8GB記憶體、160GB儲存空間

●支援虛擬化環境：vSphere或Hyper-V

●用戶端作業系統支援：Windows XP、macOS 10.8、iOS 8、Android 4.0

●可選購模組：勒索軟體加密偵測、Cloud Drive網路磁碟機、API整合、AD/LDAP目錄整合、伺服器主機叢集功能等

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】

挖礦程式無所不在，YouTube網站竟然也有！

挖礦程式儼然成為惡意程式的組成份子之一，趨勢科技上周指出，駭客濫用了Google旗下的DoubleClick廣告遞送網路，於眾多知名網站上植入了嵌有Coinhive挖礦程式的廣告，另一方面，YouTube已向媒體證實該站廣告被嵌入Coinhive，並說很快就將相關廣告封鎖。

一名SEO設計師Diego Betto先是在1月25日在Twitter上透露，他所安裝的Avast防毒軟體封鎖了YouTube廣告中的Coinhive挖礦程式。

兩天後趨勢科技即發表了報告，指出從24日起，就偵測到藉由惡意廣告散布的Coinhive挖礦程式增加了3倍，駭客濫用了DoubleClick的廣告遞送網路來傳遞嵌入Coinhive的廣告，受害市場包括日本、法國、台灣、義大利與西班牙。（詳全文）

7-ELEVEN臺灣首間無人商店展開內部測試

圖片來源／統一超商

統一超商宣佈旗下首間7-ELEVEN無人商店「X-STORE」展開內部測試，測試無人商店的運作模式，蒐集消費數據，以展現智慧零售的新風貌。

這是繼韓國之後，7-ELEVEN另一家無人商店，這家店位於台北市東興路的統一超商總部，由7-ELEVEN傳統門市花費4到5個月時間改裝，商店主體佔地22坪，結合OPENPOINT會員系統、iCash、商品辨識、臉部辨識、語音互動、IoT、自助結帳POS系統、電子標籤、廣告電子看板、掃地機器人等科技打造無人商店。（詳全文）

對抗中國竊聽，傳川普打算自建國家級5G網路

圖片來源／美國白宮

美國媒體Axios指出，川普政權有意建立國家級的5G網路以防禦中國等外侮，而一未具名的政府官員則向路透社證實了此事。

Axios的報導來自於自川普政權外流的機密文件，文件的撰寫者為資深的國家安全委員會官員，宣稱美國需要在3年內打造一個國家級的5G集中化網路，可由政府出資建立單一網路，或是整合現有業者所建立的網路。

不管是哪個選項，目的都是為了建立一個以國家利益為優先的行動網路，將會規範安裝無線網路設備的聯邦程序，作為自駕車或虛擬實境等新興技術的安全通道，同時用來對抗中國對美國經濟及網路安全所帶來的威脅。（詳全文）

收購EMC造成財務重擔，傳Dell考慮重新上市籌資

圖片來源／Dell

彭博引述消息人士報導，Dell公司下市4年多之後，因為收購儲存大廠EMC的借貸利息太高，創辦人Michael Dell正考慮藉由將公司重新發行股票上市（IPO）以籌募資金。（詳全文）

美國第一起自駕車官司！機車騎士告通用

圖片來源／GE

近期一名加州機車騎士Oscar Willhelm Nilsson被測試中的通用汽車自駕車撞到，控告這台自駕車「駕駛輕忽」。

事發當時機車和自駕車車速都不快，只有時速24和19公里，因此Nilsson只有傷及肩部，他還能將機車牽到路旁和通用車上的測試員交換聯絡資訊。

事後他向舊金山北區地方法院控告自駕車的「駕駛輕忽」，導致他身心重創，還要付出後續的醫療費用及就醫時間。

不過根據警方紀錄，Nilsson有錯在先，因為他企圖從右方超越前車以佔據車道，這行為已違反行車安全。（詳全文）

日虛擬貨幣交易所Coincheck遭駭，遭盜轉價值百億的XEM幣

日本主要虛擬貨幣交易平台Coincheck遭駭客入侵，致使5.23億個XEM幣被盜轉，損失折合日幣580億日幣（約154億台幣）。該公司發現後宣布暫停包括NEM平台上比特幣（altcoin）除外的虛擬貨幣買賣，以及信用卡、Pay Easy及便利商店支付。（詳全文）

英特爾執行長：今年底前推出可防CPU弱點的產品

圖片來源／英特爾

正身陷處理器漏洞風暴的英特爾（Intle）公布了2017年第四季與全年財報，執行長則回應了外界最關心的議題，指出安全為英特爾的首要之務，將會在今年底前發表內建Meltdown與Spectre攻擊保護機制的處理器。（詳全文）

瀏覽器自救，可緩解CPU漏洞的Chrome 64出爐

Google釋出了Chrome 64穩定版，它強化了跳出視窗的攔截能力，並更新V8 JavaScript引擎以改善執行效能，同時也執行53項的安全更新，包含緩解CPU「推測執行」瑕疵所帶來的旁路攻擊（side channel attacks）漏洞。（詳全文）

Google進軍企業資安，Alphabet成立資安子公司

繼Waymo、Nest、生命科學子公司Verily之後，Alphabet又成立子公司Chronicle，要將Google的機器學習和雲端運算技術用於網路安全。 Chronicle 是2016年2月成立於Google內部X moonshot factory，以Google自有安全技術為基礎，旨在為各種規模的企業提供網路安全防護。（詳全文）

ThinkPad指紋辨識竟內建固定密碼，人人都能偷取管理權限

圖片來源／聯想

聯想警告ThinkPad系列的使用者應盡速更新設備工具軟體Lenovo Fingerprint Manager Pro，以修正指紋辨識的安全性漏洞，受影響型號從安裝Windows 7、8和8.1的ThinkPad筆記型電腦到工作站都有。另外，由於Windows 10原生支援指紋辨識功能，因此用戶不受影響。（詳全文）

英國：關鍵產業資安防護若不夠，最高罰臺幣7億元

英國政府指出，諸如能源、交通、水力、數位基礎設施與健康照護等關鍵產業應部署有效的網路安全措施，若違反規定，最高可處以1700萬英鎊（約7.1億元新台幣）的罰款，預計於今年5月10日實施。（詳全文）

LegalTech臺灣創新！勤業眾信搶先全球用區塊鏈保護證物

攝影／沈庭安

勤業眾信公開全球第一例「區塊鏈證物管理平臺（SET）」，顛覆傳統監管證物的紙本流程，用區塊鏈的特性，來保存、追蹤證物資訊，並且利用智能合約來做權限控管，讓案件相關人員才能讀取資料並追蹤證物。（詳全文）

惡意郵件與釣魚郵件威脅日益嚴峻，輕則洩露個人帳號密碼、電腦中毒，重則導致公司蒙受BEC詐騙損失大量金錢，或是APT攻擊機密資料外洩，企業除了借助郵件安全防護產品過濾與偵測，提升使用者資安意識強化最後一道防線，也是近年持續強調的作法。

發動網路攻擊利用電子郵件管道入侵的駭客，會以各式社交工程手法與情境，誘騙使用者點擊郵件中的連結或下載附件，而企業為了提升員工資安意識，運用寄送測試信進行模擬演練就是一種方式，促使企業員工對釣魚信可以有更高的警覺性，也不至於在突然收到時而慌了手腳，同時企業也能掌握容易上當的使用者，容易上鉤的題材，以便針對性的做出重點加強與教育。

如果企業想要自行演練，一般可能要考慮撰寫測試系統，及規畫所有相關測試工作，其實沒想像那麼容易。

不過，現在市面上，已有一些資安業者提供相關服務，可協助處理許多相關事情，像是省去測試信發送系統的準備與操作，社交工程測試信的內容設計，建立演練時的資訊反饋與蒐集，以及報表製作，甚至是提供講師授課或教材，協助演練前宣導或是教育訓練等，並獲得其他產業及企業的經驗與心得。

例如現在一些企業政府機關單位，就是以委外方式進行，這類服務一般稱為社交工程演練，也有廠商稱作電子郵件警覺性測試服務。

目前市場上提供這方面服務的業者很多，像是中華資安國際、漢昕科技、安碁資訊、安資捷、定威科技等廠商，都是投入資安健檢服務多年的業者，也有新創公司加入這塊領域，例如三甲科技，另外，還有像是郵件安全廠商Cellopoint也提供這樣的服務，企業擁有的選擇並不少。

而且，若是企業基於更高的資安考量，像是不希望企業郵件名單暴露於外，也可要求將系統自建在企業內部來進行，詢問服務廠商是否能夠配合，甚至可以買斷系統，採自建方式，由企業內部自行操作演練的執行。另外，若是企業要求的發送測試信封數龐大，如考量到費用支出，也是可以選擇買斷自建方式。

但要注意的是，並不是所有業者都提供買斷的選項，在這些委外服務的廠商中，我們只有看到中華資安國際、安資捷、定威科技與漢昕科技，可單獨販售社交工程演練系統。值得注意的是，在近年雲端服務的浪潮之下，近年來，也有廠商推出可寄送釣魚測試信的SaaS雲端服務，例如趨勢科技與Sophos，成為企業另一種選擇。

已有許多本土廠商，能提供豐富的客製化與在地化服務

如果企業想要透過這些委外廠商提供協助社交工程演練，除了請廠商派人前來介紹，我們也能先從業者相關背景資訊做簡單的側面瞭解，像是對方在社交工程演練的主要服務對象，以及產業類型，資安團隊服務的人力，作為參考資訊。而我們也實際接觸一些廠商，接下來將概略介紹他們的背景及特色。

安碁資訊

主要的服務產業包括政府機關（69％）、金融業（16％）、科技業（8％）、服務業（7％），資安團隊服務人數超過100位，於2000年成立，是投入國內資訊服務多年的老牌廠商，他們強調的優勢在於，客戶數量眾多，可分析出較整體客戶習性，且郵件範本更新頻率快，並可利用偽造及寄信網址亂碼化等，模擬出不易看穿的情境。

Cellopoint

主要服務產業，包括：金融業、政府單位、製造業、資訊服務業與科技業，他們的資安團隊服務人數12位，由於本身就是主推郵件安全防護產品的廠商，更具實際惡意郵件接觸經驗，容易掌握最新攻擊郵件案例，並可協助分析內部安全弱點，提供專業的技術諮詢和指導方針，提供員工測試表現的數據資料。

漢昕科技

主要服務產業是政府機關（55％）、餐飲業（15％）、美妝保健（15％）、傳產製造業（15％），資安團隊服務人數7位，並有資安研發人員2位，成立於2004年，也是相當老牌的資安服務業者之一，以提供貼近的在地服務為賣點，且測試信觸發條件不需要自建實際物件，可在測試信件任意位置可插入查檢碼，並偽造任意寄件者。

安資捷

主要服務產業包括金融產業、電商產業、政府機關、高科技產業、教育產業與傳統產業，從2005年至今，具有橫跨多個產業的電子郵件社交工程演練經驗，資安團隊服務人數8位，並有資安研發人員8位。他們強調，演練SOP程序完備，能提供許多貼心服務，且演練內容能客製彈性開發，報表完整具多維統計分析，資安意識教育訓練風趣。

定威科技

主要服務產業是政府、金融業、電商，自2010年成立，資安團隊服務人數12位，並有資安研發人員8位，是投入國內資訊服務多年的中生代。他們強調的是價格實惠，可完全配合客戶需求客製化演練內容，客製化客戶要求報表產生，並可於社交工程演練過程中，加入社交工程宣導教育訓練，即時提醒瀏覽者需注意事項，及模擬真實駭客情境。

三甲科技

主要服務產業是科技產業（30％）、房產集團（20％）、第三方支付產業（30％)、學校單位（5％）、政府機關（5％）及其他(10％)，資安團隊的服務人數為12人。他們是2016年新成立的資安服務業者，著重在能傾聽客戶需求，開發更符合客戶的服務內容，並透過各類客戶群體的數據分析，提供客戶現況、趨勢分析及短中長期方案建議。

中華資安國際

主要服務的產業包括，政府機關（75％）、金融機構、以及科技產業，原本是中華電信的團隊，近日他們將原有社交工程演練業務，畫分至新成立的資安子公司。他們的資安團隊服務人數為50位，賣點是能依客戶環境、新版社交攻擊手法及點擊結果調整教育訓練，可配合客戶需求客製化範本，且範本豐富性高，提供多種類郵件附檔，及多元化報表。

最後，還有像是業者所擁有的相關資安證照，其他資安檢測服務項目類型，以及業者對於企業電子郵件名單保護與運作原則，以及對於國際法規的遵循等，也是可以向廠商詢問與瞭解的部分，但實際的團隊服務品質，以及配合程度，還是需企業更進一步探聽。

郵件安全教育訓練的SaaS服務興起，以外商居多

隨著雲端服務的發展與潮流，像是漢昕科技提供的社交工程演練服務，執行的後端系統就是部署在雲端，而近年有些業者，更是提供SaaS型態的公有雲解決方案，等於讓想要自行舉辦社交工程演練的企業，有另一種選擇。

像是資安廠商Sophos，就在自家Sophos Central平臺上，提供了名為Phish Threat的郵件模擬訓練服務，讓企業能以租用雲端服務的方式，快速進行演練與教育。在Phish Threat的機制中，不僅內建各式釣魚郵件測試信範本，具備演練結果報表自動產生能力，最特別的地方是，平臺也提供教育訓練內容的範本，包含像是互動式HTML與影片的兩種型態，一旦透過釣魚郵件測試信成功讓員工上鉤，就能立即播放讓員工觀看，而後臺系統也能掌握員工是否看完教育訓練課程。

如果企業單純只要演練測試的部分，國內資安大廠趨勢科技也推出了Phish Insight雲端服務，甚至具有免費方案，讓200人以下的企業，都可以直接以企業郵件帳號註冊登入使用。更重要的是，趨勢Phish Insight產品有中文語系介面，能夠貼近國內企業的使用需求，對此， Sophos也表示，Phish Threat預計將於今年第一季完成全部中文化。

放眼國際，是否還有及他選擇，我們發現研究調查機構Gartner，近年增加了資安警覺訓練（Security Awareness Computer-Based Training）的類別，當中列出了主要領導業者包括像是Wombat Security、PhishMe、KnowBe4等廠商，也是可以評估的SaaS服務業者，只是國內企業可能不太熟悉。

而從這類廠商的資安教育發展方向來看，功能面向很廣。舉例來說，有的包含提供釣魚演練測試的系統，有的具有線上學習管理平臺，還有相關產品是專注在釣魚信回報的工具，像是可以提供Outlook、Office 365、Gmail、Lotus Notes的外掛工具，簡化員工回報可疑郵件的流程，顯然，對於近年釣魚郵件威脅加劇的環境，市面上也隨之出現更多樣的產品。

其中，關於教育訓練管理平臺（LMS）的應用與發展，也是我們關注到的一大趨勢。例如， Wombat Security的資安教育訓練平臺，不僅是具有互動式的教育、測驗內容，像是教導使用者要郵件介面上的哪些地方，透過互動式精靈式的引導介面，來教育使用者。

更讓我們感到驚訝的是，平臺內容已經支援多國語系，其中包含了繁體中文的介面語系，如果國內企業也要藉助這樣的學習平臺來教育使用者，會比傳統方式更直覺。

另外，防毒大廠卡巴斯基Kaspersky，也同樣相中這樣的趨勢，去年開始也在臺灣販售資安意識養成教育平臺，名為Security Awareness Training Platform，當中包含了22個資安相關的課程，像是郵件安全、網址安全，甚至是PCI DSS、PII、PHI法規概論都有，主要內容由卡巴斯基實驗室提供，但也包含了與Wombat Security合作的部份，像是電子郵件安全課程與測驗。

還有像是PhishMe這家廠商，也提供一套CBFree資安意識養成教材，可供企業免費申請下載，讓使用者只要開啟PDF文件，就能觀看教學影片，只是這裡支援的多國語系內容，只有簡體中文，較為可惜。

綜合來看，前面提到的社交工程演練服務，幾乎都是國產業者，優勢在於可以提供更多在地化的服務，能徹底簡化演練的執行工作，並能提供建議與授課方面的內容；而雲端服務業者多半以外商與國際企業為主，需要企業自行操作，但這些業者的線上資源，現在也成為企業可選擇或利用的部分。

線上資安教育平臺興起，且更具互動性

有業者打造資安教育訓練管理平臺的雲端服務，並能以互動式的教育與測驗內容，幫助使用者培養良好郵件安全意識。（圖為Wombat Security、Kaspersky產品的介面）

郵件社交工程演練現況大揭密

可採取更高演練頻率，搭配測驗、授課等教育訓練，並讓員工持續認識郵件資安威脅

在執行郵件社交工程演練後，我們從一些演練結果來看，到底企業遇到的狀況有哪些？

像是從安碁資訊提供的演練結果統計來看，女性員工點選「影劇娛樂」類型郵件比例高於男性，而男性員工則是點選「體育文教」類型郵件比例較高。另外，相較於一般郵件，與機關業務相關的擬真郵件，開啟率更是相對偏高。

定威科技也表示，通常客戶初次測試的成績都不盡理想，有客戶在第一年執行演練希望是越逼真越好，但看到演練成積後，就會希望調整演練並加強教育訓練，提高同仁資訊安全意識。像是今年某單位寄送加薪通知的擬真郵件，郵件開啟率就突破70％。

這些狀況顯示出，即便這些可能無關工作的釣魚信內容，看來仍有不少人會上當，而且，與機關業務相關的擬真郵件，更是多數員工不容易防備的。因此，企業如何依照演練結果、客戶環境、新的社交攻擊手法，積極調整演練與教育訓練方式，就是企業需要與服務業者做好溝通的課題。而且，不只是透過多次演練讓成績變好，更要讓員工都能對於郵件資安威脅持續認識。

而對於演練的過程，這次我們也特別關心幾個面向，像是演練頻率提高、測試信內容求逼真，以及教育訓練方式，來觀察現行演練的作法與考量。

提高演練頻率是首要關鍵

一、首先，演練頻率是企業需要思考的面向，雖然臺灣政府機關在2005年就明令要求，每年進行兩次郵件社交工程演練，近年金管會也要各銀行每年至少實施一次，但這樣要求也就只照做嗎？

事實上，有些企業或政府機關的作法很積極，維持每年定期檢測只是符合基本的要求，為避免社交工程演練流於形式，不少單位主動要求提高演練頻率，讓觸發率能有效降低。像是安資捷表示，現在客戶大多從過去一年兩次，改為一年四次，亦有客戶希望每周一封。顯然，這是為了讓企業員工不會有特定期間才要注意的想法，以密集少量方式，取代一次多封、久久一次的作法。

二、在測試信內容的設計方面，現在各服務業者都強調提供豐富的樣本信件，或是結合當下時事資訊，甚至依照客戶需求製作客製化的內容。不僅如此，由於釣魚郵件與惡意郵件的偽冒手法越來越逼真，如果企業需要更逼真的釣魚郵件，或是須針對不同部門工作性質的客製，現在各廠商也都可以配合。

然而，擬真程度越高的測試郵件，當然更容易讓員工上當。從多家業者提供的資訊來看，會要求測試郵件內容更逼真的企業，客戶佔比大概有5％～30％，三甲科技更表示多數客戶都希望逼真，但他們也提醒，若信件仿真度過高或訊息過於機敏時，有時會引發受測者進一步求證，而造成其他業務困擾，因此需謹慎處理。這樣也看出，已經有不少企業開始重視，期望使用者要能注意詐騙釣魚郵件可能做的很逼真。

如果企業對於擬真演練有較高的要求，除了關注郵件內容設計、偽造任意寄件者，也可以檢視相關統計資訊能力，像是基本的開啟郵件、開啟連結之外，是否還能掌握員工是否真的會在釣魚網站輸入資料，或是開啟了郵件附檔。其中附檔開啟的支援類型有較大差異，技術上，像是定威科技、中華資安國際都提到已同時支援PDF、Word、Excel與PowerPoint檔，也有不少業者表示支援Word檔或是Excel檔。另外，三甲科技、定威科技與漢昕科技則表示，他們還能統計開啟的裝置類型。

三、在教育訓練方式上，簡單的作法就是針對演練成績不好的員工，進行再教育或測驗方式的訓練，企業平時也可以定期安排資安課程，或是在演練前進行宣導，同時也能請服務廠商協助提供授課與相關電子教材。另外，如果企業本身沒有規畫內部的線上學習平臺，有些廠商像是漢昕科技，就表示可提供額外選購的教育訓練平臺。

如果企業演練後想要立即教育，像是將測試信中連結指向警示與教育訓練連結，從多家業者提供的資訊來看，這樣要求的客戶佔比大概是5％～33％，並不算多，僅有定威科技表示有70％的客戶希望如此。據了解，主要是有些企業不希望演練階段進行立即教育或警示，是因為怕同仁相互告知而導致演練成果失真，當然，企業該如何拿捏，或是變更調整測試信的寄送時間與內容，就是額外需要考量的部分。

建立長期有效作戰計畫，要讓演練目標更明確

要建立一個長期且有效的郵件資安意識訓練計畫，不僅是社交工程演練，企業本身也應考量測驗、授課等教育訓練與管理制度的配合。

而在社交工程演練達到理想成績之外，如何真正讓員工持續認識郵件資安威脅？

簡單來說，企業定期執行社交工程演練，基本的目標，就是讓員工瞭解社交工程郵件攻擊的存在，不要因好奇心使然、習慣趨使，隨意點擊郵件中的連結或開啟附檔。更進一步，則是要求使用者能有足夠的警覺性，培養出更多思考與檢查的習慣，並瞭解現在攻擊者可能利用的手法。

例如，懂得檢查郵件中的真實超連結，知道電子郵件的假冒混淆方式，具有識別釣魚郵件的概念，以及郵件附檔Office文件如有巨集功能不亂開啟，等各式釣魚手法的防備心。而關於金錢交易相關的郵件內容，員工是否能意識到應採第二管道確認，或遵循稽核流程處理，又或是當真的發現釣魚郵件，員工是否知道如何回報IT單位。

不由分說，JavaScript本身的動態性，使之在進行meta程式設計（meta-programming）時，極具彈性，因而在ES6之前，有著各式風格的程式庫與自動補全（polyfill），進而形成了JavaScript生態圈的多樣性（與分岐）。

等到後來出現的ES6，除了基於這些程式庫與自動補全制定標準，在meta程式設計上，也提供了Symbol、Proxy與Reflect API作為標準工具。

在ES6前的meta程式設計

正如之前專欄〈動態擴展語言元素的程式設計〉中談過的，meta程式設計本身，並沒有嚴謹的定義，大致上，就是代表著執行時期的程式碼產生與運行，以及物件行為修改、物件行為檢驗等設計的概念。

從JavaScript誕生以來，就執行時期的程式碼產生與運行這方面而言，就存在著eval函式；就修改物件行為上，JavaScript支援物件個體化，而基於原型的物件導向特性，執行時期要修改建構式（類別）定義，也極為容易；至於在檢驗物件行為上，也有in、instanceof、typeof等運算子，或者是for in之類的語法可供使用。

ECMAScript 5時，Object上出現了一組靜態方法，其中的defineProperty、defineProperties方法，可為物件定義出更細緻的特性描述，像是可否修改（writable）、列舉（enumerable）與組態（configurable）；進一步地，透過在存取描述器（Accessor descriptor）指定get、set方法，可對指定的特性進行更為深入的存取控制。

物件的特性並非都可列舉，而不可列舉的特性，無法透過for in來迭代，雖然Object.keys靜態方法可以傳回特性名稱組成的陣列，不過，也限於可列舉的特性，陣列中的特性順序與for in相同，以符合既有的瀏覽器實作，然而，這順序不在規範之內，也就是說，在不同的瀏覽器實作下，for in、Object.keys的順序可能不同。

若想包含不可列舉的特性，我們須透過Object.getOwnPropertyNames靜態方法，傳回的特性名稱陣列中，可列舉的特性順序與for in、Object.keys的順序相同，而不可列舉的特性彼此間的順序，以及它們與可列舉特性間的順序，則沒有定義。

就結論來說，ES6之前的meta程式設計，主要依賴在物件個體化、JavaScrpt本身的語法（像是in運算子、for in語法等）以及Object上的靜態方法，說是為了meta程式設計而存在，其實並不十分正確，而是剛好這些特性可用於meta程式設計。

符號（Symbol）

先前談到列舉特性時的順序保證，到了ES6中，已經有了規範。例如，ES6中的Reflect.ownKeys靜態方法，採用的是（在規範中代表瀏覽器實作時應遵守的演算或行為），數值索引會以遞增方式列舉，接著是特性被建立的順序，然後才是符號被建立的順序。

在另一篇專欄文章〈那些語言中的符號型態〉裡，我談過不同程式語言中的符號，裡面也提到ES6支援符號的概念，而且，所使用的符號，是獨一無二且不可列舉的，也不會受到Object.getOwnPropertyNames列舉，此時，我們必須透過Object.getOwnPropertySymbols，才有辦法，這也表示，可以透過符號來修改既有的建構式或物件，又不用擔心發生名稱衝突問題。

因此，在meta程式設計上，可以使用符號特性來儲存、作為一種meta特性（meta property），或者通俗點的說法，就是定義物件間特定的掛勾，像ES6中提供了Symbol.iterator、Symbol.hasInstance等已知符號（Well-Known Symbol），藉由定義這些已知符號，可以為物件增添特定的行為。

Proxy與Reflect

透過Object.defineProperty可以定義存取描述器，而在ES6中，物件實字也支援get、set方法，可直接為指定的特性名稱，來定義設值方法（setter）與取值方法（getter）。某些程度上，設值與取值方法是一種攔截器的概念，開發者可以攔截對特性的操作，用以修正、改變物件的行為。

如果想要攔截的對象，不是特定名稱，而是全部的特性呢？

在ES6可以透過Proxy來達到，在建立Proxy實例時，必須指定目標物件，並註冊一個有特定協定的處理器，例如，處理器若定義有get(target,key,proxy)，那麼，透過Proxy實例指定取得某特性時，就會執行處理器的get方法，傳入目標物件、指定的特性名稱，以及被操作的Proxy實例。

然而，get的參數會讓人聯想到反射（Reflection）機制，實際上，處理器的協定不只有get，還有set、apply、getOwnPropertyDescriptor、defineProperty等，這又會讓人聯想到Object上定義的那些靜態方法，不過，支持著Proxy的API並不是Object API，而是ES6新增的Reflect API。

實際上，在ECMAScript中，有著代表、、之類的規範。在實現JavaScript引擎時，這些規範裡面，部分被實現為引擎的內部方法，而有些API會使用到這些內部方法。

例如，在ES6中，Object.keys會以取得鍵，然後濾掉不可列舉的特性，並重新安排順序以符合特定瀏覽器既有實現，有些內部方法，則在透過運算子或者是語法時運用，像是delete運算子，會使用到規範的演算。

Reflect API提供了統一的途徑來取用這些內部方法，像是Reflect上的get、ownKeys、deleteProperty等靜態方法，可用來取用[Get]]、、等內部方法，如此就不用組合Object上的某些API來達到目的，也讓內部方法的取用，都變成了函式的行為。

一些明顯不屬於物件的方法，像是apply，被放到了Reflect，這也就是為什麼get、ownKeys等不像之前那樣，被放到Object。而有些Object上的方法，在Relect中，雖也有個對應的版本，然而行為被修正，例如：Reflect的getOwnPropertyDescriptor，在特性不存在時，會拋出TypeError，而Object的版本則是傳回undefined。

Reflect很大程度上，是為了Proxy而存在。Proxy上的meta特性，在Reflect上都有一對一的版本，而Reflect可以處理更低層次的資訊，像是透過Reflect.get的第三個receiver參數，可以用來控制取值方法的this參考對象，〈Benefits of ES6 Reflect API〉（https://goo.gl/9v9STM）中，就有個例子，必須同時結合Proxy與Reflect，才能涵蓋整個目標物件的特性存取。

meta程式設計的利器

過去想要在JavaScript中，從事meta程式設計，比較沒有明確的方式，要嘛就是在語言中尋找適當的運算子或語法，要不就在收集散落且與特定實現相關的API，像是Object上的靜態方法。

如果使用ES6，打算實現meta程式設計的概念，現在，可以直接從符號、Proxym，或者更低層次的Reflect來下手了，不僅方便且有著一致的行為，如果有興趣看更多技術細節的話，可以看看〈Metaprogramming in JavaScript〉（https://goo.gl/adGCC1），或者是〈Metaprogramming in ES6〉（https://goo.gl/zzhQTc）系列的文件（有Part1到Part3）。

在《你不知道的JS：ES6與未來發展》的〈Meta programming〉這一章中，也有一些應用Proxy的精采範例，談到了proxy first、proxy last的概念，足以開啟我們在JavaScript從事meta程式設計時的想像力。

每一家企業都在使用電子郵件，但它也成為近年網路犯罪利用的攻擊管道，企業不應只是仰賴傳統作法，讓接觸郵件的使用者自行判斷可疑郵件，而應積極採用價格門檻並不高的郵件安全防護系統，並且善用社交工程演練，訓練員工養成資安意識

微軟上周宣佈關於Windows 10及新款Office的新消息。比較重要的消息包括，現行三個Windows 10版本的支援期間將各延長半年，而Office 2019將在2018年下半推出，但僅支援Windows 10。
 
過去Windows版推出後用戶可享有5+5年支援服務，包括5年完整支援服務的主流支援，以及5年的安全更新與功能修補，名為延伸支援。Windows 10、Windows Server及新的Office則轉向半年頻道（Semi Annual Channel, SAC）更新。每年釋出二次產品，每版產品獲得18個月的安全更新，而Office SAC版則只能執行在支援的Windows版本上。至於不想或無法使用SAC更新的客戶，仍可購買長期服務頻道（Long-Term Servicing Channel, LTSC）的Windows、Windows Server及Office，其支援期限等同過去的5+5。
 
微軟指出，因應一些客戶要求延長支援，微軟上周宣佈Windows 10企業及教育版、以及Windows 10更新包括1607（周年更新）、1703（創作者更新）和1709（秋季創作者更新）等SAC版本產品支援期間都將再延長6個月。有趣的是，原本支援已在去年10月終止支援的編號1511原始版Windows 10，也因為此次延長而重新獲得支援到今年4月10日。微軟表示，延長支援能給客戶多點時間來導入Windows as a service。（來源：微軟）

Office方面的消息包括Office 365專業增強版及Office 2019。首先，微軟釐清提供Office及連網功能的 Office 365專業增強版（ProPlus）只能執行在有效的Windows SAC上，而且自2020年1月14日起不再支援所有Windows 10 LTSC、Server 2016以前版本及Windows 8.1以及版本。
 
其次是Office 2019。去年Ignite大會上宣佈的桌機版Office 2019將在今年下半出貨，新版Office 包括應用程式：Word、Excel、PowerPoint、Outlook，以及伺服器版軟體Exchange、SharePoint與Skype for Business。
 
但根據微軟最新宣佈，Office 2019只支援Windows 10 SAC、Window 10 企業版LTSC 2018，以及下一代Windows Server LTSC。另外，值得注意的是，Office 2019用戶享有的支援將從5+5縮短為5+近2年。微軟解釋，這是為了配合Office 2016的支援期間，因此延伸支援只會到2025年10月14日終止。
 
未來Office 2019用戶端應用程式只能經由Click-to-Run功能來安裝，而不再提供MSI/Windows Installer安裝方式。Office伺服器軟體則不受影響。
 
和Office 2019一樣，Window 10 企業版LTSC 2018也將於今年秋天釋出，功能與SAC版Windows 10 Enterprise相同。
 
此次更新顯見微軟力促用戶轉向雲端半年更新的Office及Windows。但微軟對Ars Technica表示沒有終結LTSC產品授權的計畫。

現在所有的Google雲端服務（Google Cloud Platform，GCP）都提供客製化角色IAM（Identity and Access Management），讓網管能更細緻且清楚的管理，使用者帳號所能存取的服務以及特殊權限。

Google產品經理Rohit Khare表示，IT的安全目標之一，就是讓對的人用對的方法存取對的資源，客製化角色IAM系統可以實踐最小權限原則，精確賦予使用者可以執行工作的權限。

GCP平臺原本就提供了數百種預先定義的角色，權限大如特定產品的擁有者，或是小如雲端儲存檔案的瀏覽者，而這些預定義角色是由數千種IAM權限組成，而客製化角色IAM的功能，則是讓管理者管理使用者多重GCP服務的IAM權限。

Rohit Khare舉例，當有一個工具專案，需要同時存取Cloud Storage Buckets、BigQuery Tables以及Cloud Spanner Databases服務，首先，由於列舉資料不具解密特權，因此管理者許要先為整個專案授予.query、.decrypt和.get權限。

接著管理者就可以為專案底下的帳號，設立客製化角色IAM權限，例如賦予使用者帳號具備Cloud Storage管理者預定義權限中的Storage.buckets.list和Storage.objects.get的2種權限，接著再從BigQuery瀏覽者預定義權限中選取Bigquery.tables.list和Bigquery.tables.get，以此類推，最後增加Spanner.databases.list和Spanner.databases.get權限，如此便完成設定。

GCP上所有的權限都由相對應的API控制，除了少數測試中或是只提供給預定義角色使用外，幾乎所有的權限都能夠用於客製化設定，陸續也會有新的權限更新，使用者可以在權限變更日誌中找到最新的資料，而且目前所有的GCP服務都提供客製化角色IAM服務。

Rohit Khare建議，他們提供了一些最佳實際範例供管理者參考，而管理者也可以先試著維護自己的客製化角色IAM，以熟悉這項功能，進一步還能整合雲端部屬管理員（Cloud Deployment Manager）使用，自動化管理帳號客製化權限。

又有挖礦程式企圖利用Windows伺服器。安全研究公司Proofpoint發現名為Smominru的殭屍網路程式感染超過50萬台連網Windows伺服器，利用它們來挖Monero幣。而台灣則名列三大節點集中區。
 
Smominru又被稱為Ismo，它從2017年5月就開始在網路上利用美國國家安全局（NSA）外流的攻擊工具EtnernalBlue，開採Windows漏洞CVE-2017-0144散佈、入侵Windows 伺服器，然後利用受害機器來挖Monero幣。才不過一個月前國安局才被影子掮客駭入公佈EnternalBlue等多項攻擊工具。而WannaCry也是約莫同時利用EnternalBlue攻擊全球上百萬電腦。
 
ProofPoint研究人員指出，Smominru最特殊的是它使用Windows Management Infrastructure來散佈。他們根據Monero幣顯示的挖礦算力（hash power）來判斷，被Smominru收編到殭屍網路的機器約是去年5月為害的Adylkuzz的兩倍之多。攻擊者已經透過Smominru挖到將近8,900個Monero幣，本周兌換美元價值約為280萬到360萬美元。它每天可以挖24個Monero幣，等於每周賺進8,500美元。
 
研究人員利用sinkholing手法來分析殭屍網路規模及節點位置，判斷Smominru感染了超過52.6萬台Windows主機以建立殭屍網路，其中多半為伺服器，這些機器分佈各地，但密度最高地區依序為俄羅斯、印度及台灣。（來源：ProofPoint）

 
ProofPoint相信至少有25座主機遭利用EnternalBlue感染新節點以擴增殭屍網路，另外駭客也可能利用EsteemAudit (CVE-2017-0176 RDP)漏洞散播。除了Windows Server，另有研究人員發現SQL Server也遭感染。一家名為SharkTech的伺服器被用來代管殭屍網路的C&C伺服器，研究人員已經通知該公司。
 
同時間研究人員也通知礦池MineXMR封鎖Smominru的Monero錢包地址。數天後，研究人員研判背後的駭客組織已經喪失1/3殭屍網路的控制權。
 
比特幣及類似加密貨幣挖礦已經程式已經成為新一波安全危害。除了Adylkuzz 、Smominru外，去年底也有攻擊者利用EternalBlue入侵Apache Struts漏洞入侵Windows及Linux伺服器來挖Monero幣。根據安全公司Malwarebytes上周報告，2017年起勒索軟體變種速度趨緩，許多原本用來散布勒索軟體的惡意網路開始改為散佈金融木馬及挖礦程式。

近年，Bank 3.0、Fintech席捲全球金融機構，銀行創新教父Brett King所寫的《Bank 3.0》書中指出：「銀行不再是一個地方，而是一種行為。」金融市場上開始出現各種新型態的商業模式，有業者利用人工智慧演算法自動執行理財投資、線上保險、區塊鏈跨境交易或身分驗證等。傳統金融機構背負著數位轉型與創新的壓力。

現在，提供金融服務者，已不見得是銀行。這股Fintech趨勢，模糊了原本劃分明確的金融業務界線，也將各種新技術帶入法遵、監理的領域。此外，近年金融法規變化快速，讓金融業者為了達成法遵要求，不得不提高法遵人員、治理、風險管理的成本。各種因素催生出監理科技（Regtech）這個詞彙。

金管會資訊服務處處長蔡福隆近期出席一場立委許毓仁所舉辦的Regtech論壇，提出金管會對Regtech的意涵解釋。他指出，Regtech從金融業者角度，可譯為「法遵科技」，是指透過整合所有交易、財務和金融行為，提供企業解決監管問題，來符合監理機關的法遵要求。對監理機關而言，Regtech則譯為「監理科技」，運用資訊科技，針對受監理的金融業者充分蒐集所需要的營運資料，並且分析研判，達成風險控管、資安預警與消費者保護等監理目的。

快速變動的金融法規與新興技術成熟，促成Regtech

蔡福隆進一步解釋Regtech的崛起，有兩個因素，包括金融法規變動迅速，以及技術的成熟。他引用研究報告指出，2008年金融危機後，金融法規的罰鍰超過3,000億美金，而且從2008年至2015年間，法遵變化量幅度高達492%。此外，人工智慧、區塊鏈、雲端運算、大數據的技術成熟，將Regtech推向舞臺。

例如，歐盟的通用資料保護規則（GDPR）將在今年5月25日上路，即便是歐盟的法律，但是具備全球的效力，很多企業開始擔心法遵上的成本增高。

「大量的法規變動，就代表著機會跟著來。」Hitachi Vantara金融監理科技服務風險與法遵事務的全球負責人Nirvana Farhadi直言。這位歐美法遵圈的Regtech趨勢家，曾是KMPG合規報告部門主管，更是歐盟監管部門指派參與MiFID II / MIFIR監管標準訂定的首席專家。MiFID II更是今年1月正式啟用的歐盟金融工具市場法規，該規定的影響力遍及全球大企業。

Nirvana Farhadi認為，Regtech的影響範疇不限於金融服務業，只要有法規的地方，就有Regtech。而且Regtech將是一個機會，讓企業可以降低法遵成本，解決資訊孤島（Silo）的問題，也可以讓機構更加有效率。

勤業眾信風險管理諮詢公司總經理萬幼筠則指出，「早期機構間規範比較清楚，管法很好管，但是這3、5年來有個變化，Fintech的大浪潮，它顛覆了一個界線。」

他表示，監理有「機構型監理」與「功能型監理」這兩大類，臺灣及亞洲的大陸系國家皆屬此類。機構型監理是以機構作為監理的基本形式，區分為銀行法、證券交易法、保險法等。但是Fintech讓機構之間不再有明確的劃分，很難再單純以機構型的方式完成監理，法規條文勢必要經常修正跟調整來符合需求。因此，就出現了用科技來應萬變的Regtech。

曾一手建立美國第四大銀行美聯銀行電子金融服務，領導美聯電商部門多年，後來進入學界的杜克大學法學院教授Lawrence Baxter也表示，Fintech創造了Regtech需求。他認為，Fintech的發展，替金融業者產出了大量的資料量，已經不可能單靠人力去監控每一筆交易，因此，業者開始有各種新興工具來做到自動化分析。

這樣的發展，就促進了監管者也必須同樣具備創新的科技力。「今天產出了數以百千的資料點，要怎麼監控？」他指出，唯有透過新技術、自動化的分析才能夠做到。

根據勤業眾信的報告即點出，Regtech重點發展領域有法遵與合規報告、交易監控、身分識別與控管、風險管理這4大類別。

臺灣Regtech尚早，監理沙盒作為創新起點

「現階段金管會的監理方式仍然比較傳統，以財務報表、場外監控的方式去做，金融機構也沒有很多應用AI的部份。」蔡福隆坦言，臺灣在Regtech的發展不是很快，尤其Regtech需要很強的金融實務經驗，金管會希望可以充分跟金融業者合作，提出更多有效的方案。

2017年12月29日，立法院三讀通過「金融科技創新實驗條例草案」，即俗稱的金融監理沙盒。這個外界重視的沙盒法案，讓臺灣成為全球第5個實施監理沙盒的國家，更是第1個大陸法系國家採用監理沙盒。

蔡福隆強調，「沙盒除了提供創新以外，也是社會對話很好的機會。」他舉例，現在掀起全球熱潮的首次代幣發行（ICO，Initial Coin Offering），是許多業者關切的議題，可藉由發行虛擬貨幣來完成籌資的夢想。

外界關注，臺灣ICO究竟會不會合法化？蔡福隆表示，可以透過監理沙盒的機制來討論它的利與弊，它將成為一個推廣創新的著力點。甚至要不要開放比特幣交易所或是其他類型的交易所，都可以透過監理沙盒去探討。

「監理沙盒是一個改變的開始，法案的通過代表著今年會有很多的發展。」蔡福隆說道。

萬幼筠也對金管會的努力給予肯定，雖然過程辛苦，但是現在金管會願意擁抱金融科技也有行動力。尤其去年9月上任的金管會主委顧立雄為法律背景，因此可以充分理解監理沙盒的結構設計。

「監理沙盒是找到未來方向的過渡手法。」他指出，在未來發展未知的情況下，沙盒可以作為一個過渡的手法。現在也不僅僅有金融監理沙盒，無人駕駛器具沙盒、中小企業科技沙盒等，政府也都在研議當中。

Lawrence Baxter也指出，監理沙盒不僅是政府扶植新創業者的方式，也是監管者學習如何應用Regtech的地方。「監理沙盒創造了一個共同實驗的環境。」他表示，暫時的法規豁免，讓業者不用因為跟現有的法規牴觸，而阻礙了商業發展的機會。同時，也是監管者學習新的監管方式的好地方。他直言，Regtech發展先進的地方，就是那些實施監理沙盒的國家。

全世界落實監理沙盒最不遺餘力的英國政府，其在臺辦事處副代表畢騰安（Andrew Pittam）也在這場Regtech論壇上，分享英國在Regtech和金融監理沙盒的經驗。

他指出，英國在2008年的金融危機後，就投入Regtech的發展。而且在2016年6月正式實施監理沙盒，現在已經累積有200個團隊申請進入沙盒。

畢騰安分析，英國監理沙盒成功的原因，包括提供了申請者接觸到監理專家、監管工具的一個絕佳管道。

其次，經過政府審核進入沙盒的申請者，可以獲得多數投資者的青睞。第一梯次的申請者，至少有40%在實驗中，或是下一輪測試之前就有機會獲得外界的投資。

最後一個成功的關鍵是，進入監理沙盒，就像是市場的敲門磚，確保商品有機會商轉。

「科技正在改變整個監管的結構。」Lawrence Baxter比喻，接下來監管者單位會出現「火箭科學家」的人才需求，他用火箭科學家來形容Regtech人才所需要的艱深學問、數據分析能力。萬幼筠也同意，科技法遵人才的缺乏，將是發展Regtech的其中一道難題。

不過，曾經輔導多家歐美金融機構導入Regtech應用的Nirvana Farhadi提醒，Regtech不會是一根魔法棒，只要念出咒語，問題就會解決。尤其「很多機構的資料分散在各單位，甚至取得不易，這就是一種Silos（孤島），也是擁抱Regtech的困難，但不是無法克服。」她建議，企業應該要有策略性的遠見，才有辦法在這一波監理科技的浪潮中領先競爭對手。

中國媒體報導，韓國消費電子大廠LG手機業務在中國業者競爭下，已經於近日退出中國手機市場。

LG北京辦事處於2月初對當地媒體《中國經營網》做出上述表示，其餘並未置評。

近年在中國業者如華為、Oppo、Vivo等業者崛起及強力競爭下，除了蘋果、三星外，包括LG在內的所有二線業者市場均遭受擠壓。事實上，蘋果在中國市場之前幾季已連續出貨下滑，直到上季才再現成長。此外，零組件成本上漲、以及中國市場成長減緩，也讓手機業者挑戰雪上加霜。 

根據LG財報，面臨嚴峻市場挑戰和中國品牌競爭下，LG行動通訊部門去年第4季營運虧損達1.9億美元，智慧型手機全球出貨1390萬支，雖較上季成長2%，但較前一年同期下滑1%。AndroidPolice 報導，LG自2016年推出LG G5 SE後，即未在中國推出新機。

根據研究機構IDC的數據，去年第3季三星與蘋果分別以22.3%及12.5%佔據全球智慧型手機前兩名。三到五名皆為中國業者，包括華為（10.5%）、Oppo（8.2%）及小米（7.4%）。

蘋果近日指出，有少數比例的iPhone 7就算是在有電信網路覆蓋下仍會顯示「無服務」（No Service）狀態，這是因為手機主機板的其中一個零件故障，將由蘋果免費維修。同時蘋果也正在調查iPhone X用戶抱怨手機只聽得到鈴聲，卻無法接聽的問題。

這批受到影響的iPhone 7是在2016年9月至2018年2月間所生產，銷售地區包括中國、香港、日本、澳門與美國，iPhone 7用戶可檢查手機背後的型號來判斷是否受到影響，涵蓋型號為A1660、A1780、A1660與A1779的iPhone 7裝置。(來源：Apple)

那些受到波及並已自行維修的iPhone 7用戶將會收到蘋果的電子郵件通知，以處理退款事宜。

至於iPhone的十周年紀念版、售價高達999美元的iPhone X 也遭到用戶抱怨。用戶宣稱iPhone X鈴響時，要6到8秒之後，螢幕上才會顯示接聽畫面，重新開機之後，問題便自動解決，但在接聽15通電話以後同樣的問題會再度出現。

由於有數百名iPhone X用戶都遭遇此一問題，蘋果對外證實已展開調查。

市場研究機構IDC上周公布了去年第四季的全球智慧型手機市場調查報告，顯示2017年Q4的全球手機出貨量為4.03億支，比2016年同期少了6.3%，此外，蘋果在該季超越了三星，成為全球最大的智慧型手機製造商。

IDC指出，全球智慧型手機出貨量的衰退源自於消費者並不急著升級到新一台的高價位旗鑑機種。IDC研究經理Anthony Scarsella認為，這些高階機種被視為是奢侈品而非必需品，就算它們具備無邊框、先進的生物辨識技術或更好的人工智慧能力，但它們的價格已經凌駕新功能所帶來的好處。

另一方面，蘋果在2017年Q4的出貨量達到7730萬支，以19.2%的市佔率超越三星的7410萬支與18.4%的市佔，成為全球最大的智慧型手機製造商。(來源：IDC)

IDC指出，這是蘋果的機海策略奏效了，iPhone 8、iPhone 8 Plus與iPhone X等不同規格與價格的iPhone吸引了更廣泛的消費者。

去年第四季全球前五大智慧型手機製造商依序是蘋果（19.2%）、三星（18.4%）、華為（10.2%）、小米（7.0%）與OPPO（6.8%），當中除了小米之外，所有業者的出貨量皆是下滑的，小米出貨量逆勢成長了96.9%。

小米的成長歸功於該公司跨出中國，搶佔印度與俄國市場，也在去年第四季成為印度最大的智慧型手機製造商。在印度推出只要78元的低價手機Redmi 5A在上市一個月內便售出100萬支。

全球智慧型手機市場的競爭主要分為兩大領域，一是由蘋果、三星及華為所競逐的高階市場，而小米、OPPO、Vivo與Honor則在低階市場廝殺，且競爭更為激烈。

開源社群於本周釋出了Linux核心運行保鏢（Linux Kernel Runtime Guard ，LKRG），這是一個可加載的核心模組，可用來檢查Linux核心的運行完整性，以及偵測針對該核心的攻擊。LKRG現處於早期實驗階段，版本仍為LKRG 0.0，目前僅支援64位元的x86與AMD架構，並已開放下載。

LKRG有兩大功能，一是在Linux作業系統中開發延伸功能時實施各種規定，以避免那些不被Linux核心支援的變更，其次則是能偵測針對核心的攻擊，例如當核心要根據未授權的憑證賦予存取權時加以攔阻。

Openwall開源專案團隊指出，LKRG除了能夠防禦針對Linux核心漏洞的既有攻擊程式，也能防禦尚未出現的未來攻擊程式，除非攻擊程式具備了繞過LKRG的機制。

除了免費的LKRG版本之外，未來可能會因應企圖破解LKRG的攻擊程式供應付費的LKRG專業版（LKRG PRO）。

LKRG是個核心模組，而非修補程式，可加載在各種版本的Linux核心上，從RHEL7、 Ubuntu 16.04到最新的版本，測試顯示它已可偵測到針對CVE-2014-9322、 CVE-2017-5123及CVE-2017-6074等安全漏洞的攻擊，但無法偵測到鎖定重大安全漏洞Dirty COW（CVE-2016-5195）的攻擊。

尚屬早期實驗階段的LKRG並未聚焦於效能的最佳化，在採用Atom C2750及John the Ripper 1.8.0的平台上約莫帶來6.5%的效能影響。

玉山金控今日證實找來臺灣人工智慧學校執行長陳昇瑋擔任科技長一職，但是尚未透露科技長實際負責的業務，明天（6日）舉行2017Q4法說會才會正式對外宣布，法說會將由玉山總經理黃男州親自出席主持。陳昇瑋則表示，科技長的職位將會負責一些科技策略的規劃。

陳昇瑋目前為臺灣人工智慧學校執行長，課程都由他一手策畫，日前剛舉行開學典禮宣布第一屆課程正式開始，期望為臺灣培育出產業AI化的人才。他更是臺灣資料科學浪潮的關鍵推手，從2014年舉辦資料科學愛好者年會開始，成了全臺資料科學產學交流的主要聚會，後來更成立了台灣資料科學協會，去年也進一步衍生出臺灣人工智慧年會。

而玉山金控在過去一年對於新科技與AI應用也是相當積極，去年搶先全臺推出玉山小i隨身金融顧問Chatbot，也與臺大研究團隊利用機器學習和演算法，鎖定精準行銷打造，更進階KYC系統等應用。

加州監理站（Department of Motor Vehicles，DMV）本周公布了2017年的自駕車解除自駕（disengagement）報告，顯示Alphabet旗下的Waymo自駕車隊因意外或故障而需人類接管自駕車的平均里程數變長了，解除自駕的機率最低，居次的則是GM的自駕車部門Cruise。

這些報告是由在加州展開自駕車測試的50家業者自行提供，計算的是自2016年12月到2017年11月間自駕車測試的解除自駕狀況。

Waymo在報告中指出，在這一年間，Waymo於加州總計完成了352,545英里的自駕車測試，必須由駕駛接管自駕車的次數為63次，顯示平均每5,596英里就會發生一次解除自駕的事件，機率從0.2%下滑到0.18%。

觀察Waymo的報告可發現，讓駕駛人接管自駕車最常見的原因是不該有的駕駛策略（unwanted
maneuver of the vehicle），佔了19次，居次的是認知問題（perception discrepancy），佔了16次，硬體問題亦佔了13次，其它還包括軟體問題、對其它車輛行為的預測錯誤，以及遇到莽撞的用路人等。

至於Cruise的自駕車去年則在加州行駛了125,000英里，解除自駕的次數為105次，解除自駕的平均里程為1,190英里。

排名第三的是Nissan的5,007英里的總行駛里程，以及24次的解除自駕。除了上述之外，不少業者在該年並未於加州進行公開道路的自駕車測試，或者數字令人不忍卒讀。例如百度的自駕車在該年只行駛了1,971英里，解除自駕的次數就達到了48次。

即便Waymo改善了必須由人類接手自駕車的機率，但這對於真正實現自駕車上路的願景而言仍有一段距離。

企業在追求應用程式快速部署而導入DevOps，但同時安全性議題也不容被輕忽。叫車服務公司Lyft安全團隊在部落格發表文章，講述Lyft在DevOps環境如何兼顧應用程式安全性，不只是DevOps，而且是DevSecOps。

前維基百科安全工程師，現任的Lyft安全工程師Chris Steipp表示，Lyft開發程序是極度DevOps的環境。不同的團隊負責不同的產品，每個團隊都須達到各自的服務等級協定（Service-Level Agreement，SLA）以及回應時間等要求。每個團隊也都擁有完全控制自己產品的自由，包括決定產品建立以及執行的方式，甚至是產品更新的頻率，不少團隊選擇一天部署產品數次已增加新功能，不過在這個自由背後，隨之而來的責任是，這些團隊也必須為產品的安全性負責，像是確保安全性議題在時間內修補等工作。

Chris Steipp提到，在這樣的情況下，要在既有開發流程中，增加AppSec計畫是極度勞力密集的工作，不只要重新思考團隊如何互相配合，還要開發自動化整合安全工具，來整合現行的開發流。他認為，Lyft的AppSec計畫的成功，有三點值得拿出來分享，第一、每一件都需要被測量，第二、在對的時間發訊息給開發者，並尊重開發者的時間，第三、整個開發過程需持續性的回饋循環。

工具跟程序都需要可被測量，不僅僅是為了收集數據的目的，而是要讓團隊隨時注意指標，部分指標由AppSec團隊監控，但更有效率的方法則是由開發團隊自己監控，並對上面的數值負責。現在Lyft中每個開發團隊，都有一個以上的儀錶板，上面顯示著錯誤率、回應時間，或是符合SLA服務的百分比等數據。AppSec團隊的角色只在於提供儀錶板服務，以及追蹤過期卻未被修補的程序。

在AppSec計畫中，成功要素之二，在對的時間發訊息給開發者，並尊重開發者的時間。Chris Steipp指出，開發者每天都會收到來自各部門重要且有用的訊息，因此安全相關的訊息很容易被過濾掉，或是跟著其他訊息一樣，沉入待處理的工作堆中，直到前面工作被消耗完才會被注意到。

Chris Steipp也同意，作為有效率的開發者，的確需要設定許多訊息過濾條件以提高工作效率，但當AppSec團隊明確的告訴開發團隊本月是網路安全月，開發者就不應將XSS或是釣魚關鍵詞，作為訊息過濾條件。AppSec也應在適當的時機發出警告，像是在工程師開發新前端程式時，提醒他們要注意跨站腳本攻擊，或是他們在閱讀可疑郵件時，提醒他們網路釣魚攻擊。

在要求開發者重視安全性的同時，也必須尊重他們的時間，在不少時候，安全性工具在開發流程中可能造成訊息誤報，而導致後續作業受到阻礙。Chris Steipp說，曾經他們在GitHub上Pull Request前的統計分析系統，由於不精確的訊息回饋，造成工程師在合併程式碼時浪費許多時間，AppSec團隊收到反應後，為此開發了一套系統每30秒回饋系統狀態，大幅將每次程式碼合併的時間從1小時降到了7分鐘。尊重工程師的時間，AppSec團隊的安全性工作也才會被尊重。

第三點，整個開發過程需持續性的回饋循環。即使他們的AppSec團隊不大，但他們仍可以在開發流程中的13個時間點與開發者互動，這要歸功於高度自動化的工具，而且在實作自動化系統時，盡量讓上一個工具的輸出成為下一個工具的輸入。

像是他們讓開發團隊使用自動化評估問卷，以記錄團隊正在儲存資料的種類，以及儲存的地方，基於開發團隊自己的答案，如此在適當的時機提供反饋避免開發上的錯誤外，還能根據某些特徵，方便AppSec團隊進行稽核，並且將這些數據結果繪成數據圖，作為審查或外部安全評估之用。

韓國現代汽車（Hyundai）於本周日（2/4）揭露具備Level 4自駕車技術的燃料電池自動車（Fuel Cell Electric Vehicle，FCEV）SUV Nexo。同時也宣布，有5輛Level 4自駕車完成南韓首趟最長的自動駕駛路途，自駕車從首爾一路開到平昌，共190公里。

根據現代汽車官網，這5輛Level 4自駕車在2月2日，以自動駕駛模式，從首爾上路，一路開至平昌。這也是首次自駕車以自動駕駛模式，用時速100～110公里，在南韓高速公路上進行長途駕駛，且在高速公路上，自駕車也執行了變換車道和超車的演練，以及在自駕車通過收費站時，用南韓無線高速公路支付系統Hi-pass支付通行費用。

在這5臺自駕車中，有3臺是現代汽車預計在3月上市的SUV Nexo，另外2臺則是Genesis G80，且這些自駕車皆具備5G網路技術。現代汽車表示，利用5G網路技術，自駕車將提供車對家（Car-to-Home）服務Home Connect，提供使用者能查看並控制家中的物聯網（IoT）裝置。

現代汽車預計，在2018年上半年，於車輛上搭載家對車（Home-to-Car）服務，並計畫在2019年，提供車對家（Car-to-Home）服務。另外，現代汽車也將在新一代自駕車車輛上提供語音助理Assistant Chat、健康照護Wellness Care、車艙降噪Noise-Away、氣氛照明Mood Care、卡拉OK應用程式Everysing等功能。

而現代汽車進行了數十萬公里里程的自駕車公路測試，累積了大量的資料，這些資料有助於現代汽車提升自駕車車輛的效能。現代汽車聲稱，燃料電池自動車Nexo SUV充電一次約5分鐘，就能行駛600多公里。另外，現代汽車也宣稱，SUV Nexo燃料電池自動車是全球第一臺Level 4的環保自駕車。

除此之外，現代汽車也計畫在2021年，要商業化Level 4自動駕駛系統，並計畫在2030年達到全自動駕駛的目標。為此，現代汽車在CES 2018大會上宣布與美國自動駕駛新創公司Aurora Innovation合作，共同研發自動駕駛技術。

來自臉書（Facebook）與Google等科技巨頭等前員工在近日組成了「人文科技中心」（ Center for Humane Technology）並攜手兒童保護組織Common Sense共同發起名為「科技真相」（Truth About Tech）的活動以對抗「數位成癮」（digital addiction）。

Center for Humane Technology的成員包含Facebook的前營運經理Sandy Parakilas、建立Facebook「讚」按鍵的Justin Rosenstein，Facebook的早期投資人Roger McNamee，還有曾任職於Google及蘋果的Lynn Fox等。

該組織認為，不管是Facebook、Twitter、Instagram或Google都製造了讓全球受惠的驚人產品，但同時這些企業也陷入了爭取用戶關注的競賽，必須藉由各種技術來創造使用者黏度，它們所帶來的無形問題卻影響了全人類社會。

例如提供閃電般對話的Snapchat重新定義了兒童衡量友誼的標準，藉由照片美化人們生活的Instagram則侵蝕了自我價值，臉書上紛飛的錯誤訊息分裂了社群，會持續自動播放的YouTube則剝奪了人們的睡眠，它們並非中性的產品，而都是專門為了讓人們上癮所設計的系統。

舖天蓋地而來的數位技術已讓人們感到憂心，日前蘋果投資人批評iPhone會讓兒童成癮，蘋果執行長Tim Cook也曾公開表示不想讓自己的姪子們使用社交網路。

「科技真相」活動則是一個關心數位時代兒童健康與幸福的指南，將督促科技業者打造不那麼容易上癮的產品，重視人類價值勝過獲利，支援相關研究；並打算教育家長、老師與兒童，讓他們知道科技的風險並培養健康的媒體習慣；創造更好的工具來取得高品質資訊，以成為更好的數位公民。

兒童與青少年的數位成癮問題愈來愈受重視，全球有1/3的網路用戶為青少年，且美國8歲以下的兒童中，有98%在家會使用行動裝置。此外，研究顯示有高達40%的兒童曾參與網路霸凌事件，每天使用電子裝置超過5小時的青少年有48%曾想過自殺，78%的青少年每小時都會檢查手機訊息。

Common Sense執行長James Steyer表示，他們相信當家長了解企業如何利用他們的小孩時，就會加入此一活動，並號召產業的改革。

曾為Google內部的倫理學家，現擔任Common Sense高級研究員的Tristan Harris指出，全球最強大科技業者的蓄意決定已帶來莫大的傷害，它們創造了注意力經濟，全力吸引並維繫人們的注意力，不論是技術人員、工程師或設計師都該負起責任，建立可讓世界更為美好的產品，例如提供可改善生活的資訊，而非只是為了讓人們上癮。

這兩大組織還計畫在全美的55,000所公立學校以「反科技成癮」為訴求展開遊說及廣告活動。