超過7成企業持續展開數位轉型，也帶動IT預算從2017年的低潮，開始爬升，今年是連續第二年的預算正成長，而且IT投資成長率達到兩位數的10.5％，與2016年相當。資安、IT穩定和提升營運效率是CIO今年最重要的三大目標

繪圖晶片大廠Nvidia於本周發表了鎖定嵌入式裝置開發者、研究人員、自造者（DIY Maker）及學生的迷你AI電腦：Jetson Nano，售價為99美元，以協助開發人員打造具備人工智慧能力的裝置，另也推出可支援商業應用的Jetson Nano模組，售價為129美元。

Jetson Nano搭載了64位元的4核心ARM CPU，以及128核心的Nvidia GPU，並內建4GB的LPDDR4記憶體，尺寸為80x100mm，有4個USB 3.0傳輸埠、1個MIPI CSI-2相機連接埠、HDMI 2.0連接埠、DisplayPort 1.3連接埠、Gigabit Ethernet傳輸埠、M.2 Key-E模組、MicroSD插槽與40接腳的GPIO，且可支援完整的桌面版Linux。

它能用來執行各種熱門的機器學習框架，涵蓋TensorFlow、PyTorch、Caffe/Caffe2、 Keras及MXNet等，藉由導入諸如影像辨識、物件偵測、定位、姿勢估計、語義切割、影片強化或智慧分析等能力來打造自動化機器與複雜的AI系統，包括行動機器人、無人機、數位助理或自動化裝置等。即日起開放購買，使用者可透過經銷售或各家自造者網站購得。

Nvidia自主機器總經理Deepu Talla表示，Jetson Nano使得大家更容易存取AI的能力，而且它的底層架構與軟體與美國國家級的超級電腦一致，可望帶來更多的創新，激勵人們打造下一波的偉大事物。

相較之下，Jetson Nano Module則是個體積更小的模組，只有45x70mm，它具備處理器、記憶體、電源管理電話，內建16GB的eMMC儲存空間，允許開發人員直接將它整合到生產系統上，售價為129美元，預計於明年6月出貨，最小訂購量為1,000個。

除了Nvidia之外，市場上已有其它業者推出強調AI的入門級運算裝置，例如英特爾在2017年發表的神經運算棒Movidius Neural Compute Stick，或者是Google於日前揭露的本地AI平台Coral。

提供符合歐盟ePrivacy及GDPR法令的線上追蹤及Cookie解決方案的丹麥業者Cookiebot指出，歐盟地區有超過89%的政府網站含有來自第三方的廣告追蹤機制，而這些第三方業者的數量則多達112家，當中的「追蹤之王」則是Google。

Cookiebot掃描了28個位於歐盟內的政府網站，發現其中有25個網站含有廣告追蹤機制，更準確地說是184,683個網頁含有追蹤機制。

這些第三方的廣告業者會盡可能地散播廣告追蹤機制，當使用者造訪這些頁面時，業者就能於使用者的瀏覽器上置入獨特的標識符，藉以紀錄使用者的瀏覽行為，包括使用者所造訪的網站、停留時間、滾動頁面的速度與模式、點擊或徘徊的內容，將這些行為資料與其它資訊結合就能建立個別使用者的檔案。此外，業者之間還會透過同步Cookie、來交換使用者的標識符，意謂著它們將擁有更多的使用者數據，也許還能篩選出使用者的電子郵件、社交媒體帳號或真實姓名等。

而這些未徵求使用者同意即植入廣告追蹤機制的第三方業者有52家在法國的政府網站上出沒，27家聚集在拉脫維亞，分別有19家及18家位於比利時與希臘，只有西班牙、德國與荷蘭的政府網站上沒有出現廣告追蹤機制。

Cookiebot分析，政府網站通常不必仰賴廣告營收，而且更有遵循GDPR的義務與責任，然而它們的網站卻依然被廣告追蹤器給滲透。

除了政府機關的網站之外，業者的足跡也出現在歐盟地區的公共衛生服務網站，有52%的相關網站被植入了廣告追蹤機制，從這些追蹤機制的聚集狀態也可看出業者的興趣，例如法國有一關於墮胎單一網頁就吸引了21家業者，德國有一攸關產假的單一網頁更聚集了63家業者。

Cookiebot發現，在政府網站的前五大追蹤機制中，有3個屬於Google，鎖定公共衛生服務的前兩大追蹤機制都是源自Google，估計Google總計追蹤了歐盟地區82%的政府網站及43%的公共衛生服務網站的使用者行為。

然而，目前上述都處於ePrivacy與GDPR法令的「模糊合法」地帶，Cookiebot則認為使用者應該有知情的權利，呼籲業者在進行追蹤之前最好先徵求使用者同意。

Cloudflare釋出新資安檢測工具，方便網站檢查TLS連線是否遭到攔截，檢測易受攻擊的用戶端，並在安全性受威脅或是降級時通知他們。新工具為檢測HTTPS攔截（HTTPS interception）的開源函式庫MITMEngine，以及Cloudflare使用MITMEngine打造，用來監控自家網路，顯示HTTPS攔截統計資料的儀表板MALCOLM。

在最單純的HTTPS連接情況下，客戶端瀏覽器和伺服器建立TLS連接，以發送請求和下載內容，但在網際網路上，許多連接並非直接從瀏覽器連線到網站的伺服器，而是經過許多中介，這些中介可能出於惡意或是良善的目的進行HTTPS攔截。

Cloudflare引用了2017年的研究指出，HTTPS攔截在網際網路上普遍發生，而且62％的流量經過中介後安全性下降，因此現在Cloudflare提供HTTPS攔截偵測工具，讓使用者知道網站連線是否遭到攔截。Cloudflare提到，檢測HTTPS攔截可以幫助伺服器辨識，可疑或是易受攻擊的客戶端，伺服器可以使用這些資訊，通知用戶他們的連線可能遭到降級或是存在風險。

另外，內容檢查系統也會削弱TLS連接的安全性，當使用者的連線通過較舊的中介，則其連線就可能被降級使用較舊的TLS版本，這樣即便在瀏覽器端跟伺服器端都支援較新版本，但當伺服器端無從得知連線遭HTTPS攔截，就無法使用較新TLS版本的功能。

Cloudflare釋出的MITMEngine工具，能夠精確的偵測HTTPS攔截，還具有強健的TLS指紋辨識能力。Cloudflare提到。不少TLS客戶端實作能被以唯一客戶端Hello訊息辨識，因此要辨識遭到截獲的HTTPS請求，伺服器可以查詢與請求的HTTP用戶代理相對應簽章，並檢查客戶端Hello訊息與該簽章是否相符，簽章不符就表示可以能是欺騙代理或是遭攔截的HTTPS。

MITMEngine是一個開源的HTTPS攔截偵測器，為Go語言撰寫的函式庫，可用取得用戶代理和TLS客戶端的指紋，並回傳HTTPS攔截的可能性，以及用於識別攔截的要素。透過比較資料的差異，MITMEngine能夠精確地偵測HTTPS攔截，還能判斷攔截的時間以及可能使用的軟體。

另一個可供大眾存取的儀表板工具MALCOLM，則顯示使用MITMEngine收集的HTTPS攔截統計資料，而這些資料來自Cloudflare的網路，Cloudflare將MITMEngine應用在他們的網路上，觀察網路請求的HTTPS攔截。

Cloudflare表示，他們使用MITMEngine和MALCOLM兩個工具，能夠持續追蹤超過網際網路10％流量的HTTPS攔截狀態，以作為部署新的安全功能或是協定上的參考，也能密切關注可疑軟體。

Mozilla即將釋出最新版瀏覽器Firefox 66版，新增自動播放聲音的網頁影片消音、減少廣告下載導致網頁內容跳動、允許跨頁籤搜尋與隱私搜尋、支援Windows Hello等功能。

Firefox 66最大的改進是加入Block Autoplay的功能，防止網頁自動播放有聲影片。Block Autoplay可以偵測網頁中自動播放出有聲音的影片，並使之暫停播放，使用者如果想看影片，必須按下播放鍵。但如果網頁自動播放的是無聲音的影片，這項功能就不會啟動。使用者可在此下載最新版Firefox。

使用者設定白名單就能使網站免於Block Autoplay的封鎖。若是Netflix、Hulu或YouTube等允許持續播放影片的網站，也必須將網站加入白名單中。使用者只要按下網址列上內含小寫英文字母i的圈圈，即可找到「白名單（Permission）」，按下下拉式選單的「允許」即可。

Google Chrome於去年的66版即已加入自動為影片消音的功能，但是較不完整。Chrome預設是允許播放1000多個網站的影音，其他的才會封鎖。如果想全部封鎖，則必須在網址列輸入chrome://flags/#autoplay-policy找到自動播放設定，再將設定值改成「Document user activation is required」。

此外，過去由於網頁的圖片及廣告下載較慢，會在這些物件下載同時造成先載入文字上下跳動，讓用戶正在看的內容跑掉。Firefox 66將加入瀏覽錨點，使網頁文字固定，不再被廣告及圖片打斷閱讀。

最後，Firefox還強化二項搜尋功能。一為跨頁籤搜尋，Firefox 66加入tab overflow menu，按下用於新開頁籤的「+」號右邊向下箭頭，即可讓使用者跨頁籤搜尋網頁上的特定文字，不需再逐一搜尋。第二為隱私搜尋；針對有些用戶不希望搜尋關鍵字被搜尋引擎記錄下來，最新版Firefox中，啟動「隱私瀏覽Private Browsing」時開新頁籤時會看到有預設搜尋引擎（如Google、Bing、DuckDuckGo、eBay、Wikipedia、Twitter）的搜尋列。用戶可到「偏好設定」、「搜尋」中設定「預設搜尋引擎」。

Firefox 66其他新增功能包括更清楚顯示網頁安全憑證的警告、改善擴充程式設定儲存的方式以加速網頁載入。最後，在Windows 10版中，Firefox也將支援微軟Windows Hello生物辨識功能。在Windows 10 19H1釋出後，Firefox用戶就可以以非密碼的指紋、臉部辨識或剛剛成為業界標準WebAuthn的FIDO 2硬體安全金鑰來完成身份驗證。

微軟自家的防毒及防惡意程式軟體疑似病毒定義檔升級出包，造成包括Windows 7、8電腦及少數Windows 伺服器上的Windows Defender Antivirus、Endpoint Protection及Microsoft Security Essentials當機。

本周陸續有用戶在微軟Technet論壇、Reddit上反映，他們系統上的微軟防毒軟體升級後傳出當機災情，並顯示0x800106ba的錯誤代碼，理由是一個過濾的驅動程式意外被遺漏。根據BleepingComputer報導，受影響的系統包括Windows 7、8，以及 Windows Server 2003、2008 與2012等。唯Windows 10不受影響。

這些用戶共同特徵是為其微軟安全軟體升級病毒及間諜程式特徵定義檔1.289.1521.0版本。微軟證實各地都有用戶反映本情況，但強調問題僅限於Windows 7及Server 2008。微軟承諾儘量在幾小時內釋出1.289.1573.0版本的病毒加間諜程式定義檔。

在解決問題的定義檔釋出前，使用者可以按微軟說明回覆舊版定義檔，並關閉更新功能以封鎖有問題的定義檔案。

Google於本周舉行的遊戲開發者大會（Game Developers Conference）上展示了遊戲串流平台Stadia，宣稱將把遊戲機品質的遊戲送到Chrome/Android裝置及電視上，且預計今年就會先行在美國、加拿大、英國與其它歐洲國家推出。

Stadia奠基在Google的資料中心與網路架構上，它能立即將遊戲傳送到電視、筆電、桌上型電腦、平板電腦或是手機上，目標是可遞送具4K解析度、每秒60個高動態範圍（HDR）畫面與環繞音效等高品質的遊戲，宣稱可擺脫傳統遊戲機與個人電腦在資源上的限制。

負責Stadia的Google副總裁Phil Harrison表示，Stadia將讓開發人員可利用幾乎無窮盡的資源來打造他們夢想中的遊戲，它是一個集結伺服器等級GPU、CPU、記憶體與儲存能力的硬體堆疊，若再加上Google的資料中心架構，Stadia的發展速度將能跟上遊戲創作者的想像力。

此外，Stadia還能跟YouTube等Google服務整合，例如當玩家在YouTube上觀賞《刺客教條：奧德賽》（Assassin's Creed Odyssey）遊戲時，只要按下「馬上玩」（play now）按鍵，幾秒內就能進入遊戲，完全不需下載或安裝。

Google也替Stadia設計了專用的遊戲控制器，該控制器可透過Wi-Fi連結Google資料中心，控制器上有可捕捉、儲存及分享遊戲畫面的按鍵，亦內建Google Assistant與麥克風。

Google已經寄出逾100組Stadia開發硬體予全球的遊戲工作室，相關硬體搭載2.7GHz處理器與16GB記憶體，運算效能為10.7 teraflops，高於Xbox One X的6.0 teraflops或PS4 Pro的4.2  teraflops。

受到年輕族群青睞的照片分享平台Instagram（IG）於本周發表了全新的購物服務Checkout，當使用者在IG上看到各家品牌所發表的產品時，只要在產品頁面上點選「結帳」（Checkout on Instagram），就能在IG上完成購買的程序，而不必再像過去一樣必須連結至商家網頁進行結帳。

各家品牌業者經常透過IG展示最新商品，直接於IG程式中提供購買服務可望提高消費者的購買率。當點選「結帳」之後，消費者可再選擇尺寸、顏色，若是第一次購買則必須輸入消費者的姓名、電子郵件、帳單資訊與遞送地址，之後IG即會儲存這些資訊以方便消費者下次購物。而消費者也能直接於IG中接到出貨或遞送通知。

目前該服務僅在美國試行，現有逾20家業者參與IG的封閉測試，包括Adidas、Nike、Burberry、MAC Cosmetics、Prada與Zara等。

繼Spotify後，安全廠商卡巴斯基周二也宣佈在俄羅斯控告蘋果利用App Store不公平手段限制對手發展類似的產品功能，以便為自己的家長控管軟體護航。

卡巴斯基表示去年接到蘋果通知說他們的iOS 版Kaspersky Safe Kids app違反了App Store的app管理政策2.5.1條款，要求移除其中兩項功能。蘋果指Kaspersky Safe Kids app的組態資料檔違反App Store政策，因此必須移除app控制及Safari瀏覽器內容封鎖兩項功能，以便通過蘋果的審查。

第一項功能是讓家長根據App Store年齡限制，指定哪些app孩童不可以執行。第二項則可隱私iOS裝置上的所有瀏覽器，讓孩童只能利用該app內建的安全瀏覽器上網，以避免接觸到不安全的內容。

除了卡巴斯基外，其他提供家長控制的app AdGuard和Kidslox也有類似遭遇，前者最近被從App Store下架，後者則是無法提供更新版。卡巴斯基指出，它的Kaspersky Safe Kids app代管於App Store上，推出近三年來完全符合平台所有規定，因此忽然發生變化相當耐人尋味。他們認為這極可能和蘋果於iOS 12加入了Screen Time功能有關，它讓使用者得以監控他們對特定app或網站的使用時間，進而設定時間限制，基本上就是一個家長控管功能。

卡巴斯基認為蘋果正在利用其作為iOS app唯一平台擁有者及監督者的特權，以限制性規則對其他家長控管app開發商造成不公平競爭。如此一來，競爭者將流失使用者、導致收入下滑，更重要的是使用者可能因未能使用重要安全功能而受害。

卡巴斯基指出，蘋果作為唯一通道的擁有者透過自定規則，將霸權擴大到鄰近其他市場，也就是蘋果才剛涉足的家長控管軟體領域，該公司相信蘋果對其軟體豎立起經營障礙及實行歧視性作法，這行為已經違反了反托拉斯法。卡巴斯基數度和蘋果溝通解決，卻沒有獲得回應，因而決定向俄羅斯的反壟斷主管機關Federal Antimonopoly Service提出控訴。

2017年卡巴斯基也曾因為Windows 10搭載微軟自家防毒軟體，又對其搞小動作而在歐盟及德國控告微軟。二個月後微軟讓步，卡巴斯基最後撤告。

這項官司也是近來第二家業者控告蘋果App Store排擠對手。英國串流音樂平台Spotify也向歐盟控告App Store收取蘋果稅，並以不公平的管理手段限制其對手的功能更新或業務行為。

蘋果更新了一體成型的iMac桌上型電腦產品線，新一代的21.5吋iMac採用了6核心的英特爾第8代處理器，效能比前一代快上60%，27吋iMac則搭載6核心或8核心的英特爾第9代處理器，效能最高可達前一代的2.4倍。

此外，不管是21.5吋或27吋的iMac皆搭載了AMD的Radeon Pro Vega繪圖處理器，在21.5吋的iMac上最多可提高80%的繪圖效能，27吋iMac也能提升50%的繪圖效能，可支援3D內容開發、具複雜效果的影片編輯，或是高解析度的遊戲設計等應用。

21.5吋的iMac配備Retina 4K螢幕，依照處理器與硬碟規格不同而有1,299美元及1,499美元兩種售價，台灣售價分別為41,900元新台幣與47,900元新台幣。

27吋iMac全都配備Retina 5K螢幕，根據處理器、Turbo Boost及儲存空間的不同則有1,799美元、1,999美元及2,299美元3種售價，台灣售價分別為57,900元、63,900元及72,900元新台幣。

新一代iMac即將於下周上架，台灣蘋果官網的售價雖已出爐，但尚未開放訂購，也未公布出貨時程。

此次蘋果並未更新入門款的iMac，21.5吋的入門款是iMac家族中唯一未採用Retina螢幕的版本，且配備較舊的英特爾第7代雙核心處理器，但售價也相對親民，維持1,099美元的售價，台灣售價則是35,900元新台幣，且即日可出貨。

03/16-03/22

 富邦人壽   保險科技  
富邦人壽今年將力推保險科技，還要整合數位足跡追蹤保戶消費習慣
富邦人壽在3月18日表示，隨著消費者行為的轉變，以及消費習慣的養成，網路投保勢必成為趨勢，加上主管機關逐步開放保險法令，他們也將持續發展多元化的保險商品，並以電子商務模式，讓消費者在一站式的介面購買保險， 2019年將持續導入保險科技（Insurtech），優化顧客在網路投保的體驗。

另外，富邦人壽也會整合使用者在線上的數位足跡，進行大數據的比對與分析，來掌握網路投保保戶的消費習慣。根據金管會先前公布的2018全年網路投保情況，壽險業網路投保合計投保保費收入達18.95億元，其中，富邦人壽去年以6.64億元居冠。

 區塊鏈   信任  
資安大師Bruce Schneier大批區塊鏈沒那麼值得信任，以太坊與萊特幣創辦人親自回應

國際知名資安大師Bruce Schneier在其部落格發表一篇專欄，以安全與信任的角度，質疑區塊鏈技術帶來的價值。他提到，區塊鏈要把對人與機構的信任，轉移到對技術的信任。但驗證與信任，是兩碼子事。加密貨幣交易所遭駭時有耳聞，Bruce Schneier認為，當區塊鏈沒那麼安全時，還是得回歸到傳統的信任機制。且區塊鏈並不能消除人們對中心化機構信任的需要，人們仍需掌控事物，並在區塊鏈系統以外進行治理。他更指出，任何區塊鏈系統，都須與其他傳統的系統共生共存。

對此，以太坊創辦人Vitalik Buterin，以及萊特幣創辦人Charlie Lee在一場論壇中，回應了他們的觀點。Vitalik表示，區塊鏈基本上可解決部分信任問題，不過，一旦應用與實際世界的環境有相關時，區塊鏈是有它的限制或障礙存在，比如區塊鏈不會知道臺灣現在的幣值、溫度或其他實體環境中的事情，所以要看應用範圍而定。Charlie則認同Bruce Schneier的看法，他表示有些區塊鏈以外的資訊，的確需要由中心化系統，來輸入真實數據到區塊鏈上，到後來還是得相信中心化機構，確保資料的真實性。 

 王道銀行   大數據貼標  
王道銀行用戶破26萬人，開始靠大數據貼標強化產品推薦

全臺第一家數位銀行王道銀行最近揭露2年營運成果，目前已突破26萬用戶，在全臺數位銀行的市占率約3成。該公司董事長駱錦明表示，過去2年王道投資了20億元在軟體與硬體，以及招募數位人才，他的目標是今年營收增加5成。 王道銀行數據經營部資深協理劉美美更揭露，王道從2018年中開始進行大數據貼標，數據來源包括客戶內部交易、數位通路、社群與客服的資料，不論是結構化或非結構化資料都能涵蓋。她指出，客戶貼標後，就像建立了Customer DNA，讓王道可以推薦適合客戶的金融產品或服務。

 樂天   點數  
樂天市場擴大在臺生態系布局，臺日樂天點數下半年將可雙向轉換
台灣樂天市場宣布，臺日樂天市場的超級點數今年將可以雙向跨境交換，讓日本樂天超級點數可轉換在臺灣使用，強化兩地樂天生態圈，台灣樂天市場執行長羅雅薰透露，新的交換機制有望在今年下半年，正式上線，並會推出一個新的點數轉換介面。點數跨境交換更強化了O2O臺日生態圈，用戶兌換到的日本樂天點數，除了可用於線上的日本樂天自營服務，也可用於日本當地線下的實體店家，羅雅薰表示，目前已有超過120萬個通路據點可使用。等到臺日樂天點數實現雙向交換後，用戶在日本消費所累積的點數，也可轉換回臺使用，代表日本逾120萬個實體通路的影響力，將伸入臺灣。

樂天發展點數機制不單只是為了提供客戶優惠，而是要累積點數背後的客戶行為資料，進而運用於設計種子型行銷策略。舉例來說，透過點數，樂天追蹤了用戶的消費習慣，以提供用戶個人化的樂天服務推薦，羅雅薰分享了一個樂天內部的調查數據，會員每多使用一個樂天服務，他的年貢獻就會增長2.5倍，她更進一步表示，樂天點數創造了縱向循環。

 ioeX   區塊鏈電視  
新創ioeX與QUUBE合作開發具區塊鏈功能的電視，用戶可收看特定節目獲取獎勵

臺灣區塊鏈新創ioeX宣布與QUUBE聯手打造的區塊鏈電視（QuuMoney TV），預計搭載在日本電視品牌JVC的智能電視產品上，2019年下半年將正式推出。

QuuMoney TV是採用Android TV Platform (Android 9.0) 運行的智能電視功能平臺，提供多項去中心化、點對點直連通訊的應用功能。觀眾可以藉由收看特定節目，來獲取獎勵，也就是QUUBE 發行的代幣Quu幣，而使用ioeX組網功能產生貢獻度時，還可獲得IOEX獎勵。用戶可利用Quu幣購買QUUBE的服務，比如觀看電影、折抵網路電視平臺月費等，未來也可到數位資產交易所兌換其他數位貨幣。

 PoS機   信用卡號  
PoS惡意程式鎖定中小企業，潛藏至少4年
安全研究人員近日發現一隻終端機（PoS）的惡意程式，專門攻擊中小企業竊取信用卡資料，且至少已經流傳了4年之久。安全廠商Flashpoint近日發現到一隻名為DMSniff的惡意程式，已衍生出11隻變種，認為在此之前它可能最少從2016年就被大量用來攻擊餐廳、電影院等IT預算不豐，多數仍使用老舊及不被支援的系統，又有頻繁的信用卡交易休閒娛樂業，但直到最近才被發現。

根據分析，DMSniff是藉由暴力破解SSH連線或掃瞄漏洞後加以開採，而植入這些企業的PoS機器中。之後它會持續觀察PoS機的交易，發現「目標」即開始爬梳終端機的記憶體，以尋找該筆資料的信用卡號。之後它會將這些資料連同周遭記憶體打包後，再傳送給外部C&C伺服器。此外，它還具有字串編碼（string-encoding）能力以躲避偵測。

 Cosmos   區塊鏈  
定位為區塊鏈中樞的Cosmos Hub問世了
備受區塊鏈產業期待、定位為各種區塊鏈中樞的Cosmos Hub正式問世了。Cosmos Hub是全球首個基於權益證明（PoS）的公共拜占庭容錯（BFT）區塊鏈，它有3個階段性任務，先求網路穩定性，繼之支援交易，最終將允許跨鏈通訊。Cosmos網路專案是由瑞士非營利機構Interchain基金會委由Tendermint公司所建立的分散式網路，它由許多獨立且平行的區塊鏈所組成，每個區塊鏈都採用BFT協定，彼此間可透過共享的中樞互動，目標是建立一個區塊鏈網路，亦發行了自家的加密貨幣Atom。

Cosmos立志要解決區塊鏈在可用性、可擴展性及互動性上的問題。Cosmos Hub的任務則要藉高度可用性與安全性的驗證器，來強制執行區塊鏈的互動規則，以協調Cosmos區塊鏈網路萌芽時期的生態體系。

圖片來源：ioeX ；攝影／李靜宜

責任編輯／李靜宜

 金融科技近期新聞 
1.  全國商總區塊鏈應用及發展研究所推教育工作坊，欲培養國內區塊鏈人才　
2. 實名制區塊鏈Maxonrow落地臺灣，先與師大亞洲流行音樂數位科技研究中心簽署合作協議
資料來源：iThome整理，2019年3月

微軟於本周宣布，旗下的Microsoft Teams團隊協作工具已被全球逾50萬家組織所採納，而且連續兩年奪下Enterprise Connect活動的「年度最佳大賞」（Best of Enterprise Connect ），微軟並趁勢發表了8項Microsoft Teams新功能。

於2017年3月問世的Microsoft Teams允許組織的員工透過聊天、會議或通話等形式交流，它除了已直接整合在Office 365的各種應用中以外，也能整合到其它第三方應用。

在短短的兩年內，全球已有超過50萬家組織採用了Microsoft Teams，包括Fortune 100中的91家，並有150家擁有1萬名以上的使用者，現今Microsoft Teams已支援全球181個市場的44種語言。IT社群Spiceworks去年的調查即顯示，Microsoft Teams已是全球最受歡迎的協作聊天程式，以21%的市佔率擊敗Slack的15%。

微軟也發表了即將在今年推出或已邁入預覽階段的Microsoft Teams新功能，包括客製化背景、內容攝影機、數位白板、即時標題與字幕、私人頻道、資訊疆界、資料遺失預防政策，以及實況活動等。

其中，客製化背景允許用戶以企業的商標或辦公室環境作為會議或視訊背景。另也將在會議室系統Microsoft Teams Rooms中支援額外的攝影機，只要利用任何的USB攝影機就能捕獲白板上的內容，再透過微軟所開發的智慧捕獲能力縮放或強調白板上的內容。

Microsoft Teams Rooms也即將支援微軟的Whiteboard數位白板。

為了解決Microsoft Teams的與會人員可能有聽力上的問題，或有一方在吵雜的環境中參加會議，微軟準備在Microsoft Teams提供即時字幕功能，首個語言版本將是英文。

正在測試中的私人頻道能夠限制可看到該頻道內容的團隊成員，以用來討論或傳送不適合公開釋出的內容。微軟說，這是用戶最想要的功能之一，目前微軟已於內部及與特定客戶展開測試，預計於今年上線。

資訊疆界則可限制Microsoft Teams成員的交流與協作對象，以迴避組織內部的利益衝突。資料遺失預防（Data Loss Prevention，DLP）政策允許管理人員偵測及監控聊天室與頻道中的對話，避免機密資訊外流，目前已現身於支援Office 365 Advanced Compliance的Office 365及Microsoft 365方案中。

已經上線的Microsoft 365實況活動功能讓任何人都能建立即時或隨選的活動，以與員工、客戶或合作夥伴交流，最多可容納1萬名觀眾，此一功能同時相容於Teams、Stream與Yammer。

臺灣最大規模的2019臺灣資安大會今日（3/2）正式邁入第2天，今天上午是由前美國最高情報單位國家安全局（NSA）的網路安全負責人，也是現任Fortinet資安長Philip Quade擔任大會上首場Keynote講者。他在會中提出警告，包含臺灣在內的亞太區，正成為關鍵基礎設施風險的溫床，若不及早防範，只會讓駭客或敵人長驅直入到自己國家的核心，造成嚴重毀滅性的打擊。

過去30多年都在美國NSA從事情報技術開發與防禦的Philip Quade，長年協助美國國防部情報部門擬定情資戰略並為國家網路安全把關。擁有許多豐富網路安全防禦與作戰經驗的Philip Quade，不僅擔任過NSA局長網路特別助理，還是NSA網路特遣部隊的負責人，一手規畫與擬定國家網路安全方針，更曾替白宮制定國家網路戰略和政策。直到兩年前退休後，Philip Quade加入Fortinet擔任該公司資安長，不只協助該企業制定網路資安政策，更將過去多年累積的安全防禦經驗，用來協助政府及企業用戶運用於各種關鍵基礎設施的資安防護。

過去幾年，針對水力、電力、能源等民生關鍵基礎設施的網路攻擊事件頻傳，也促使各國政府將其列為首要優先處理的重大資安議題。Philip Quade就表示，企業或政府現在面臨的網路威脅和以前大不相同，駭客以往多基於金錢目的竊取企業機敏資料，現在攻擊的動機則是更加複雜許多，甚至連面對的對手攻擊方式，也和以前不同，不只是漫無目的、隨機式攻擊，更多是有著針對特定單一或複數國家或組織發動的目標式攻擊，藉此控制或癱瘓這些基礎設施，影響該國民生經濟，甚至造成經濟因此崩盤。

Philip Quade更提出警告，現在正是危急緊迫的關頭，他呼籲，不論政府或企業都必須立刻採取行動，「確保基礎設施系統，可以提供更高可靠且具有更高安全防護措施，才能有效防止駭客攻擊」，甚至他也觀察到，亞太區正成為關鍵基礎設施風險的溫床，「尤其臺灣，因為以製造業為主，在生產線上配備許多工控OT系統或設備，一旦與IT網路相連，也很容易成為駭客攻擊的目標。

然而，為何越來越多的關鍵基礎設施，都讓駭客可以如入無人之境，輕易取得系統的控制權呢？Philip Quade直言，這與關鍵基礎設施系統核心的OT（Operation Technology）系統有很大關係，例如SCADA監控及蒐集系統，或ICS控制系統等。他進一步說明，以往自成一個安全網路的工控OT系統，因為數位轉型浪潮，企業開始將IT與OT進行整合，以便從大量產線機臺資料蒐集做分析，提高營運與生產效率，「正因為OT網路開始連上IT網路，導致出現資安防護缺口，讓駭客有了可乘之機。」他說。

甚至，也因為在機臺加入許多小型感測控制器(Actuators)，或是稱作工業IoT設備，用於蒐集或監控設備環境，但是這些裝置大多缺乏資安措施，駭客能夠輕易藉由這些裝置長驅直入進到OT系統，再由下向上感染整個基礎設施， 甚至還反過來經由工控OT網路入侵企業IT網路取得資訊系統控制權。

面對關鍵基礎設施的網路威脅，Philip Quade也提出他的因應之道，首先，在OT的安全策略上，他先將這些問題威脅分成三類，包括已知的已知威脅（known knowns）、已知的未知威脅（known unknowns），以及未知的未知威脅（unknown unknowns）。其中第一類如防毒產品上的已知惡意病毒;至於明知有攻擊但不知何時何地發生則屬第2種，最後一種，指的是這些還未曾發現過的未知風險，也是最難偵測得到。

針對這幾類的資安風險，他也提出4種資安策略作法，像是建立能即時反應的新一代網路安全架構，以偵測更先進威脅，或是加入整合各種安全防護技術與工作流程的新機制，以及建立如軍事作戰常用的OODA Loop決策自動化機制，加快反應決策，做為持續性信任評估與立即反應。最後，第四個策略是，採用更先進威脅偵測技術或工具，如機器學習等，能經由大量惡意程式當作資料訓練，建立異常網路行為偵測的機器學習模型，來以解決更複雜網路安全問題，甚至是，這些還未曾發現過的未知的未知風險。

在資安風險管理上，Philip Quade也提到企業可從威脅程度、漏洞大小、影響後果三個面向的風險指標，對自己的安全威脅風險程度進行分類，如低度風險、高風險，或是超高風險等，找出適合自己的緩解攻擊的最佳方案，將損害降到最低。

另外，他也還舉了現在在OT界採用的一種風險判斷方式，就是基於後果基礎工程（ consequence based engingeering）方式，透過工程技術方式設計各種風險情境，用來判辨企業最容易受到哪類的攻擊威脅，以重點加強對這類威脅的防護及偵策能力。

不只技術的整合，Philip Quade也同樣強調，OT人與IT人員之間的整合，他表示，人員不分網路安全、營運安全或是實體安全，都應彼此協同合作，才能以預防駭客趁虛而入。當然，他也指出，為了要達到這樣的協同作戰目的，得要有更好的IT與OT組織的管理作法。

最後，Philip Quade也講到鞏固網路安全文化的重要性，他認為，每個國家都應有責任加以維護，建立友善的網路安全文化。他還進一步提出每個國家應遵循的三不一合的網路安全行為準則，包括，不應以經濟利益來竊取別國的機密、不能攻擊他國關鍵基礎設施、不應破壞供應鏈誠信，以及各國應就網路安全彼此合作。

臺灣資安大會來到第三天，3月21日（四）的大會Keynote有了新嘗試，首先，由臺灣資安新創業者奧義智慧展示資安航母自動巡航，簡單的說，就是「紅隊攻擊模擬Vs. AI藍隊自動機器人」的攻防演練。奧義智慧共同創辦人叢培侃表示，現在的資安威脅預警已經多到無法消化、更遑論分辨真假，如果有一套人工智慧系統可以協助分析哪些資安預警，可以大幅減輕資安人員的工作負擔。奧義智慧團隊將會在現場展示，獨家研發成果透過端點與行為軌跡分析技術，搭配後端人工智能推論案情，實現資安領域的 CyCraft Bot 系統，並可透過語音方式幫助蒐集各端點感知情報、優先化各種告警，能自動化調查案情找出根因，並精簡資安應變的作業與時間。只不過，奧義智慧的現場Live Demo無法直播，只有到現場才看得到的好料。

現場Live Demo除了奧義智慧外，還有臺灣重要的SOC業者安碁資訊也在現場針對工控系統的安全性做Live Demo。安碁資訊副總經理黃瓊瑩表示，許多關鍵基礎設施，例如油、水、電、交通等都有工控系統，駭客資安攻擊都會帶來極大的營運損失，但要如何確定這些工控系統的安全防護的確到位呢？安碁資訊累積過往的經驗，打造一套工控資安系統的Testbed（測試平臺），並在資安大會的Live Demo中，展示如何藉由實際實施攻擊與漏洞挖掘並測試、驗證各種資安產品的功能性與防護性等，並且現場示範駭客是如何入侵至工控系統環境後，並取得包括PLC、SCADA、HMI等ICS設備的操控權限。這場Live Demo將會現場直播。

第三場則由日本最大電子商務業者Amazon資安官陳浩維擔綱演出，陳浩維是臺灣出身的優秀的資安專家，輔仁大學畢業，到美國卡內基梅隆還擔任亞馬遜全球漏洞獎勵計劃兼亞馬遜日本的資安負責人，也是該公司首第一位對外招募的Incident Response Engineer，曾帶領亞馬遜資安監控中心導入數位鑑識相關技術，後加入內部菁英團隊 Attack and Research Team 參與滲透測試和協助 Red Team 的建立。他首度針對臺灣觀眾分享亞馬遜如何善用駭客思維，把白帽駭客當成自己的夥伴，共同加強資安防禦能量。這一個場次因為日本亞馬遜政策規定，也無法提供現場直播服務。

臺灣資安大會創舉，由奧義智慧共同創辦人邱銘彰上臺講Talk Show，資安史上第一次的資安脫口秀，從企業用戶的角度和資安廠商的角度，分享資安常見的怪奇現象，希望可以獲得大家的共鳴。資安脫口秀有現場直播。

3月21日上午9：30分開始的大會Keynote，第一場奧義智慧資安航母自動巡航展演的Live Demo不直播，第二場安碁資訊工業控制Testbed與資安攻防研究的Live Demo，則有提供直播；第三場由日本亞馬遜資安官陳浩維分享的，如何透過白帽駭客力量強化資安防禦能量的演講，不提供直播；第四場由奧義智慧創辦人邱銘彰上臺表演的資安脫口秀，則有直播。直播網址：https://www.facebook.com/ithomeonline/videos/2116840961941499/

此外，3月21日（四)「由大話資安x臺灣資安大會」特別節目的訪談播出，集結不同資安專家的訪談，也有不同播出時段。

下午1點30分，集結播出微軟全球資安技術長Diana Kelley、精品科技總經理黃文昌以及矅祥網技協理郭姿良的訪談，直播網址：https://www.facebook.com/ithomeonline/videos/560495764777089/

下午2點30分，將會彙集前一天重要的Keynote簡短的訪談分享，包括：資安公司Opswat創辦人兼執行長Benny Czarny、卡巴斯基實驗室威脅研究副總裁蒂莫爾•比亞庫耶夫、Polyswarm首席資安長Ben Schmidt。以及臺灣行政院副院長兼國家資安長陳其邁的訪談。直播網址：https://www.facebook.com/ithomeonline/videos/384101452414140/

下午3點30分，則是最後精選訪談的輪播，微軟全球資安技術長Diana Kelley、奧義智慧共同創辦人叢培侃以及趨勢科技臺灣區中大型企業業務協理楊肇謙的精采訪談。直播網址：https://www.facebook.com/ithomeonline/videos/2408473332706396/

「大家覺得是開車還是搭飛機比較可怕」，微軟全球資安技術長Diana Kelley在臺灣資安大會的第二天以「20/20網路：聚焦混合雲安全性」的主題演說中，一開始便以這個問題詢問大家。

大多數人的答案可能是飛機，原因可能是對巨大金屬在空中飛翔的安全疑慮，但Diana認為另一個答案則是控制性，這是因為大多數人駕駛自己的車，有一定的掌控權，但是坐飛機時可能會因為缺乏掌控權，不清楚誰控制這架飛機，因而帶來恐懼。

Diana表示，雖然我們不清楚飛機的駕駛者是誰，但是卻可以信賴飛機駕駛員擁有的執照，企業對雲端的資訊安全存疑，如同搭乘飛機因為無法自己控制的恐懼感，或許大家可以像信賴飛機駕駛員那樣，信任你的雲端夥伴。

相較於20多年前，今天的網路安全樣貌正在快速變動，許多的交易透過網路進行，網路也成為駭客攻擊的新戰場。仍有企業對雲端安全存疑，但換個角度想，雲端也對企業的資安管理帶來新的想像。

以可控性、可視性降低企業對雲的疑慮

Diana表示，混合雲提供各種工具，協助企業監控和管理混合雲上的資產，包括以身份為基礎的自動化監控機制提高對混合雲環境的可視性及控制性，可以更敏捷、有效地應對網路威脅，以有效率的方式找到智慧財產及敏感資料。

然而，企業擁抱多雲及混合雲的趨勢發展，「企業往往要面對不同的雲端服務者、多個團隊，缺乏整體的安全體驗」。她不忘舉薦自家的Azure，在微軟混合雲架構中，微軟以Intelligent Security Graph(下圖，來源：微軟)來建構整合性的安全體驗，支援身份安全、雲端應用及資料、雲端基礎架構、裝置的安全保護。

有些企業認為上雲後，安全、隱私及法遵的責任都落在雲端服務商的身上，但她認為雲端安全應是一種企業和雲端服務商在責任分擔上的夥伴關係，從企業機房、IaaS、PaaS到SaaS，責任可能是企業自己全部獨力承擔或是一部份和雲端服務供應商共同承擔。除了責任分擔外，雲端服務供應商為企業分擔基礎資源管理，讓企業可以重新規劃基礎資源的運用，同時也能以更智慧有效的方式管理資訊安全。

而談到資訊安全思維，Diana也順道說明了新興的Cyber Resilience思維，不同於過去資安偏向保護所有資訊，阻擋任何資安攻擊，Cyber Resilience強調企業面對攻擊，可以快速發現回應及回復。

嚴格落實資安管控、靠機器學習技術抵擋網路攻擊

在微軟的數位化轉型過程中，現在已有95%的工作轉到Azure，仰賴雲端的資訊安全管理保護，但是仍有剩下的工作是在微軟自己內部資料中心內執行，而為了確保內部資訊安全，Diana分享了微軟自己的做法，針對存取權限採取嚴格管理，例如對雇用的員工嚴格執行背景調查、每年進行人員的安全訓練，使用多因素身份驗證，最小化權限存取或以時間限制存取權，每年還有一次紅隊藍隊的資安攻防演練。

目前微軟在全球有超過100個資料中心，蒐集全球各地安全數據，每天約有6.5兆的訊息送到Azure，由微軟Intelligent Security Graph研析出資安洞察，每個月掃描12億個裝置、分析超過4000億封電子郵件、掃描超過180億的Bing網頁，每月處理至少4500億的身份驗證等等。

微軟也利用多層式的機器學習模型對抗網路攻擊(下圖，微軟提供)，從最上一層的本地端機器學習模型、行為偵測演算法，逐漸往下到雲端以元資料為基礎的機器學習模型、樣本分析為基礎的機器學習模型、大數據分析等等。透過機器學習模型，在2017年10月首次發現Bad Rabbit惡意程式的14分鐘內識別出來，防止攻擊擴大。

在企業的資訊安全管理上，她提出了建議，包括最小權限控管及身份保護、部署網路防火牆及DDoS防護、保護靜止/傳輸/使用中的資料、開啟威脅防護，調整混合架構上的工作負載，並且持續評估、擬定政策，隨時依照合規調整內部指導策略。

趨勢科技資深威脅架構師Fyodor Yarochkin，在2019臺灣資安大會座談中，揭露社交媒體中假訊息的內部運作，並更新去年的研究報告（What’s new in 2018：Fake news and social manipulations）對假新聞的分析，更以現下時事為例，說明假新聞的未來趨勢，以及對社會造成的負面影響。

Fyodor Yarochkin表示，真假新聞的界線模糊，可因政治立場產生不同解讀。如俄羅斯總統普丁3月18號簽署「禁止民眾散播假新聞」的法令，若因散布不實言論違反公共秩序，將被處以罰款或監禁。此舉也引起國際媒體質疑，假新聞的防範是否成為政治手段、侵害人民言論自由？

Fyodor Yarochkin更以委內瑞拉為例，說明假新聞為政治服務的情形。委國政府阻止一般民眾取得敏感資訊，使人民連不上特定網路，為此，Google母公司Alphabet旗下的孵化器Jigsaw去年10月底推出應用程式「Intra」，加密使用者的Android手機和DNS伺服器的連結，讓手機自動指向Google的公共DNS伺服器，人民才得以自由造訪被封鎖的網站，現今服務更已擴及全球。

但相較於政府對消息的封鎖，更常見的是流動於各社交群媒體中的假訊息。操作者可利用各國地下市場尋找交易平台，而地下業者常見操作方式，包括請社群網紅轉貼文章（Follows）、善用口碑或操控輿論以達成目的（Astroturfing）、創造有影響力的言論（Influencing opinion）、特定事件的推廣（News and Events promotions）、罐頭式行銷訊息（Spam and scam campaigns）等。

Fyodor Yarochkin也觀察，操作者會以各國受歡迎的社群媒體為平臺散播消息。如台灣人習慣使用Line、Facebook，巴西人以WhatsApp替政治人物的助選；近來更有加拿大網民發現，在美國網路流量排行第五的Reddit網站上，因華為CFO孟晚舟被加拿大政府逮捕事件，開始出現許多受中國贊助的用戶，以宣傳活動壓制任何反中國的輿論，顯示中國的酸民工廠（Troll Factory）已經入侵Reddit，試圖以煽動或挑釁的言論引起衝突。

除了以文字作為假消息傳播媒介，假照片與影片的傳播將更具影響力。如3月15日紐西蘭恐攻事件、槍手殺人的直播影片，據國內媒體報導，雖然Facebook在24小時內移除上傳影片超過150萬次，但相關影像仍以各種形式在網路上流傳。Fyodor Yarochkin指出，兇手真正的目的可能在於加深民族間的衝突、宣揚白人主義，惡意的行為可能因網路引起更大的負面效果，這與假新聞的傳播目的相同。

而為了經濟目的而產出的假新聞，數量可能又較政治性假新聞更多。Fyodor Yarochkin表示，透過假新聞炒作股票、或欺騙性的宣傳行為，會讓更多民眾受害，且操作者的獲利更高，也是各國需要嚴加防範的類型；而近期社群媒體中也出現各種網站的假聯絡資訊，如Twitter貼文發現偽造的趨勢科技電話，民眾可能因撥打錯誤客服專線尋求Tech Support，被騙錢而不自知。

最後，Fyodor Yarochkin也提到，雖然社群網站已經成為假新聞的溫床，但當遇到不可抗力的災難時，仍然能迅速協助救援。例如WhatsApp成功幫助印度南部的Tamil Nadu，在去年颶風Gaja侵襲後，成為資訊整合平台，使救援團隊有效率的分散救援。

歐盟最嚴格個資法《通用資料保護規則》（General Data Protection Regulation，GDPR）自去年5月正式上路至今，帶來多大衝擊？

歐盟執委會（European Commission）今年1月，公布了GDPR隱私法案自2018年5月25日實施8個月以來的成果，顯示民眾已提出超過9.5萬個投訴案件，並有3家業者因違反GDPR而遭到懲處。

GDPR也規定業者，必須在發生資料外洩事件的72小時內，向當地的主管機關報告。根據英國一家名為DLA Piper的法律事務所，於今年2月公布的調查顯示，截至今年1月，主管機關所收到的資料外洩揭露件數超過5.9萬件。

歐盟執委會指出，歐盟民眾主要投訴的三大類別為電話行銷、電子郵件行銷，以及監視器。而且通常主管機關的調查，都是起因於當事人的申訴。

KPMG數位科技安全部門副總經理邱述琛，在今天（20日）的臺灣資安大會上，揭露了他對2019年GDPR關注重點與趨勢觀察。

邱述琛表示，自GDPR生效後，也加速了全球隱私法規的發展。去年年底，繼美國、墨西哥、日本、加拿大、南韓與新加坡後，臺灣與澳洲同時成為APEC跨境隱私保護規則（Cross-Border Privacy Rules, CBPR）體系的成員。

根據國發會的公告，APEC CBPR體系對企業及組織的隱私保護．是較低程度的要求。而APEC也正在力推與歐盟GDPR接軌互通。

「未來隱私在做跨境傳輸的時候，若沒有加入聯盟作為護身符的話，一定會受到許多限制。」邱述琛觀察，各國家與區域基於保護人民，以及維持競爭優勢，透過頒布隱私保護法規，也將成為趨勢。

IoT安全防護目標與重點

「資安與隱私保護，是智慧聯網應用的重點。」邱述琛點出，IoT安全防護的重點，分為三個方向，包括裝置安全、設備上資料的安全與個人隱私安全。

他進一步指出，裝置本身的安全，需防止裝置被用於惡意攻擊行為，企業要做好資產管理、弱點管理、存取管理與裝置安全事件監控。而設備上資料的安全，則是要確保其機密性、完整性與可用性，針對IoT裝置對於資料的收集、儲存、處理與傳遞，都得做到資料保護與資訊安全事件監控。

邱述琛表示，像是能監測心跳、監控GPS位置的智慧手錶，就是涉及個人隱私。然而，若是在橋墩下放了測量水位的感測器，就沒有涉及個人隱私問題。

而個人隱私安全，就是要在IoT設備處理個人識別資訊（Personally identifiable information ，PII）的安全，保護的作法包括資訊流管理、PII處理許可管理、知情決策、個資去識別化以及個資隱私洩露監控。邱述琛特別解釋知情決策，指的是使用者到底知不知道你會做這些事，以及他可不可以決定要不要做。

邱述琛也分享了丹麥的案例，解釋知情決策。為了合規，網站會在使用者到訪網站時跳出cookie，讓使用者選擇接受或不接受，但有些網站在使用者點選不接受時，結束網站，不讓使用者繼續瀏覽或使用服務。丹麥個資保護主管機關在收到民眾的投訴後，決議這樣的作法是違反GDPR，因為迫使使用者在壓力下，做出接受的選擇。

IoT隱私防護建議

隱私防護到底要做什麼？邱述琛建議，要建立告知用戶方式，利用系統告知。而在個資處理上，他也提出控制措施的建議，包括事先確認隱私屬性與安全需求，並取得隱私資料收集的授權，以及訂定隱私資訊使用目的規範。

而在資料流的管理，邱述琛也建議，企業要盤點個人識別資訊，並確認蒐集來的個人識別資訊與來源是正確的。

GDPR很大的一個概念是要將資料所有權，還歸於民。「隱私保護將翻轉服務型態。」邱述琛解釋，當資料所有權在人民手上，就能以人民為主體，選擇應用、服務，以及要選擇哪些組織來提供服務。

邱述琛個人也猜測，美國會出現聯邦隱私法，來對抗歐盟GDPR，也只有這樣才會夠力。他指出，美國參議院的一份調查報告顯示，國會應通過立法建立國家統一標準，要求收集和存儲PII的私人企業，採取合理與適當措施，以防止網路攻擊和資訊洩露。

隱私工程與SSDLC

「隱私工程是達成目標的具體方法，但得先弄清楚目標。」邱述琛表示，企業得先把風險搞清楚，也就是根據風險評估的結果，判斷去識別化的技術類型與程度。首先，要評估有哪些型態的資料、對外提供資料的方式，以及是否引發他人重新識別的意圖，他說，選擇了哪種釋出模型，會決定資料風險狀態。應該做完這些評估，才去選擇最適當的方法。

「只要在資安上去強化隱私，就可以解決GDPR的問題，這是很多人的盲點，只運用資訊技術是不足夠的。」邱述琛強調。

在落實隱私工程時，一定要把隱私保護納入智慧系統開發需求。首先，要做系統安全與隱私保護分析，分析完後要做威脅建模，以攻擊者角度，識別可能影響軟體系統的威脅，並進行評估。

後續，才能執行隱私工程，以威脅特性所對應的控制方針，並依據系統特性，設計可行控制措施。接著，進行安全測試，依據系統特性與原始安全需求分析結果，以黑、白、灰箱等方法進行安全測試。到了維運狀態時，就得進行元件更新與組態強化。「這整個生命週期都要做，而且不要跳關。」他強調。

邱述琛也提到，在專案初期的安全規畫，就要啟動營運衝擊分析與隱私衝擊評估，不能等到系統建置完成才啟動。

「去識別化可以大幅降低GDPR合規成本，因為GDPR不管去識別化的資料。」不過，邱述琛提醒，個人識別資料去識別化後，還是會有風險，例如不同的資料集之間，可能可以進行比對，所以，企業每一年都應不斷檢查釋出的資料，是否有增加風險。

最後，他也提到，GDPR最終的目的，是以加值應用與去識別化等互斥指標，取得最大交集，也就是企業建立競爭優勢的地方。他解釋，去識別化的程度越高，資料的運用價值就越低。「GDPR把全球的競爭拉回起跑點，誰跑得快，就是贏家。」邱述琛說。

企業資安長（CISO ）想要在駭客猛烈發動攻勢下，依然能夠存活下來，甚至起身對抗，而不被這些威脅擊倒，該怎麼做？在活動第2天的2019臺灣資安大會上，IBM資安長Koos Lodewijkx也以自身經驗，點出當前企業資安長推動資安防護有五大常見的錯誤招式，並且也提出攸關資安長生存的五大資安防護攻略。

最近幾年，網路威脅帶來的資安挑戰，比以往更加嚴峻，成為所有企業想要做好資安防護的一大挑戰，Koos Lodewijkx在會中表示，網路安全（ Cyber Security ）已逐漸成為全球趨勢，許多企業資安長都想盡辦法嘗試透過運用各種資安防禦手段，強化資安防護，來防止各種可能出現的駭客網路攻擊，以保護企業的重要資產。

Koos Lodewijkx總結過去長年在資安防禦上學到的經驗與教訓，提出資安長推動資安防護存在的5大常見錯誤，提醒資安長，應小心避免犯同樣錯誤。首先，即是資安長對於自身所處技術環境，缺乏通盤認識與了解，如雲端，或容器管理服務K8s等新技術，因為無法立即掌握所有可能的資安問題，資安防護就很容易會慢半拍，讓駭客有可乘之機。其次，資安長在推動資安上，很容易會受到根深柢固的組織文化影響，這時想要改變就很難，得花很長時間，讓組織人員學習改變既有工作習慣，以合乎資安要求。

Koos Lodewijkx提到第3個犯的常見錯誤，則是資安長多以工具性目的，來部署不同資安防禦機制，卻沒有從最終目的（end game）思考這個技術能夠用來解決何種資安威脅，以及其帶來何種資安價值。再者，雖然很多資安長在自己擅長領域的資安防護可以做到滴水不漏，可是一旦超出他們所熟悉的資安防護範疇時，就顯得力不從心，沒有辦法做到同樣的防護強度。最後，資安長總是親力親為，什麼事都要親自參與，有時也不見得是好事，如要做的資安防護項目太多，不暇顧及時，就很容易犯錯。

另從資安防護策略來看，Koos Lodewijkx也提出了攸關資安長生存的5大資安防護攻略，讓資安長能夠在駭客猛烈發動攻勢下，依然能夠存活起身對抗，而不被這些威脅擊倒。首先，資安長必需先了解什麼是自身最重要的資產，才能用對資安防護手段。其次是洞悉自己的對手，透過情蒐先了解你的敵人攻擊動機及接下來可能的發展情勢後，幫助企業提前擬定防護策略，以便當發生資安事件時，能夠早一步反應，將損害降到最低。

第3個生存策略，則是確保建立一個更安全且穩定可靠的資安基礎設施環境，以便能隨時監控企業內部網路的即時運作狀況，例如有無異常流量等，才能保護企業重要資產；再者，資安長平時也能利用各種資安演練及攻擊測試的機會來練兵，幫助資安團隊早一步做好能夠針對各種威脅因應的準備。最後，他也指出，資安防護是打團隊戰，不能單打獨鬥，資安長必須要找到自己的盟友，不論是與各種資安社群合作，或是尋找強而有力的資安合作夥伴，聯合一起對抗網路威脅。

這幾年來，企業防範網路攻擊的思維，已經從試圖築起牢不可破的堡壘，開始有所轉變，取而代之的是假定會遭到駭客滲透，因此更強調企業需要找出可能隱而未現的跡象。在此同時，駭客也試圖採取更隱密的方式，透過合法的工具作案－－像是利用PowerShell、常見的壓縮工具WinZip等，然而，HITCON Girls成員YCY表示，實際上，駭客還會利用防守方用來演練的公開工具，在企業內部的網路環境中，為所欲為，因此，她特別在2019臺灣資安大會第2天（3月20日）議程中，呼籲企業要防範這樣的威脅。

YCY說，一如小偷想要闖空門，打破窗戶的方式，遠比奮力鋸開大門要來得務實，然而，大多數民眾想要保護家中的財產，卻經常會選擇安裝更難撬開的大門，或是換上更難破解的門鎖。由上述的例子，YCY指出攻擊者與防守者的思維，存在著完全不同的邏輯，因此，企業想要防範網路攻擊，勢必要從駭客的角度，換位思考，了解他們會如何發動攻擊才行。

這也突顯近年來檢查企業環境弱點的方法，多半執行的是紅隊演練，而非以往常見的滲透測試。因為，紅隊演練是由駭客攻擊的思維出發，目的是企圖竊取企業的內部資料，涵蓋的範圍較為全面；相較之下，滲透測試著重挖掘系統的漏洞，通常僅限制在指定的範圍，並且針對特定的目標進行測試。至於現今的攻擊態勢中，YCY說，知名的滲透工具Metasploit和紅隊演練工具Cobalt Strike，近2到3年來遭到濫用，駭客拿來在受害者的環境中大開後門的情況，可是時有所聞。

從攻擊鏈檢視駭客如何濫用公開工具

那麼，我們要防範駭客的攻擊，就要從他們攻擊的流程－－攻擊鏈各個階段，加以了解、分析。大致上從環境探查到得手機密資料，攻擊鏈共可區分多個階段，首先是對於目標的環境調查，YCY以網路偵察框架Recon-Ng示範，便能收集到攻擊目標裡的電子郵件帳號與網域等資訊。

Recon-Ng是一套由Python開發而成的開源網路偵察工具，能在網路環境或網站中，以主動爬行的方式，尋找人名、帳號、電子郵件信箱，還有網頁伺服器的資訊，這套網路偵察框架，也被知名的滲透測試專用的Kali Linux作業系統納為內建的套件。

得知企業內部的狀態之後，接著駭客會準備所需的武器，然後發動攻擊。YCY利用滲透測試框架Metasploit示範，直接產生了一個含有惡意巨集的Word文件檔案，然後，交由VirusTotal檢測，約有60款防毒引擎中，有34套識別為有毒。

因此，YCY又透過Macro_pack，針對上述產生的檔案進行程式碼混淆，處理之後的Word文件再傳送到VirusTotal分析，就只有15款防毒引擎判斷存在威脅。YCY強調，她所示範的混淆手法算是相當基本，對於駭客真實規避防毒軟體的方式，所利用的工具遠遠不僅於此，完成的武器很有可能交由VirusTotal分析之後，連一家防毒引擎都檢測不出異常。

再者，不只產生惡意軟體極為容易，就連漏洞的概念性驗證（PoC）攻擊，YCY說，往往在漏洞遭到公開後的短短幾天就出現，因此駭客也能快速拿來開發變種病毒。

橫向移動與攜出資料的手法，更加隱密

攻擊成功之後，駭客會橫向移動找尋企業重要機密，並滲透內部網路環境，YCY先透過BloodHound，便能以關連圖呈現AD上的物件，而且顯示可能攻擊的途徑。但BloodHound原本開發的目的，是要使紅隊與藍隊能針對AD環境的特權帳號，進行研究。

YCY也提到Responder這套能用來橫向移動的軟體，駭客會利用本機多點傳送名稱解析（LLMNR）、網路基本輸入輸出系統名稱服務（NBT-NS），以及多重廣播網域名稱系統（mDNS）等協定，進行欺騙攻擊，藉由受害電腦無法解析伺服器名稱所進行的廣播，進一步駭客電腦能收到受害電腦NTLMv2的權杖，存取這臺電腦。

至於駭客得手後想要將企業的機密資料傳出去，YCY表示他們會利用DNS或是ICMP隧道後門，像是DNSCat2、ICMPSH等，藉此躲避企業的網路資安設施，而駭客還會利用線上的免費服務做為中繼站，YCY舉出了APT37駭客組織為例，他們曾經以AOL即時通訊軟體、Dropbox、pCloud等，回避資安人員的追查。

因應新興威脅態勢，必須對症下藥

針對上述的攻擊鏈分析，YCY表示，企業主要可從檔案管理和網路環境的調整，減少遭受攻擊的危險。在檔案的管理而言，YCY認為企業必須禁止使用不安全的巨集和指令碼，像是HTA、VBS等。

而對於網路的部分，YCY認為，企業可以利用公開工具檢查網路環境，並關閉未使用到的功能（例如LLMNR），或是找出不安全的ACL設定等。此外，她也認為資安團隊應該要研究上述的公開工具，而業者也應該將其特徵碼，加入到資安設備之中。

臉書（Facebook）本周宣布已與美國公平住房聯盟（National Fair Housing Alliance，NFHA）、美國公民自由聯盟（American Civil Liberties Union，ACLU）、美國傳播工會Communication Workers of America（CWA）及其它人權機構達成和解，將替人力招募、住房及信貸類別的廣告主另闢一個平台，以阻止這些廣告主利用臉書的過濾機制從事廣告歧視活動。

去年8月美國住房及城市發展部（U.S. Department of Housing and Urban Development，HUD）曾指責臉書的目標式廣告允許地主或房屋仲介過濾受眾的種族、性別、宗教或國籍，違反《公平住房法案》；ACLU則於9月指控臉書上的人力招募廣告排除了女性；不只是住房與人力招募，美國的《公平信貸機會法》（Equal Credit Opportunity Act）也規定人們的信貸權利不得因種族、膚色、性別或婚姻狀況而有差別待遇。

臉書表示，他們原本就禁止廣告主利用該站的工具進行歧視，現在將進一步阻止這些廣告主的行為，舉凡是要執行住房、人力招募或是信貸的廣告主，都不准以年齡、性別或郵遞區號等選項來過濾可看到廣告的受眾。

因此，這些廣告主將擁有比其它廣告主更少的目標廣告過濾選項，臉書也會要求廣告主承諾遵循各種反歧視的法令，並建立一個可偵測有否違法行為的自動化及人工審核系統，也同意了3年的監控期。

ACLU表示，隨著愈來愈多人在網路上尋找工作、住房或信貸機會，目標式廣告不只能複製社會上既有的種族或性別偏見，還有可能加劇這樣的現象。因為當廣告主執行了有歧視的廣告之後，其他的使用者根本看不見這些廣告，無從得知相關廣告的存在，也更難抑制這樣的行為。

因此，除了替上述3類廣告主打造特製的過濾選項之外，臉書未來也將允許美國使用者搜尋所有的住房廣告，不管這些廣告是鎖定哪些區域的民眾。