2021臺灣資安大會直擊（下）從信任到零信任！

彰基資安長粘良祁於臺灣資安大會上表示，醫療資安有著缺人、缺錢、缺時間等3缺困境，而他用內網可視化5心法如流量監控、流量分析、自動判斷攻擊行為、自動攔截惡意行為流量（SOAR）等來應對，並建置以流量監測軟體NDR為核心的資安聯防機制。接下來，他要將有線用戶和分院也納入其中。

三總曾經1年遭受上億次攻擊，在這些經驗中，三總先是透過切割DMZ、分割網段等7個措施，再進一步用11個方法來圍堵資安缺口，最後收緊USB的使用，才維持每個季度病毒量在200、300以下。三總認為醫療資安3心法是可視監控、隔離管制、關鍵保護，未來還要建置自動化資安應變系統。

企業該如何落實資安有效性？可從程序、人員、科技3大面向著手，像玉山的作法是導入ISMS資訊安全管理系統；將資安教育訓練與績效連結，讓各單位發揮守望相助精神；更要掌握核心的關鍵能力，才能快速反應。玉山更揭露資安落實5大成功關鍵。

企業在面對駭客威脅時，可率先採取的防備措施，比如網段隔離、詳實的事件追蹤處理，或是如何驗證資安防護的有效性，甚至需建立廠商安全標準評估機制來遴選廠商，更要發展安全測試的機制。此外，更要明訂由一線業管單位承擔資安事件的主要責任。

樂天國際銀行總經理佐伯和彥以日本樂天銀行經營20年純網銀的經驗，歸納出防範網路金融犯罪的2大基本原則，一是讓網路犯罪者的攻擊成本大於獲得利益；二是金融資安防範需銀行同業與顧客通力合作，才能發揮最大力量與效益。

3年前，國泰金融集團便為旗下子公司與海外子公司，訂定了一致性的資安政策。這一兩年間，特別是疫情發生後，國泰觀察到5大資安威脅，並從系統、應用、人員3大策略來對抗後疫情資安。去年底，國泰更委外建置集團SOC，以監控集團資安狀態；供應商、資料、開源軟體、雲端安全，更是目前國泰重點關注的資安議題。

企業的AD已是駭客常見的攻擊目標，然而，原因很可能與配置不當有關！在2021臺灣資安大會的議程上，奧義智慧彙整企業可能會出現的現象

今年臺灣資安大會除多項專業議程與資安業者齊聚，大會並規畫了Cyber Talent論壇與資安遊樂園，讓大家能從遊戲中學習資安，例如可認識CDM安全模型的大富翁桌遊，以及超實境的企業資安事件調查遊戲體驗。

隨著IaC（Infrastructure as Code）普及率的提高，企業在建立IaC工作流後，了解與之相關的安全性風險變得越來越重要。樂屋網在今年的資安大會上，分享自身如何實踐IaC資安，將安全性注入IaC，從配置設定強化基礎架構環境的安全性