【臺灣資安大會直擊】讓推動國內資安環境更上層樓，促進資安新人吸取成功經驗並讓資安觀念融入多元遊戲

臺灣資安大會邁向第七屆，現場除了多項專業議程與資安能量展示之外，讓企業能夠一次掌握最新資安技術與瞭解資安解決方案，特別的是，今年大會還特別新規畫Cyber Talent資安人才論壇等一連串活動，要讓未來資安人才對於職能方向及發展，獲得寶貴的經驗，同時大會並擴大CYBERSEC Playground規模，讓現場所有與會者都能透過趣味方式，來體驗與接觸資安觀念。

對於資安人才培育，一直是近年政府與產業都關注的議題，如何讓未來人才瞭解企業端與資安產業的人才需求，進一步關注資安產業趨勢與職能需求，成為當務之急。今年首次在臺灣資安大會舉行的資安人才論壇，共舉辦18場演講，具有多元面向是一大特色，透過產業現況、職能與職涯剖析，以及專家座談與經驗分享，讓對資安有興趣的人與職場新鮮人，更容易找出自己的發展方向。

畢竟，資安領域技術範疇相當廣，必須檢視自身在技術面技能的興趣與不足之處，而在專業技能精進之外，興趣、心態與產業概況等不同因素，也都會是資安新血成就未來人才時所需考量。而現場也有招募攤位，同時促進人才媒合的機會。

另一方面，為了引起更多人對於資安的興趣，以及提升大眾資安意識，今年CYBERSEC Playground提供了7大活動，讓現場與會者都能藉由遊戲形式接觸資安觀念。今年新增5項，包括「Cybercans：資安人生物語」、「1337 Operation搜索實境」、「Who's Lily？」、「SSS的奇幻冒險」與「Phishing Buster釣魚剋星」，而去年臺灣資安大會上即推出的CyberWar資安桌遊大戰，以及CYBER IQ數位帝國保衛戰，今年仍持續舉行。

可別小看這樣的遊戲，內容其實非常具有巧思，將生硬的資安知識與技術轉化成遊戲／競賽來推廣，透過寓教於樂的方式，讓玩家在遊戲過程中獲得收穫。

將安全模型CDM概念融入桌遊，要讓玩家更懂企業資安防禦規畫

要讓企業了解資安防禦投資概念，以及如何實現？奧義智慧設計了「Cybercans：資安人生物語」，這是一款依照大富翁遊玩形式並融入企業資安觀念的桌遊，特別的是，當中引入了安全模型Cyber Defense Matrix（CDM）的觀念，讓玩家在遊戲中也能瞭解CDM的應用，可以更懂得如何讓防禦做得更有效。

這是奧義智慧繼去年推出Cyber War卡牌類桌遊，並將MITRE ATT&CK資安框架融入遊戲概念後的另一力作。

資安人生物語這款遊戲的玩法並不複雜，如同大富翁，依骰子點數前進，走到格子抽起對應的卡牌執行指令，而每個玩家的角色，是扮演企業資安決策者，思考該如何配置策略抵禦攻擊。奧義智慧說明，遊戲一圈等同一年，如同模擬資安從業人員生活，這也是遊戲取名為資安人生物語的原因。

由於大富翁的玩法多數人都能理解，根據奧義智慧的說明，玩家都會拿到一張CDM矩陣的卡片，只要稍微先認識CDM 矩陣的五種資產類別（設備、應用程式、網路，資料與人員），以及攻防中的五個階段（識別、保護、偵測、回應與復原）即可，就算是不懂資安的人也能遊玩。當然，對於已經熟悉資安與CDM的人，玩起來會稍具優勢，能更快地上手與找到樂趣。

如何從遊戲中認識企業防禦概念呢？基本上，遊戲中每次發生攻擊狀況時，玩家可依照手中的防禦卡來阻擋。舉例來說，如果玩家沒有購買「裝置」類別的防禦卡，在發生針對裝置的攻擊時，就會損失慘重，而這樣的互動，可以讓玩家理解需購買不同資產的防禦，以及發現針對某些資產類別的攻擊較多時，自己需花費多一點成本去防守，之後並體認到需要購買不同階段的防禦。奧義智慧表示，當玩家想把這款遊戲玩得更好的同時，其實等同於在利用CDM的概念去思考，如何把防禦做得更有效。

特別的是，我們看到遊戲有一些趣味、反映現實狀況的設計，例如擺放著防禦卡、攻擊卡、事件卡與新聞卡這4類型卡片，走到農曆春節雙十國慶格子需翻起兩張攻擊卡，奧義智慧表示，這呼應現實中長假和政治活動的期間，臺灣會遭受較平常更多攻擊的狀態，同時，也有臺灣資安大會與HITCON的格子，讓玩家能多認識臺灣的資安活動。

此外，奧義智慧指出，像是新聞卡中有一張是資通安全管理法的修法，因應必須導入EDR，沒有相關防禦卡片的玩家則因為不合規將暫停行動一回合，還有現實中的重要資安漏洞，如ZeroLogon、Meltdown、HeartBleed、ShellShock等，卡片上有都有相關描述讓玩家多瞭解。

在資安攻防桌遊體驗區中，有一款名為資安人生物語的桌遊首度公開展示，遊戲方式類似大富翁，但結合了安全模型Cyber Defense Matrix，要讓玩家擔當企業資安決策者，思考如何把防禦做得更有效，而每位玩家都會拿到一張CDM矩陣的卡片，以理解五種資產類別與攻防五個階段的關連。

讓玩家透過實境遊戲來體驗企業資安事件調查

另一個由TeamT5杜浦數位安全打造的「1337 Operation搜索實境」體驗區，透過調查勒索軟體事件的遊戲情境，帶來了張力十足的實際體驗與效果，讓玩家對事件調查的想像，可以有更明確的了解。

最特別的是，TeamT5設計了遊戲的Line官方帳號，運用Line機器人串起整個遊戲過程，玩家透過手機就能暢玩，相當別出心裁，並且在大會現場展區布置了新聞事件播報，以及受害辦公室調查到駭客住所攻堅的場景。

以遊戲背景而言，是假設有一家公司遭遇勒索軟體事件委託國內資安業者處理，而攻擊的駭客族群其實相當惡名昭彰，受到FBI關注已久，因此雙方借此機會合作來追查駭客。

當玩家來到本場活動攤位進行遊戲時，只要加入遊戲的Line官方帳號，就能讓玩家成為調查探員，並透過Line機器人以接收FBI調查負責人肯特的指令。例如，一開始肯特會詢問玩家是否看過相關新聞報導？玩家將在攤位上觀看國際新聞，從中得知臺灣一家遊戲公司遭到勒索軟體ColdLock攻擊，並有多家國際業者受害，在玩家向探員回報看過新聞後，就會收到進一步的命令，是要玩家去合作夥伴TeamT5據點（也就是廠商攤位），以判斷該新聞事件指的是那一個駭客組織，之後還要找出操作記錄、攻擊者ID、攻擊者打卡的國家等資訊。

簡單來說，玩家只要回答出正確答案，化身為FBI負責人肯特的Line Bot，就會繼續引導玩家進入下一調查階段，若是答錯，則是會給予部分提示，讓玩家繼續摸索，同時遊戲內容也帶入了大地遊戲的概念，讓玩家在會場中需要跑來跑去。

不僅如此，在這一連串的遊戲過程中，活動攤位後方也布置了受害企業辦公室的模擬場景，讓闖關玩家進入調查，在受害辦公電腦與機房電腦找出線索，看看這家公司是怎麼感染勒索軟體，並解密勒索軟體，最後更是可以揪出駭客所在位址，讓玩家體驗執法人員破門而入的情境。

特別的是，根據TeamT5的說明，他們在現場還準備了防彈衣、槍械等道具，在門外攻堅時，還會設置一個可定時推門的小道具，當玩家順利破關後，主辦方為了讓玩家留下深刻印象，在攻堅場景中，其實架設了多臺攝影機，會錄製玩家破門的畫面，之後將會編輯成先前新聞的報續報導，讓玩家可以保留紀念。

在「1337 Operation搜索實境」體驗區中，玩家可以透過自己的手機，加入該遊戲的Line官方帳號，就能透過化身為FBI負責人肯特的Line Bot，依循指示針對勒索軟體事件進行調查。

在1337 Operation活動中，不僅布置了受害公司辦公室的遊戲場景，特別是玩家順利破關找到駭客位置後要進行攻堅時，現場還會透過多臺攝影機錄下影像，將這段影像套用到後續的破案新聞影片中，並透過Line Bot傳給玩家留念。

多元遊戲充滿挑戰性、趣味性與知識性，增進一般人資安意識同樣重要

對於人員資安意識方面，同樣成為今年大會遊戲焦點之一。例如，由主辦單位iThome設計的「Phishing Buster釣魚剋星」，就是練習識別釣魚郵件網頁遊戲，當中包含不少真實的釣魚郵件詐騙內容，目的是提醒玩家，需仔細查看電子郵件所夾帶的超連結，是否不尋常，並學習判斷網域，同時也要知道可從寄件者發現異常，以及知道寄件者可能被偽造的問題。

另一個由HITCON GIRLS策畫的「Who's Lily」，是希望藉由社交工程結合日常生活中，讓與會者體認到一些不以為意的舉動，都可能將自己的資料洩漏，甚至是洩漏公司商業資料。

基本上，遊戲主軸就是要找出Lily的相關資訊，會透過一個線上的問答平臺進行，讓與會者針對問題並嘗試找出正確答案。因此，玩家可以透過公開來源情報（OSINT）方法得到解答，也能在活動期間透過找到Lily本人，來試著獲取正解。

舉例來說，攤位現場布置了Lily的辦公桌，可以讓玩家找到線索，有部分題目也可透過FB、IG找到，目的就是希望一般人體認到保護資料的重要性，體驗到從一些簡單的小細節做起，就可以避免自己資料外洩、甚至是公司商業機密。例如，由於Lily的角色設定是公司資深高層主管，有一道題目是「請問Lily最近想拜訪的客戶？」而挑戰者可從Lily螢幕上的便條紙找到答案，還有題目是「Lily的FB ID是多少？」玩家將可在現場交換名片時，找到扮演Lily的工作人員，進而從名片取得資訊，或是透過HITCON GIRLS粉絲專頁找到曾經按讚的Lily帳號。同時，挑戰者還可以嘗試發送釣魚信件給Lily，從攻擊角度設想你要如何引誘Lily上當回應。根據HITCON GIRLS的說明，這個活動去年在HITCON曾舉辦，不過當時題目偏向CTF資安攻防賽的小技巧，這次則偏向日常生活中大家可能沒注意到的小問題。

另外，還有AIS3所設計的「SSS的奇幻冒險」，更是考驗對資訊有興趣的玩家，遊戲目標是要從5張紙卡中找出一組IP位址，但同時也結合跑大地的概念，讓展場的看板、攤位遊戲、宣傳單具有遊戲的重點提示，而紙卡中也考驗玩家對網路層的理解，也會用上16進制轉10進制等概念。

在「Phishing Buster釣魚剋星」的體驗區中，為了讓與會者對釣魚郵件更有識別能力，透過一封封電子郵件讓玩家挑戰，判斷是正常郵件還是釣魚郵件。

在「Who's Lily」的體驗區中，讓玩家瞭解可透過公開來源情報（OSINT）或在活動現場布置蒐集到資訊，藉此讓遊玩者體認到保護資料的重要性。

在「SSS的奇幻冒險」的體驗區中，玩家從5張紙卡要找出一組IP位址才能過關，當中需運用到資訊相關技術的熟悉度，並且融合大地遊戲的概念。