SECPAAS資安主題館-盧氪賽忒：透過演練驗證資安投資價值

由數位產業署與工業局所支持推動的SECPAAS資安整合服務平台(Security Platform as a Service)，在2022年同樣沒有缺席一年一度的 SEMICON Taiwan 國際半導體展，今年的SECPAAS資安主題館在9月14日到16日期間，號召多家台灣本土資安廠商共襄盛舉，邀請到鴻璟科技、眾至資訊、幻雲資訊、台眾電腦、杜浦數位安全、智弘軟體科技、雲智維科技、三甲科技、捷而思、全景軟體、盧氪賽忒、椰棗科技、中華資安國際、來毅數位科技、奧義智慧科技、睿控網安、博斯資訊安全、精品科技等18家廠商參與，並在第一天舉行「半導體設備資安推動誓師大會」，說明 SEMI E187 資安標準的推動成果。

活動現場除了擺設攤位展示資安強化技術與服務，也有三場資安小聚主題式講座，同時安排了 5 場「資安 Pitch Show」，由 10 家國內頗負盛名的資安解決方案公司輪番上陣，分享對於業界面臨的資安問題進行剖析，以及因應之道、趨勢分享。接著讓我們一起「親臨現場」，深入了解本屆資安 Pitch Show 的實用內容吧！

做好演練，避免零時差漏洞攻擊

盧氪賽忒：透過演練驗證資安投資價值
盧氪賽忒沈家生執行長認為，當企業想要更加強化資安體系的時候，不妨回過頭審視企業的資安建設相關問題：

• 資安建設健全性：有無涵蓋到面臨的威脅、是否如期運作、面對新興威脅能否應對。
• 資安團隊可靠度：對於資安設備的熟練度是否足夠、事件應變經驗是否充足、資安教育訓練與自身環境有無相符。
• 資安投資有效性：資安建設是否有重複投資、團隊規劃是否善用人力、資安體系是否能應對風險、資安投資規畫是否切合需求。

演練，是一個最快速也是最直覺的方式，檢視企業投入的資安維運成本是否有價值。盧氪賽忒沈家生執行長以各類型的資安平均年投資為例（104 人力銀行統計），一般產業一年的資安投資需要 750 萬元，金融單位 5400 萬元，大型企業 2800 萬元。對比資安事件造成的損失，這些投資不足為奇，因為光是一般產業，資安事件造成的損失就可能高達 1750 萬元，金融單位更是高達 1.1 億元，大型企業也可能面臨 6000 萬元的損失（KPMG 調查報告）。

也因此，演練成了企業必須做的事情，否則投入的成本，有可能是肉包子打狗，有去無回。沈家生執行長解釋：「傳統上會認為可以用紅隊演練檢視資安成效，但時至今日，零日攻擊盛行，內網攻擊難以防範，當企業僅有基礎的邊境防護，卻要與紅隊進行演練，就有如要一個剛出新手村的角色，去打大魔王一樣。」

因此，盧氪賽忒建議，應該利用第三方系統，協助企業執行更有價值的紅隊演練。沈執行長也強調：「演練不是為了打敗對手，而是要從中學習與成長。」盧氪賽忒以自家 LKCArgusHack 為例，透過這套系統，可以協助企業檢視資安建設是否足夠、驗證未來規劃成效、熟練資安應變操作、提升資安威脅經驗。經過系統的靶機群模擬，企業可以從中提升經驗，並檢視自身不足，加以強化、優化。等到需要進行紅隊演練時，企業的等級已經提升到接近紅隊的等級，能更精通資安防護、應對威脅。

資料來源:https://www.techbang.com/posts/100068-secpaas-security-pitch-show