【跟上全球资安潮流眼光要准】关于台湾厂商参与国际级资安产品评测，大家怎么看？

近期，台湾有资安新创奥义智慧的资安软件产品服务，在国际舞台上崭露头角，因为他们参加了一项MITRE ATT&CK评估计划，能与众多国际知名资安业者有比拼技术实力的机会，而这样的一件事，或许大家更想知道其意义是什么？

因此，我们将从以下几个层面一一解析，包括这项评测为何受到资安界重视？企业又应该如何看待评测结果？而奥义智慧这次的经验，是否能鼓舞台湾资安人才，在资安产品研发这条路也可以勇闯国际？

透过评测结果完全公开的活动形式，促进资安产品发展

为何资安圈很重视这项评估计划？基本上，若要了解评测的意义与价值，我们对ATT&CK框架也要有一定的认识。

对于难以防范的APT攻击，MITRE已经建立一套能更清楚描述骇客行为、意图与作法的ATT&CK框架，并定义出共通语言，这对于盛行攻防与情资的资安业界而言，相当重要。

同时，MITRE本身也与一些大型资安业者合作，因此当有新的骇客攻击手法被业者发现，也能汇整到架构之中，相对地，资安业者也可以应用此框架来沟通攻击行为，企业也可用以评估自我防御。而MITRE发起的评估计划，也因为能模拟实际骇客组织的APT攻击，加上是一种类竞赛的活动方式，有助于各方评估之用，同样受到多方关注。

对此，提供资安顾问服务的勤业众信，本身在资安评估时也会用ATT&CK来谈防御的概念，针对评估计划，他们也提出看法。该公司风险资讯服务协理陈威棋表示，由于每次评测都会参照一个APT组织，这是很不错的思维，利用模拟真实骇客组织发生过的攻击手法，将能检视特定已知攻击的侦测能力，像是这次模拟APT29的攻击，由于该组织较少使用恶意程式，大多是无档案式的攻击手法，透过PowerShell入侵，就很特别，因此不同骇客组织其结果也有差异。更重要的是，外界都可以在网站上看到各家的详细评测结果，相当透明。

对于评估计划的发展与价值，有多年与MITRE的合作经验，已经成立30年的台湾资安大厂趋势科技，也提出他们的观察，而他们也是这次参与评测的厂商之一。该公司全球产品事业部陈韦良协理表示，趋势科技之前就曾将新发现的骇客组织技术手法，提出到ATT＆CK框架，这次他们也有派出4人前往MITRE总部参与测试，他是其中之一，其他3位则是来自北美地区的同事。

从这次测试经验来看，即便他们提到自家在整体侦测率表现是最好，不过趋势科技也认为，借由评测所得的资讯，将能让他们能够了解需要改进之处，这有助于产业开发更好的产品。例如，这次的纯侦测模式，可有助于增强SOC的情报能力。

对于这样的发展现况，陈韦良表示，从MITRE提供的ATT&CK Navigator就可看出，目前已经汇整了多达86个不同的APT组织，他指出，未来MITRE应该会加速评估计划的进行，也就是每年评测次数会增加，以更多攻击组织为设想，他们也乐观看待其发展。

例如，趋势科技有针对误报率的问题，与MITRE讨论是否要纳入评测，只是目前还没看到解决方法，至于现阶段的评测主要聚焦在产品侦测能力，他们认为，后续将会加入产品防护成效的项目，毕竟各家产品策略不尽然相同，以他们自身的产品功能而言，在侦测之外，也更会强调关键之处的阻断能力。

因此，这项评测有助于资安产品的设计，同时MITRE也在持续精进与扩大评测面向。

借助评测结果找到最适合的产品，重点是了解自身资安资源

从另个角度来看，对于企业而言，ATT&CK框架对企业防护评估也有助益，而对于这样的评测结果又该如何看待呢？已有不少专家给出分析与意见。

勤业众信资讯服务副总经理林彦良表示，最主要的观念，在于企业拥有什么样资安的资源，如此才能知道自己的需求，而他们常遇到的状况是，客户连需要什么都不知道，只想要最好的，但其实应该是找最适合的。

而我们也在评估结果出炉之后，看到有国外专家Jonathan Ticknor将公司分成三种需求形态，像是SOC还不成熟、SOC较成熟，或是需仰赖MSSP，这是因为各自的环境与条件有差，看待测试结果的方式就会不同，他并提出自己的一套评分标准。而全球市调研究机构Forrester的资深分析师Josh Zelonis，也曾针对首轮评估提出自订评分标准，对于第二轮评估，他则进一步从警告的效率与质量，讨论警告品质的问题。

不过，林彦良也认为，这样的评测确实是有帮助，但需要时间教育。如果只靠这样的评测结果，就要让客户买单，其实还是不容易。主要也是ATT＆CK相当偏重攻击技术层面，即使资讯人员能够理解，但要用此评测当报告向老板解释时仍有难度。他也举例，如果是金融业要拿评估计划来衡量，会比较容易带来帮助，但他曾接触过国内的隐形冠军企业，其资安防护就只有一个防火墙，基本资安防御落差太大，要利用评估计划来检视就不太适合。

但无论如何，当国外已有很多讨论的声浪，而台湾现在也开始越来越多人关注这件事，对于国内企业组织在资安方面的观念与规划上，应是相当有帮助。

特别的是，林彦良认为，依照MITRE的逻辑来看，这样的评估计划谈的应该不只是单一产品，而是一个产品组合，或许，最后可能演变成不同产品结合的防御平台，也就是A＋B有更好的效果。

 学界观点  资安人才培育从三大面向着手，本土资安产品要懂得行销自己的品牌

关于国内资安业者参与ATT＆CK评测这件事，从不同角度来看，不只是本土品牌更容易被国际看见，例如，在这次评测结果之后，美国推出的知名创投机构Momentum资安地图，也将奥义智慧纳入。同时，这似乎也鼓舞了台湾资安新创，因为突显了我们的技术能力并不逊色。对此，我们询问到台湾科技大学资讯管理系特聘教授吴宗成，以了解现在的资安人才培育上，还能够造就更多这类型人才吗？

首先，吴宗成认为，现在国内不管资安新创与老将，都很愿意投入人才的培育，这点值得肯定。接着，他从资安人才要有三个层次谈起，包括资安技术人才、资安管理人才，以及资安政策人才，他认为，奥义智慧的的三位创办人就符合这样的条件。加上他们之前已有研发、创业的实战经验，因此，新的产品开发上，已经累积了足够的经历。

对于台湾发展本体资安软件产品的挑战，以及需要的条件，吴宗成表示，首先的挑战，就是国内市场规模不够大，创业资金取得有难度，如果企业在初期没有稳健的发展，可能很难撑得下去，更重要的一点，要建立自己的品牌其实不是那么容易，他从管理角度说明，建立品牌的成本，其实要比技术成本还高。而在国际市场行销上，他认为品牌行销更是一大障碍，而语文表达能力是相当大的关键，这些都是可以思考的面向。