作者pl132 (pl132)
看板Tech_Job
标题[新闻]如何挡下网攻不破防?华硕资安长曝粗暴解
时间Sat Oct 18 00:17:25 2025
如何挡下网攻不破防?华硕资安长曝粗暴解方:强制推行15码密码,骇客就会「累到放手
」?
https://www.bnext.com.tw/article/84769/asus-cyber-attack
随着AI、量子技术的发展,资安威胁也随之不断进化。根据Check Point Software
Technologies的威胁情报部门数据显示,2025年第2季全球每周遭受网路攻击的次数平均
为1,984次,和2024年同期相比增加21%,与两年前相比更成长了58%。
其中,台湾的网路攻击情况特别严重,平均每周遭到4,055次攻击,位居亚太地区之首。
而台湾受攻击次数最多的前三大产业,依序为硬体供应商(平均每周8,139次)、政府与
军事机构(5,042次)和制造业(4,983次)。
面对日益升级的资安风险,华硕资安长金庆柏指出,早期骇客只是单纯为了炫技,到现在
演变成全球化、生态系化的「勒索即服务」的犯罪模式,攻击者已将获利模式变得更精准
化、规模化。
资安防御如今已不再是单纯的IT技术问题,而是攸关企业生存与品牌信任的战略议题。而
面对当前的资安威胁,华硕将其归纳为两大类:
威胁一:利用AI大量产出钓鱼讯息
如今,骇客不再需要花费大量时间手写恶意程式码或设计社交工程邮件。透过生成式AI,
骇客就能大规模的产出语意完美,且高度客制化的邮件或讯息,大大提升了员工被钓鱼或
社交工程攻击成功的机率。
此外,透过深度伪造(Deepfake)的影像与声音,诈骗集团也能模拟高阶主管的声音、外
貌,发动「变脸诈骗」,直接锁定财务或供应链人员,造成难以追回的巨大财损。
威胁二:针对AI系统本身的攻击
当AI模型成为企业的核心资产(例如内部知识库LLM或智慧生产系统),骇客的目标也开
始转向模型本身。例如透过恶意输入,让AI模型做出非预期的行为,甚至窃取训练数据或
机密输出。再加上近年AI代理人的兴起,只要这些能自主执行任务的AI体系被渗透,潜在
的破坏力更是不容小觑。
简单粗暴但有效的防范招式:密码升级至15码
随着生成式AI与供应链攻击日益复杂,金庆柏认为,现在企业资安遇到最困难的挑战,其
实是「人与文化」。
「企业防护做得再好,可是只要有一个员工粗心大意,就可能把公司几十年辛苦的防范,
全部化为乌有。」金庆柏强调,再复杂的技术防御,其实都可以靠预算解决,但人性的疏
忽却可能让资安防线瞬间瓦解。因此,华硕认为,资安工作的核心在於文化转变,必须建
立起全公司「保密防骇,人人有责」的集体意识。
为了让资安防护深植於企业DNA,华硕采取了各种不同的策略, 其中最让人意想不到的,
就是强制推行15码的高强度密码。 金庆柏指出,多数企业会在IT系统端下功夫,却忽略
了员工的个人装置与习惯。然而,这小小的一个举动,却是一个「便宜」却又非常有效的
方法。
金庆柏强调,只要密码从4码升级到15码的安全强度, 就够确保骇客在现有技术下需要花
上百年才能成功破解,极大地提升了资料的安全性。 「就算你把密码贴在电脑底下,我
们不鼓励,但也会比单纯4码密码安全的多,」金庆柏笑着补充,「毕竟能进到公司、办
公室偷取机密的人,就已经大大减少了。」
另外,华硕的资安长也亲自扮演「资安传教士」的角色,透过持续性的教育、训练和年度
的资安周活动,不断向全体员工宣导和传递资安意识,确保这种「人人有责」的防骇观念
,能够从上到下,真正成为华硕企业文化的一部分。
华硕怎麽应对AI带来的资安挑战?
要在AI时代安全地利用AI工具,除了公司内部资安文化的建立,一个由上而下且持续优化
的治理框架更是关键。
「没有任何企业能保证永远不发生资安事故,」金庆柏强调,企业能够不支付赎金的「底
气」,就在於是否具备强大的数位韧性,而这样的韧性,则必须具备完善的灾害备援机制
、严谨的资料分级与保密,以及能够快速恢复营运的系统能力。
策略一:灾害备援机制
备份的最终目的,是确保在数据遭到加密或破坏後,企业能随时「倒带」回去,以最快的
速度以备份的基础重建系统并恢复资料。
因此在资料保护上,金庆柏建议实施「3-2-1」的备援机制,也就是企业的关键数据「至
少要有三份副本,储存在两种不同的储存媒介上,其中一份必须存放在异地或云端」,这
样就能应对各种极端灾害。
策略二:严谨的资料分级与保密
面对AI时代的来临,华硕在2024年成立了由董事长亲自指示跨部门的GenAI委员会,负责
统筹全公司的AI技能培训,更设立了标准化的资安审查流程,要求任何部门导入第三方AI
服务都必须通过评估,从源头保障企业机密。
最关键的是,这项政策采用PDCA(计画-执行-检查-行动)循环,并严格执行「红线禁区
」,明确禁止将「机密」及以上等级的数据用於未经核可的公开AI模型,确保企业核心数
据安全。
策略三:能够快速恢复营运的系统能力
在攻击发生前,企业内部也应设有应对资安事故的标准作业流程。这套SOP必须明确纪载
事故发生後,所有部门的职责和具体应对行动。这样在被攻击後,团队也能不手忙脚乱地
一步一步照流程处理。同时,华硕也加入了FIRST等全球资安社群,确保内部团队能随时
与国际领先者同步,不断提升资安应变的成熟度。
「资安防御的最终目的,是让企业具备在风险中持续营运的能力。」金庆柏最後强调,只
有将资安从技术任务提升为全员文化,并将其视为设计与营运的核心价值,企业才能真正
的实现永续经营。
骇客应该都直接攻击企业的资料库在反手泄漏出去吧
台湾企业比较危险吧,很多都没再管这一块
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 123.195.194.185 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Tech_Job/M.1760717847.A.45E.html
1F:→ iverson0991: 金庆柏笑着补充,「毕竟能进到公司、 114.43.101.93 10/18 01:12
2F:→ iverson0991: 办公室偷取机密的人,就已经大大减 114.43.101.93 10/18 01:12
3F:→ iverson0991: 少了。」 114.43.101.93 10/18 01:12
4F:推 cancelpc: 太长密码,反而一堆人都用纸抄下 111.249.180.48 10/18 02:48
5F:→ cancelpc: 反人性的资安解决方式,最容易让人犯低 111.249.180.48 10/18 02:48
6F:→ cancelpc: 级错 111.249.180.48 10/18 02:49
7F:推 ptta: 可怜啊 114.44.235.92 10/18 09:01
8F:→ Bombardier: FIDO 成员可以回家吃自己了 36.229.28.14 10/18 10:15
9F:推 centra: 这不行 因为人记不住这麽长的密码114.137.202.216 10/18 10:27
10F:→ centra: 反而让很多人把密码写在纸上避免忘记114.137.202.216 10/18 10:28
11F:推 kanpfer: 企业被勒索从来不是密码太短 27.52.7.129 10/18 11:06
12F:推 onnie: 长密码蛮有用的,但是密码规则烂 122.121.80.77 10/18 11:12
13F:推 onnie: 用多个随机单词拼再一起 122.121.80.77 10/18 11:15
14F:→ onnie: 比短密码但是很多规则还难破解 122.121.80.77 10/18 11:15
15F:→ onnie: 多个单子对人类来讲也好记忆 122.121.80.77 10/18 11:15
16F:推 mark850121: 伺服器事业部总经理 难怪华硕的伺服 114.37.159.238 10/18 11:22
17F:→ mark850121: 器... 114.37.159.238 10/18 11:22
18F:嘘 Zoanthropy: 蛤 这麽过时的方法 我还以为是拔网路 42.73.52.220 10/18 11:42
19F:→ Zoanthropy: 线 42.73.52.220 10/18 11:42
20F:→ rogergon: 多阶段认证这麽好用的东西不用111.250.127.180 10/18 12:01
21F:推 kkes0001: 可悲推文只看标题,甚至一楼都复制重点 223.137.14.35 10/18 12:04
22F:→ kkes0001: 回答了还是看不到,人家早回答抄纸上的 223.137.14.35 10/18 12:04
23F:→ kkes0001: 问题了 223.137.14.35 10/18 12:04
24F:→ kevinmeng2: 这主管…呵呵,鬼故事很多 219.70.152.87 10/18 12:15
25F:推 gtjs45: 豪厉害喔 不愧是资安长 223.140.66.216 10/18 13:34
26F:推 shyshyan: 我还以为打中文注音输入英数就是最暴力 111.246.189.79 10/18 15:00
27F:→ shyshyan: 的密码 111.246.189.79 10/18 15:00
28F:推 justdoit: 用注音打,好记又可以长,前提是要有键盘 1.163.83.46 10/18 16:50
29F:→ justdoit: 用手机的就有要键盘注音对照表 1.163.83.46 10/18 16:51
30F:推 ChungLi5566: 密码越长越容易撞库攻击 61.57.105.8 10/18 17:14
31F:→ ChungLi5566: 因为根本记不起来 都同一组一直用 61.57.105.8 10/18 17:14
32F:推 gmoz: 也没错啦... 比起难搞复杂 长度长比较方便 111.248.195.21 10/18 19:28
33F:→ gmoz: 也比较安全 111.248.195.21 10/18 19:29
34F:推 lt921205: 整个资料库被攻破密码长还有用? 60.250.203.250 10/18 19:44
35F:推 orange0319: 哇,资安长好棒喔 (死鱼眼 114.136.234.64 10/18 19:50
36F:→ ah7675: 看完完整内容觉得他说的其实没什麽问题, 1.164.15.28 10/18 20:09
37F:→ ah7675: 也符合实务。记者标题杀人,看推文就知道 1.164.15.28 10/18 20:09
38F:→ ah7675: 内文根本没看。 1.164.15.28 10/18 20:09
39F:→ dildoe: 意思原先的只用密码认证然密码复杂度不佳?118.168.176.120 10/18 20:56
40F:→ dildoe: passwordless,password manager都是花拳秀118.168.176.120 10/18 20:57
41F:→ dildoe: 腿?118.168.176.120 10/18 20:57
42F:推 dream1124: 四码是pin code还是密码?我想是密码 36.227.198.33 10/18 21:14
43F:→ dream1124: 那样的话说很逊也没错啊。都2025年了, 36.227.198.33 10/18 21:15
44F:→ dream1124: 才在禁止这麽短的密码,而且为这种事 36.227.198.33 10/18 21:15
45F:→ dream1124: 买行销宣传那也太奇怪了吧~ 36.227.198.33 10/18 21:16
46F:推 maxman77: 断网就好 简单~ 111.240.142.51 10/18 21:16
47F:→ dream1124: 同时使用启用特徵辨识并不定期要求MFA 36.227.198.33 10/18 21:18
48F:→ dream1124: 然後人人发实体金钥这样再来说吧 36.227.198.33 10/18 21:18
49F:→ dream1124: 或者门禁与资通讯身份认证系统完全整合 36.227.198.33 10/18 21:19
50F:→ dream1124: 不要拿门禁卡又要密码还要装认证器。 36.227.198.33 10/18 21:20
51F:→ dream1124: 做到这些再出来发宣传稿还差不多 36.227.198.33 10/18 21:21
52F:→ ericthree: 我有更好的方案 20码! 220.129.135.12 10/18 21:39
53F:推 solothurn: 一楼引用的算回答? 原来资安只需防外 1.162.191.191 10/18 23:46
54F:→ solothurn: 人 1.162.191.191 10/18 23:46
55F:推 mathrew: 一看就标题杀人 36.230.53.88 10/19 07:40
56F:推 silver5566: 你只要不要限制要大小写符号等等的,118.171.108.148 10/19 09:11
57F:→ silver5566: 人很容易记住15个字的密码,你可以用118.171.108.148 10/19 09:11
58F:→ silver5566: 生日、简单英文等等拼凑118.171.108.148 10/19 09:11
59F:推 wulouise: 没有万用解,但是admin acc低强度密码被 223.137.226.94 10/19 11:27
60F:→ wulouise: 破很常见吧 223.137.226.94 10/19 11:27
61F:推 onnie: 密码太常见或是太短容易被md5撞库111.242.141.253 10/19 12:02
62F:→ onnie: 太长根本不是问题111.242.141.253 10/19 12:02
63F:→ onnie: 同一组一直用短密码也是一直用啊111.242.141.253 10/19 12:02
64F:嘘 pttano: 还好不是金融密码,用15码密码保护我5码存 42.71.82.21 10/19 13:39
65F:→ pttano: 款 42.71.82.21 10/19 13:39
66F:推 gold9450412: 密码复杂性 不是行之有年的事情了吗 49.216.111.210 10/19 15:20
67F:→ gold9450412: 真的要防的是 不用暴力解的高阶骇客 49.216.111.210 10/19 15:21
68F:→ gold9450412: 吧 49.216.111.210 10/19 15:21
69F:→ windlll: 社交工程攻击,多长的都没用 59.115.153.65 10/19 17:06
70F:嘘 LiebeLion: 有这种高层难怪华硕长这样 39.12.57.165 10/19 18:46
71F:→ ssccg: 其实长密码,用句子就是最好的方法没错118.150.124.138 10/19 22:11
72F:→ ssccg: 那种要求大小写特殊符号的才是低能118.150.124.138 10/19 22:11
73F:→ ssccg: 密码复杂度就是个迷思,而长度是「唯一」保118.150.124.138 10/19 22:12
74F:→ ssccg: 证对抗暴力破解时能确实增加强度的规则118.150.124.138 10/19 22:12
75F:→ ssccg: passwordless、password manager本质是把密118.150.124.138 10/19 22:14
76F:→ ssccg: 码设计垃圾的系统转换成别的认证方式118.150.124.138 10/19 22:14
77F:→ ssccg: 跟怎样的密码才是好的,是两回事118.150.124.138 10/19 22:14
78F:→ ssccg: 多因子认证也一样,如果要记忆性因子还是要118.150.124.138 10/19 22:16
79F:→ ssccg: 回归到密码强度,而且不是只看数学上的强度118.150.124.138 10/19 22:17
80F:→ ssccg: 能让人「记住」的密码,才能保证是个记忆性118.150.124.138 10/19 22:17
81F:→ ssccg: 因子118.150.124.138 10/19 22:17
82F:→ ssccg: 这世上没有什麽不用暴力解的高阶骇客,一个118.150.124.138 10/19 22:18
83F:→ ssccg: 安全演算法,就只有暴力、社交工程两种攻击118.150.124.138 10/19 22:19
84F:推 zaiter: 台湾资料基本被中美看光光了 偷光光了 公116.241.140.206 10/20 06:52
85F:→ zaiter: 司it根本抓不到资料怎麽泄漏的116.241.140.206 10/20 06:52
86F:→ jiajie: 将帅无能... 61.220.204.243 10/20 10:17
87F:推 Csongs: 特殊符号大小写真的没必要 49.216.162.134 10/20 13:28
88F:→ Csongs: 真正密码专家应该不强制要求这些 49.216.162.134 10/20 13:29
89F:推 WaterLengend: 我快笑死 61.231.59.91 10/21 01:25
90F:推 plant: 不就是NIST 2025的更新吗 117.56.170.109 10/21 14:32