【09】資安的原罪 Chapter 3：資安的原罪

我們投入巨資防守，但資安事件仍層出不窮。為什麼我們花了這麼多努力，卻好像毫無進展？
本章將試圖從四個面向切入，深入剖析造成資安問題的根本原因。

歷史開發

現今資安的困境並非一朝一夕所致，而是數十年技術發展下的歷史產物。我們所依賴的軟體與網路系統，是在未曾考慮安全性的邏輯下建立起來的。
在不安全的基底上，無論怎麼添加安全促施，那都無異於將堡壘建在沙子上。
當今網路相關體系已經發展得極為龐大與複雜，並且持續快速擴張，形成長期的技術債、結構性的問題。

「未來是過去的鏡像，要改變未來，可能得先推翻過去。」

紅方進攻

進攻方擁有壓倒性的優勢：

• 易攻難守：攻擊面大、手法多、目標多，且只需成功一次即可入侵；防守方卻必須全面防護，24小時不間斷、每次都不能失手。
• 工具易使用：「開槍只需扣下板機，但建立防護槍擊的裝備則非常困難」。攻擊方的工具和技術容易取得，用最少的資源就能發動毀滅性的攻擊。而當前AI輔助工具如 HexStrike-AI 等，繼續加深天秤的傾斜^1。
• 同樣技巧屢試不爽：許多攻擊手法在不同的系統上反覆有效，因為人會犯同樣的錯誤，或未能及時修補已知的弱點。

「攻擊的成果立竿見影；而防守的成功沒有盡頭。」

藍方防守

防守方面臨著極為嚴峻的挑戰：

• 成功無從驗證： 「沒有偵測到入侵，不等於沒有被入侵」。如同「惡魔的證明」，擋下了幾次可見的攻擊沒辦法代表當前是安全的。
• 資源有限技術門檻高： 資安領域範圍廣且深，每個學科都有其獨特的挑戰，即便精通單一領域，防守者仍難以全面掌握整體資安局勢。對如此高的人才門檻需求，能獲得資源卻非常有限。
• 資安提升反而加劇攻擊強度：「攻防像病毒與疫苗的對抗，防禦愈強，攻擊愈進化」。雖然資安防護、AI偵測等技術進步，但這同時也促使駭客手法不斷升級，變成更具威脅更難偵測的攻擊。

資安防守如同建立一道圍牆，而這道牆的強度，取決於最脆弱的一環。一旦最弱的區域遭到突破，整體防線將全面失守。

利益衝突

我們對於不具價值的事物安全並不關注。所謂「紅顏禍水」，資安問題之所以如此嚴重，正是因為資訊具有極高的價值。

攻擊方動機強烈

• 金融詐騙、勒索軟體、商業機密竊取等犯罪行為，能帶來巨大的經濟回報
• 國家級駭客以政治或軍事為目的的，進行長期滲透攻擊

防守方處處受限

• 組織和企業能投入的資安資源有限，且其效益常難以精確衡量
• 開發商設計安全的產品，成本需提高且功能常受限，而市場不願買單

一旦涉及利益，事情就變得複雜了。

結語

從歷史脈絡、攻防態勢到利益驅動，我們將發現，資訊安全的問題已經不單是技術層面的挑戰，而是從底層到整個結構性的困境。

筆者選擇用"原罪"這個詞代表一些難以解決的根本問題。接下來會帶讀者快速順過常見的基本概念，並在最後列出筆者認為的"原罪"。
讀者在看的時候可以嘗試自己先先想看，當前資安的困境該從何下手，也許你有更經深入的見解，而那也許將成為改變未來的基石。