【25】資安的原罪 ch.3-4.b 白色產業

本章見證研發科技還有資安相關的產業。

🚀 領頭科技公司

這些公司在全球科技創新、平台生態系與資訊基礎建設中處於領先地位：

• Microsoft

  • 領導企業軟體（Windows、Office 365）、雲端服務（Azure）、人工智慧與資安解決方案。

• Google (Alphabet Inc.)

  • 主導搜尋引擎（Google Search）、雲端平台（Google Cloud）、AI（Gemini）、以及行動作業系統（Android）。

• Apple

  • 領先硬體設計與消費科技（iPhone、Mac、iPad），建立封閉且穩定的生態系統（iOS、App Store），並持續投入隱私與裝置安全。

🛡️ 領頭資安公司與產品

這些公司與產品提供資安領域的技術和服務。

• Palo Alto Networks

  • 防火牆、雲端安全與威脅情報的領導者。

• CrowdStrike

  • 提供端點偵測與回應（EDR）、威脅獵捕服務。

• Fortinet

  • 網路安全、防火牆、安全的SD-WAN解決方案。

• Cisco

  • 網路與企業級安全解決方案。

• IBM Security

  • 提供SIEM系統（QRadar）、顧問服務與威脅情報。

• Check Point Software

  • 專注於網路安全與進階威脅防護。

• Ivanti

  • 提供統一端點管理（UEM）、修補管理與IT資產管理，強調零信任架構與漏洞控制。

• RSA Security

  • 身分與存取管理（IAM）、風險管理，以及SIEM解決方案（Archer、SecurID）。

• Wazuh

  • 開源安全監控平台，提供SIEM、入侵偵測與混合雲合規性工具。

• Trend Micro（趨勢科技）

  • 專長於防毒、雲端安全與XDR（延伸偵測與回應），涵蓋端點、網路與工作負載。

• SentinelOne

  • 基於AI的端點防護平台，提供EDR、XDR與自動威脅回應功能。

🐞 漏洞懸賞計畫

如 HackerOne、Bugcrowd 等平台，或由公司自行舉辦的計畫（如 Google、Apple），
會付費給資安研究人員，以負責任地回報安全漏洞，協助建立更安全的網路環境並減少零時差攻擊（Zero-Day）風險。

• HackerOne

  • 全球最大漏洞懸賞平台之一。與 Uber、Twitter、美國國防部等機構合作，群眾外包漏洞發掘。

• Bugcrowd

  • 提供漏洞懸賞、弱點揭露與滲透測試等服務，專注於可擴展的群眾外包資安測試。

• Google 漏洞獎勵計畫（VRP）

  • 鼓勵回報 Google 產品的漏洞（如搜尋、Android、Chrome 等），以高額獎金與高度透明聞名。

• Apple 安全獎勵計畫

  • 針對 iOS、macOS、watchOS 和 iCloud 的漏洞，提供高額獎金，尤其針對完整攻擊鏈的重大漏洞。

🧠 資安人才框架

組織可依據自身需求，參考這些框架來制定人才策略與培訓計劃。

European Cybersecurity Skills Framework (ECSF)

由歐盟資安機構 ENISA 推出的 ECSF，旨在統一歐洲境內資安專業人員的職能標準。
它定義了 12 種資安專業角色，每個角色包含：

• 主要工作與任務
• 所需技能與知識
• 角色間的責任劃分及互動關係

此框架有助於協調歐洲各國資安教育、培訓和人力資源規劃。

National Initiative for Cybersecurity Education (NICE)

美國國家標準技術研究院（NIST）制定的 NICE 框架，是一套全國性資安人才發展標準。
NICE 詳細劃分：

• 7 大工作類別（如資安防護、分析、運維等）
• 33 個專業領域（涵蓋資安分析師、事件回應員、審計員等多種職能）
• 超過 50 個具體工作角色，並為每個角色定義所需的知識、技能與能力（KSAs）及主要任務

NICE 框架協助政府、企業及教育機構建立標準化語言，設計培訓課程並規劃職涯發展。

原罪

1. 沒錢

與駭客行為相比，從事資安合法工作幾乎沒有經濟誘因。無論是正職工作、研究還是非營利組織，資源普遍匱乏。就算發現同樣的漏洞，回報給官方的漏洞懸賞，獎金往往遠低於黑市交易價格。更諷刺的是，「找出弱點」有錢可拿，而「修補弱點、研究解法」卻沒有獎金。

2. 花錢

資安投資非常昂貴。像是僅為了過濾垃圾郵件，全球每年就花上超過 200 億美元^10。但如此龐大的花費，卻很難衡量其成效，即使表面成功攔阻大量攻擊，也無法代表抵禦了真正有重大威脅的攻擊。難以量化績效的資安永遠面臨「沒出事代表沒被攻擊，出事代表防禦無效」不管怎樣都是浪費錢的質疑。

3. 困難

許多產品出廠時能正常運作就已經是高標準了，何況是安全考量。實際上，就連專為防護而設計的資安工具本身，也常出現嚴重漏洞，成為攻擊破口。^3 ^4 ^5 ^6 ^7 ^8 ^2 照顧不了自己和客戶的資安業者充分顯示要做到安全有多困難。^1 ^11 ^12 ^13 ^14

4. 免責

目前法規對廠商幾乎沒有責任要求，使用者在安裝軟體前必須同意的最終使用者授權協議（EULA），往往包含放棄起訴與追責的條款。既然出事不需承擔法律責任、顧客也不會流失，廠商放棄安全考量是理性的商業選擇。