CYBERSEC 2026 臺灣資安大會之CYBERSEC ARENA 資安競技場

逛展就如同古人的智慧，一開始見林不見樹，再來見樹不見林，最後見樹又見林。一開始參加資安展時拿了成噸的DM，與上萬家廠商聊天，最後發現要導入什麼方案老闆不給錢全是白搭。既然只是牛馬，有多少錢做多少事，從現有的方案進行規畫，比起一下拿個先進的方案但老闆看都不看有用。

本次與新創公司思備有限公司執行長謝奇樺相談甚歡，雖然是一間新創小公司，和QNAP借攤位，但成員具有多年業界實務經驗。這間公司以「提供專業管理顧問與諮詢服務，製作企業與品牌網站、客製化網頁程式開發、APP製作、AI 應用部署、資訊架構環境建構、個資保護、資安合規與人資服務。」

該公司展出的商品是ANMAS 人工智慧網路惡意封包分析系統，通常我們就算擁有NDR產品(如卡巴斯基反針對攻擊平台)，也只能將偵測到的威脅流量匯出後，再用WireShark進行分析。在對話式AI已經能夠嵌入系統的年代，這個方法已經過時，我們就能利用ANMAS的特性，使用自然語言請它找出可疑流量，也不用像購買KATA、Fortinet等品牌花大把鈔票。

封包儲存部份使用的是QNAP，因為「在NAS高速傳輸的基礎上，也已加入了支援輝達（NVIDIA）顯示卡的設計」，我家裡的QNAP去年也買了一張顯卡，在影片轉檔、RAG檢索上速度提升很多。該公司另有投資網路媒體CyberQ，有這方面的需求都可以找這間公司。

除此之外，了解越多就發現哪些人只是吹牛逼，哪些廠商有真正的實力。例如防毒軟體廠商很愛說自己在ATT&CK® Evaluations獲得100%可視性，但參加這個測試要將許多功能關閉，才能符合要求，在真實世界裡關閉這些功能本來就會降低偵測率，且去年微軟、Palo Alto Networks、SentinelOne宣布退出此測試，一來證明這些測試發佈後，駭客早就有新的攻擊手法，二來雖然官方表明不會給任何公司打分數，但廠商會用這個評測自己打100分，這樣的測試早已失真。

利用ATT&CK® Evaluations吹牛，除了100%可視性外，還有一個是說自己的信噪比（Signal-to-Noise Ratio, SNR）非常高(信噪比越高越好，公式：信號/噪音 x 100%，即「誤報、無害的正常系統活動/真正的惡意攻擊行為」)。但是某些行為單獨看可能是惡意，關聯下去看並非惡意，這也是ATT&CK® Evaluations沒辦法測出，他們只看單一行為是否告警來算分。

還有很多不能說吹牛，實際上有效果，但屬於行銷話術一塊，例如Deep Instinct以深度學習阻止多變的惡意程式，廣告商也說可以防禦零日漏洞、或未知威脅，既然是零日、未知，就表示無法防禦。又或是為了推銷Nutanix說vmware虛擬機有漏洞容易被勒索病毒加密，事實上任何系統都有漏洞，多層次防禦才是抵抗威脅的方法。

從第一家到最後一家都高喊AI，把AI當興奮劑打，反而不以AI當宣傳的廠商顯得更加珍貴。例如DEVCORE就算研究時會用AI輔助，但現階段並沒有打算販賣AI紅隊演練工具，畢竟人的攻擊才能千變萬化，發展出新的手法與創意。

每年總要去卡巴斯基蹭贈品和聽演講，如果拋開政治意識、以及在中國有設廠，我都建議使用卡巴斯基，一來是僅次於西方的Mandiant、CrowdStrike可以進行詳細的事件調查的資安公司，二來也有能力進行紅隊演練，與DEVCORE一樣具備駭客思維，三就是擁有與美系廠商匹敵的威脅情資，最重要是便宜大碗。

卡巴斯基全球威脅分析團隊由世界各地頂尖駭客組成，抓到許多非常隱密的持續進階滲透(APT)

從Office Scan到Vision One，再到TrendAI，什麼都要改名AI。以後就會有消防栓AI，礦泉水AI，牙膏AI

FortiOS 8.0推出沒多久，內建AI對話機器人，可以進行事件調查、網路修復，還多了控管AI平台的模組

既然知道廠商大多吹牛，老闆也不給錢，那就去玩玩CYBERSEC ARENA 資安競技場，停止嘴砲，手撕駭客。

這次的資安競技場是由TRAPA Security舉辦，他們的使命是「推進政府、企業、社群對資安的危機意識與人才培訓提昇社會整體的資訊安全。」使用的平台是TRAPA CYBER RANGE，根據官網介紹，這個平台是用來進行網路威脅實戰演練，精進資安團隊應變能量，目的是：

實戰強化調查能力

模擬資源有限的 SOC 進行攻防演練，協助資安人員練習評估事件嚴重性及處理順序。利用有限資源最大化調查成效，縮短實戰反應時間。

深度掌握攻擊全貌

模擬 APT 族群攻擊鏈，完整重現攻擊始末。使用者從防禦方角度拼湊攻擊者行為，建立從案例中還原威脅事件全貌能力。

整合國際資安標準

結合國際標準 MITRE ATT&CK 與 NIST NICE 框架，明確標示演練內容對應的攻擊技術及能力，以利資安人員進行系統性的訓練，掌握符合行業標準的知識與經驗。

量化團隊演練成效

將團隊與成員演練結果以資訊面板量化呈現，幫助企業了解資安團隊真實能力情況，進一步擬訂訓練策略與運用方針。

我的結果如下，Code Breaker沒有解完。因為模擬受感染的主機架在AWS上，受感染主機無法聯網，工具只有Visual Studio Code和Process Monitor，身為半吊子AI認證資安專家沒學過如EC-Council CHFI的認證課程無從下手，只能從log檔大海撈針。現在任職公司有EDR和MDR環境真的太幸福了，不用從0開始挖掘駭客XD。

比賽時完全沒有提示，如果未來改成手把手教學解題會更好，不然就和待在SOC Team或做數位鑑識一樣了XD。