贖金禁令反效果？資安保險仍暗藏風險？資安長必知的核心關鍵

網路犯罪不僅是一種技術威脅，它是一門蓬勃發展的全球性生意。而在理解這門生意的演變過程上，很少有人比布萊恩・博提格（Brian Boetig）更具洞察力。布萊恩擁有超過 35 年的國安與公共安全資歷，曾擔任 FBI 助理局長、美國外交官、中情局聯絡官，以及國際顧問公司的合夥人。目前他是 Global Trace 的首席顧問，致力於協助企業建立網路韌性。

在本篇文章中，布萊恩分享了他如何運用執法與情報經驗影響他今日的資安觀點，他也深入解析了，為何威脅行為者能夠搶占先機，而企業往往因應不足而處於劣勢。

從搶劫商店到數位勒索

布萊恩的調查橫跨國際綁架到本土的數位勒索。這些犯罪之間的共通點是什麼？「掌握籌碼」的手段與目的。

布萊恩說：「我們處理綁架勒索的方式，就和現在應對勒索軟體的方式相似」「你知道是誰做的、知道他們的作法，甚至知道該怎麼談判。這就是一種商業模式，而且他們的運作比一些合法企業還要有效率。」他指出，網路犯罪在經濟學層面上對攻擊者極為有利。布萊恩說「如果你在實體店鋪搶了 50 美元，整個警察小組都會出動」「但你若在線上偷了 50 萬美元？在多數司法管轄區、執法單位根本不知道該怎麼處理。」網路犯罪具備可規模化、無國界且隱閉性極高。布萊恩認為，除非防禦方也能採取類似的商業、策略性思維，否則永遠無法追趕上。

「你親自搶一間店只搶走 50 美元，警方會整隊出動；但線上偷走 50 萬美元，多數地方的執法單位根本無從著手。」

全面禁止贖金支付，真的是正確的策略嗎？

「是否該允許企業支付贖金？」一直是激烈辯論的話題。布萊恩從根據其在聯邦調查局及企業危機顧問的經歷指出：「這類情境無法一體適用。有時候若不支付贖金，企業可能面臨無法生存的風險。」布萊恩舉了一家律師事務所為例，該公司整個客戶歷史資料都被鎖住。若不支付贖金，若他們不付款，不只生意做不下去，連多年建立的聲譽也將一夕崩解。雖然全面禁止贖金支付看似能產生嚇阻作用，但布萊恩認為，這麼做可能讓受害企業再受一次傷害，「你等於剝奪了企業少數能用來求生的工具之一」。

他主張應採取更精細、有彈性且更務實的策略，例如：

• 透過資安備戰，降低支付贖金的動機
• 強化資安基本功，如定期備份與防護措施
• 導入更智慧的資安保險制度
• 減少那些過度簡化企業實際情境的法律規範

與其實施全面性的禁令，企業更應建立一套兼顧風險控管、營運韌性與決策現實的資安對策，特別是在面臨資安事件衝擊後的關鍵時刻。在韌性、風險與實務之間，找到平衡點，幫助組織在攻擊後能有效恢復、繼續前進。

資安保險不是萬靈丹

面對網路風險，許多企業轉向資安保險以求心安。但正如 Brian 所提醒的，這並非萬全之策：「資安保險往往不是解決方案，而是一場條件談判。在某些情況下，保險公司做的第一件事，可能就是尋找拒賠的依據。」他將其比喻為車險。表面上看似有保障，但只要保單細節有一條沒注意，就可能無法理賠。最終導致的是危機時刻資訊混亂、理賠條款模糊，以及復原時間被拉長。布萊恩警告：大多數資安保單僅限於協助系統恢復正常運作，對於信任重建、品牌聲譽損害，甚至組織未來的持續抵禦能力，通常都不在保障範圍內。

他給 CISO 的建議是：

• 了解保單內容，清楚知道哪些有保障、哪些沒有
• 千萬別把保險當作防禦的替代方案
• 也不要指望保險公司會在事件發生後為你著想

簡單來說，保險只能「協助你回來」，但「撐起你前進」的，永遠是自己建立起的防禦韌性。

資安風險 = 企業風險

資安風險往往還被視為 IT 部門的問題，而布萊恩認為這是極為危險的誤判。他指出：「如果企業高階主管不重視或相信資安的重要度，就不會特別或專門的編列預算、設立優先順序，也就無法真正的落實。」他回憶過去有些 CEO 甚至不知道自己的 IT 主管是誰。而現在情況不同瞭，投資者已逐漸的了解與意識到：「資安不是防火牆的問題，而是企業存亡的問題」。

這種觀念的轉變部分來自法規壓力，但也反映出一個更深的體悟：韌性是競爭優勢。布萊恩同時強調，遭遇資安事件並不代表資安措施做得不好。事實上，有遠見的資安主管會預設這種事總有一天會發生。布萊恩表示：「我以前常對 CEO 說：『成為網路攻擊受害者沒關係，應該要未雨綢繆才能應對突然事件的發生與狀況處理』」。這種心態正是「零信任架構」的核心，假設系統已被入侵，並著重於降低損害。布萊恩強調「準備不只是備份和政策，而是一種文化，當事情出錯時，全體員工都應該知道自己的擔任的角色為何」。

 「遭攻擊可以理解，但毫無準備就是失職」— 布萊恩

縮短風險與現實的差距

布萊恩的經驗點出了一個核心事實：資安的目標不是完全避免風險，而是妥善管理風險。最有韌性的企業會將資安當作一項業務功能，主動規劃，投資的不只是「預防」，還包含「應變與控管」。用布萊恩的話說：「你不會等到失火才去買滅火器。你會事先規劃、演練，並讓每個人都知道滅火器放在哪還要讓它們知道怎麼用」。

資安真正的目標不是零風險，而是：發生問題時，有能力應對與恢復。

Illumio 如何提供協助？

Illumio 採用微分段技術，利用了網路分段的概念，將網路中的應用程式和服務劃分為更小的子網，從而降低了網路攻擊的風險。這有助於企業提高其網路安全性，保護其網路免受網路攻擊和資料洩露的威脅，同時提高網路的可視性和可管理性，確保企業關鍵資產的安全。透過 Illumio 可視化企業內部的網路流量，幫助企業即時識別並隔離異常行為，即使駭客入侵，也無法輕易橫向擴散攻擊。Illumio 採用基於零信任架構的原則，假設企業內部已受威脅，並透過動態策略管控，確保只有授權的應用程式和設備能夠進行通訊。

與傳統 VLAN 或防火牆策略相比，Illumio 的軟體定義分段（Software-Defined Segmentation）不依賴網路架構調整，能快速部署於多雲環境、數據中心及混合 IT 架構，大幅降低運維負擔。Illumio 不僅能降低勒索軟體與 APT 攻擊風險，更能有效提升企業資安韌性，幫助組織構建更安全的 IT 環境。

• 創新微分段技術，降低攻擊面與風險

• 彈性動態安全策略，靈活適應環境變化

• 清晰可視的流量監控，精準應對威脅

• 安全零信任架構，強化企業防禦能力

若您對 Illumio 有興趣歡迎留下聯絡資訊，將有專人與您聯繫 ➤ https://www.gss.com.tw/product-services-nav/info-security/illumio