資訊安全意識逐漸提升,臺南市政府首度舉辦「Hack the Tainan 紅藍軍攻防資安競賽」, 由臺南市政府攜手資安社群與工業技術研究院合力籌辦,並由數位發展部資通安全署指導。歷時一個月、集結來自全台 25 支隊伍、超過百位白帽駭客、資安專業人士、學生與業界人士,針對臺南市政系統跨 20 個局處、共計 40 個對外真實系統進行高強度滲透測試。
由參賽者扮演紅隊角色,深入檢視系統漏洞,最終發現多達 153 項弱點,協助臺南市政府提前修補潛在風險,有效提升市政服務的資安防護力。
此次競賽的成果發表會暨頒獎典禮,於沙崙智慧綠能科學城「資安暨智慧科技研發大樓 6 樓 TTA (臺灣科技新創基地)」舉行,現場頒發前三名隊伍獎金與獎牌,同時獲獎紅隊還上台分享攻防技術與策略。此外,活動還規劃了「資安專家經驗分享」、「資安主題研討」,進一步深化活動深度與推廣資安知識。
全臺首次市政資安競賽創舉!強化公部門資安韌性
在「Hack the Tainan」成果發表會上,與會來賓紛紛肯定這場實戰演練的成果與意義,並從不同面向強調資安治理的重要性。
臺南市政府趙卿惠副市長致詞時指出,這次競賽開放市政系統讓大家進行攻防演練,吸引 25 個隊伍參加,共發現 153 項系統弱點,中高風險等級弱點有 145 個。每天都有大量駭客攻擊行為針對台灣,政府部門的系統也一直面臨資安風險;有很多政府的便民措施都是線上申辦,很多節點容易被鎖定,民眾有可能因此被誤導或是收到不正確的訊息。
臺南市政府希望透過本次演練減少漏洞,進而促進資安作為,感謝智慧發展中心與青年事務委員會促成這場演練,也很高興青年朋友跟政府一起協力,推動政府系統漏洞的修補;也讓大家都知道資安防護就是國安的一環,從地方政府做起,提升整體的資安防護能力。
數位發展部資通安全署周智禾副署長也到場致詞,表示臺南資安產業對於高科技產業發展以及人才培育至關重要。資安署自 102 年開始,每年都會舉辦網路攻防演練,在6個月的期間中,大約可以找出五六百個弱點;而臺南市這次舉辦的競賽,在短時間找到很多漏洞,可說是達到豐碩的成果。而且透過這樣的演練,可以提升政府的資安韌性,並提升全社會防禦韌性。
他進一步補充,行政院已核定第七期資安計畫,其中一大重點就是提升全民資安意識,將來要向下扎根、提升廣度,有別於過往鎖定企業,未來希望全民都有資安意識。
本次競賽發起人之一,臺南市青年事務委員會鄭富方委員則分享,這次比賽共收到 477 件資安通報,顯示參與者投入的熱情與實力。同時,鄭委員提到每個人每天都會遇到資安課題,資安並不是少數人在做的,而是大家要共同面對的;因此,臺南市政府願意公開系統,相信這是非常好的開始。這次比賽也是全臺第一個市政等級的攻防演練競賽,希望未來有更多機會讓大家參與類似活動。
臺南市智慧發展中心洪將涵組長則指出,本次演練呼應「國家資通安全戰略 2025」,依照第七期國家資通安全發展方案(114年-117年),推動社會資安防禦、提升關鍵基礎設施資安韌性;並強調臺南市與國家資通安全發展政策同行,全臺首創運用市政系統進行實境攻防演練。洪組長也坦言,一開始很擔心市政系統會不會被白帽駭客打掛,所以系統有挑選過;若以後還有機會舉辦類似競賽,不排除開放更核心的系統。希望未來臺南將效仿荷蘭海牙資安聚落模式,打造臺南沙崙成為亞太資安產業聚落核心。
25個參賽隊伍展現堅強戰力,前三名隊伍分享參賽心得
「Hack The Tainan紅藍軍攻防資安競賽」首次舉辦就吸引 25 個隊伍扮演紅隊,集結資安專家、白帽駭客、學生及產業代表等超過 100 人進行實戰。活動結果由「豐川集團資訊安全處」奪得第一名獲得新台幣 8 萬元獎金,第二、三名隊伍分別為「Piden&CC」及「有福獨享,有難同當」,各獲得獎金 3 萬元、2 萬元。
在成果發表會上,三組獲獎隊伍也上台分享實戰心得,不僅揭示資安漏洞的多樣性,也凸顯團隊間的應變能力與攻防策略。獲得第三名的「有福同享,有難同當」隊伍表示,比賽時長一個月,剛開始的第一週每天都去打,後來被其他組超越的時候,他們剛好在國外旅行,回國後趕快再去抓漏洞,幸好還是有拿到第三名。
第二名隊伍「Piden&CC」則指出,他們主要針對水利局發動攻擊,發現 APP 是有效的攻擊路線,能夠成功取得系統控制權、帳號密碼。在過程中遭遇到密碼被修改、IP 遭封鎖等等阻礙,但由於已經拿到所有帳號密碼的清單,所以可以嘗試其他帳號攻擊。同時也提醒公部門,僅供內部使用的 APP 不要上架到應用商店,以避免不必要的風險。
榮獲第一名的「豐川集團資訊安全處」分享時強調,這次比賽是一個難得的經驗,因為可以打政府的網站,而且是真實世界的系統,沒有一定的答案,經驗很寶貴。他們指出,觀察 Web 上的用戶互動功能是主要的切入點,打最多的是 email 相關的漏洞;很多問題都在於輸入的驗證不足,只要是用戶可以控制的部份,都建議公部門單位要進行檢查。
資安專家經驗分享,告訴你資安攻防為何重要
在 Hack the Tainan 成果發表會中,來自台灣駭客協會的陳仲寬理事以「從漏洞獵人的荷魯斯之眼,看見資安韌性的建構之道」為題,帶來一場深入實戰與制度的專業分享。隨著資訊系統愈趨複雜,有漏洞是新常態,重點不在於零風險,而在於是否有能力快速修補、持續進化。
陳仲寬理事強調,Bug Bounty(漏洞獎勵機制)在國際已行之有年,但在實務上,通報者與系統擁有者之間,仍存在著信任、溝通與法律責任等灰色地帶。他以過去國際經典事件,如 Black Hat 2005 年的「Ciscogate」爭議,點出即使駭客基於公益揭露漏洞,仍可能因廠商壓力而被迫噤聲,反映漏洞揭露機制的制度成熟度仍待強化。
透過多個模擬情境,他進一步揭示現今 Bug Bounty 所面臨的兩難:駭客若因獎金過低或回報流程繁瑣而選擇「不報」,將可能讓企業在毫無防備下中招;而若駭客未釐清攻擊範圍或技術導致系統當機,又可能承擔法律風險。因此,政府與企業應建立完善的 VDP(漏洞揭露政策),讓駭客有合法、安全的通報管道,避免漏洞在灰色地帶中持續發酵。
企業或公部門導入 Bug Bounty,是資安韌性的最後一哩路,應該在內部已有健全修補能力與應變機制後,再開放對外測試。以健保署修補流程為例,從通報、協調、補丁開發、版本測試到多次修正,歷時近一年才完成。很多資訊系統是委外建置,要修好其實並不容易,但我們不能放棄治療。
最後,他也強調:發現漏洞不可恥,重點在於是否願意積極面對、通報與修復。漏洞的多寡並不能作為單一評斷資安好壞的標準,有些單位看似漏洞很多,實際上是因為願意公開測試、接受回報;反之,有些系統看起來毫無破綻,可能只是從未被檢視。以校園系統為例,許多學校確實存在大量漏洞,但真正願意積極處理與回應通報的,反而是少數;這也再次凸顯,制度化的通報與修補機制,才是打造資安韌性的關鍵,而這次 Hack The Tainan 也展現了強化資安韌性的決心。
資安主題研討,從政策面到實務面多方剖析
Hack the Tainan 紅藍軍攻防資安競賽成果發表會下半場,特別規劃了資安主題研討,講題從「國家資安政策與發展趨勢」、「從外部曝顯強化資安防護」、「政府零信任架構之推動與展望」到「永不信任、持續驗證的零信任資安防護」。邀請的講者從公部門專家到實務經驗豐富的資安廠商代表,分別從政策與實務面分別切入,講述資安防護的最新趨勢、技術與方法。
資通安全署:國家資安政策與發展趨勢
數位發展部資通安全署周智禾副署長以「國家資安政策與發展趨勢」為題,說明我國當前面對的資安挑戰與政策回應,除了呼應活動主題,亦強調資安防護不僅是技術對抗,更需要制度與全民意識的全面推進。
他指出,全球資安威脅日益嚴峻,駭客攻擊手法不斷進化,從 AI 詐欺、社交工程到供應鏈滲透,無不對政府與企業系統構成實質威脅,尤以個資與憑證外洩、雲端配置錯誤、開源套件漏洞等問題尤為嚴重。例如 Oracle 雲端就曾因漏洞洩露逾600萬筆資料,這也顯示即便是大型企業亦難倖免於難。
針對此情勢,我國自 2001 年起推動國家資通安全發展方案,至今已邁入第七期。新一階段政策著重四大面向,包含:強化全民資安防禦、提升關鍵基礎設施韌性、壯大資安產業,以及推進 AI 與新興科技應用;未來將以「建構信賴安全的數位社會」為核心願景,積極培育資安人才、推動資安產品檢測制度、強化政府採購供應鏈風險管理,並建構本土資安產業生態。
他也特別肯定「Hack the Tainan」活動,認為這類由地方政府與資安社群合作舉辦的實戰演練,正是呼應國家政策的具體行動。全民資安意識的提升與跨域合作,是打造國家韌性最關鍵的一步。未來資安署也將持續推動「全民資安」與「聯防機制」並進,協助地方建立自主防護能量,讓資安治理不再只停留在中央層級,而能真正落實到城市每個角落。
中華資安國際:從外部曝顯強化資安防護
中華資安國際具有豐富的資安實戰經驗,由林志和副理帶來主題為「從外部曝險強化資安防護」的分享,進一步說明如何以紅隊視角提升城市與企業的資安韌性。當今資安攻擊樣態日益多樣,許多企業與政府單位持續開發新服務,卻忽略外部資產管理,導致「影子資產」與「邊緣系統」成為資安破口。
中華資安提出「外部曝險管理(EASM)」與「持續威脅曝光管理(CTEM)」的雙軌機制,透過非侵入式的曝險評級系統,快速掌握各式對外資產的潛在風險,並定期更新評級報告,協助單位建立動態防護。
在實戰層面,他也展示紅隊演練與入侵模擬演練(BAS)技術,模擬真實駭客行為,測試組織的防禦能量與應變能力。這些模擬涵蓋內外部攻擊路徑、AD網域分析、社交工程與無線設備測試等,讓防禦團隊能即時調整資安設備配置與偵測規則,補足盲點。
中華資安過去已挖掘超過百個 CVE(通用漏洞披露)級別漏洞,並透過持續攻擊模擬與曝險評估,協助多家政府與關鍵基礎設施單位提升防護水平;其在本次「Hack the Tainan」中的參與,也象徵資安專業力量正走入地方治理場域,透過紅藍協作,打造實境攻防的韌性防線。
國家資通安全研究院:政府零信任架構之推動與展望
國家資通安全研究院黃馨瑩經理以「政府零信任架構之推動與展望」為題,針對我國政府機關導入零信任(Zero Trust)架構的現況與未來發展進行說明,呼應實境演練對資安防禦框架重構的實質需求。
傳統資安防護以邊界為核心,一旦邊界被突破,內部資源即陷入風險;而「零信任」則強調「永不信任,持續驗證」,不論是內部或外部的存取請求,都需經過身分、設備、行為等多層次驗證,才能有效阻止橫向移動與權限濫用。零信任不是單一產品或技術,而是一套涵蓋身分、設備、網路、應用與資料的整體架構。
目前我國政府已開始推動零信任示範機關計畫,依據美國 NIST 800-207 框架,從成熟度評估出發,建置以人為本、風險驅動、持續驗證的資安治理模式。國家資通安全研究院也同步開發評估工具與技術服務,協助各機關盤點現況、導入關鍵模組,包含多因子驗證(MFA)、統一身分管理(IAM)、細粒度存取控管等。
零信任的推動不只技術面困難,更涉及跨單位合作與組織文化改變,特別是在政府系統龐大且複雜的情況下,更需仰賴具備政策、技術與實務整合能力的團隊來協助落地。她肯定「Hack the Tainan」這類由地方主導的實境攻防活動,能作為零信任導入前的壓力測試與實戰驗證,讓政府資安從「封閉保守」走向「持續監控與應變」的新思維。
全景軟體:永不信任、持續驗證的零信任資安防護
延續零信任主題,全景軟體陳俊良副總經理以「永不信任、持續驗證的零信任資安防護」為題,深入剖析政府導入零信任架構的實務策略,並分享其團隊在公部門與金融業推動零信任的經驗,呼應此次活動對地方資安防禦實力強化的核心宗旨。
傳統的邊界防禦思維已無法應對現代化攻擊樣態,零信任成為應變之道。零信任架構的本質,在於不預設信任、持續驗證每一個身分、設備與請求。政府現行政策已自 2022 年起,分階段推動身分鑑別、設備鑑別與信任推斷三大機制。全景軟體依此規劃推出「CGTrust 零信任解決方案」,透過 FIDO 無密碼驗證、TPM 設備識別與風險情境評分,建立可視化且自動化的信任管理流程。
他更提到多項落地實例,包括遠距辦公與內部應用存取如何串接身分決策引擎與存取閘道,以及如何以 FIDO Token、TPM 模組和健康代理程式共同驗證設備與使用者狀態,實踐「先驗證、後存取」的防禦原則。
以實務經驗來看,不是導入某個產品就叫零信任,而是必須建立起整套持續驗證與最小授權的文化與流程。零信任不是一蹴可幾的工程,而是一場長期治理的旅程,需盤點高風險資源、制定優先順序、逐步推動五大支柱(身分、設備、網路、應用與資料)的成熟度提升。他肯定「Hack the Tainan」所採用的實境攻防方式,能作為系統導入前的壓力測試,有助於在真實世界的驗證中找出盲點、加快轉型。
紅藍攻防落幕,真正的挑戰才正開始
「Hack the Tainan」不只是一次資安競賽,更是一場結合政策、技術與實務的治理行動。從紅隊深入滲透市政系統、揭露潛在風險,到藍隊積極應對與修補,再到各界專家共聚一堂討論資安趨勢,這場活動為臺南立下資安韌性的新起點。
當資安威脅持續進化,相信透過持續對話、實戰演練與跨域協力,政府單位的資安韌性將能大幅提升,並逐步築起守護城市的數位防線。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!