對多數企業來說,AI 是提高效率的利器,但在駭客眼裡,卻成了加速攻擊的工具,再加上量子運算的快速發展,傳統資安思維正被迫改寫。亞利安科技資安技術支援部協理王添龍直言,量子運算將使既有加密在短時間內被破解,而 AI 則讓攻擊可以自動化、規模化,兩者疊加使風險提升為架構層級問題,現行防護思維亟需重新檢視。
PQC 標準進入倒數,關鍵產業面臨合規與供應鏈雙重挑戰
王添龍表示,企業最擔心的是「先竊取、後解密」的模式,駭客現在可以大量竊取已加密的資料,待量子電腦成熟後再一次性解密。包含金融交易紀錄、醫療病歷、高科技業設計圖,甚至政府與國防機密等資訊,今天看似安全,未來都可能變成待解密的「資料庫存」,風險時間恐將被拉長至數十年。
目前美國國際標準組織 NIST 已發布後量子密碼(PQC)標準,預計在 2029 年前完成 HSM、TLS、VPN 與 PKI 等核心協定的大規模轉換。台灣方面,數發部已公布後量子密碼遷移指引,金融監理機關也開始要求銀行與相關單位盤點影響,並研擬因應計畫。對金融、政府、電信、半導體與醫療等產業而言,這不只是加密技術移轉,更關乎法規遵循與國際供應鏈合作資格。
邊界防禦不再可靠,亞利安以資料為核心重塑資安架構
亞利安科技資安技術支援部協理王添龍指出,亞利安科技攜手國際資安領導品牌 Thales 與 Imperva,透過整合平台協助企業簡化雲端應用與資料管理的複雜性,同時有效降低潛在風險。
面對 AI 與量子威脅的壓力,王添龍指出,傳統資安把重心放在網路邊界,如今駭客早已證明邊界守不住,企業真正必須守住的是資料本身。有鑑於此,亞利安提出以「資料為中心」的資安架構,確保資料無論存放於地端、雲端或第三方服務,都能享有一致且可稽核的防護能力,而非各自為政的零散工具,並與兩大國際資安品牌 Thales 和 Imperva 合作,打造結合 PQC 安全、資料保護與應用程式安全三合一防護的新一代解決方案。
王添龍說明,在資料保護部分,以 CipherTrust Data Security Platform 為核心,Thales 長期深耕密碼學與金鑰管理,並參與 NIST 後量子演算法標準制定,提供 PQC Ready 的金鑰管理與 HSM 硬體加密模組,協助企業在無需大幅修改系統與停機的情況下,透過混合加密(Hybrid Crypto)逐步汰換舊有演算法。從傳輸加密、資料庫透明加密,到代碼化(Tokenization)與外部金鑰管理(EKM),都能在單一平台統一控管,同時維持金鑰與資料分離儲存,降低未授權解密與濫用風險。
Imperva 則從資料使用行為的角度補強防護層面,面對 AI 帶來的自動化攻擊,透過雲端 WAF 與 DDoS 惡意流量清洗,結合機器人與 API 安全防護,防範 AI 驅動的弱點攻擊與大量機器人流量。同時,資料庫稽核與存取監控也如同在資料庫裝上攝影機,能精準記錄誰在什麼時間、從哪裡存取哪些欄位,讓事件調查與內外部稽核有跡可循。
Thales 與 Imperva 已於 2024 年完成合併,未來將提供更完整的產品線。不過對經銷夥伴及用戶而言,真正的挑戰在於如何把這些能力整合為可長期維運的架構。亞利安科技整合兩家原廠近 20 年,除了代理,更具備在地技術團隊與顧問服務,熟悉各產業實務需求與國內外法規,能協助企業因應情境提供適合的解決方案。
AI 資安優先,PQC 採漸進式部署
「亞利安的價值,就是把零散的資安,變成可落地的完整架構。」王添龍強調,PQC 導入與 AI 資安並非短期就能完成的專案,而是三到五年以上的旅程,亞利安顧問團隊可協助企業盤點現有的演算法、憑證與系統依賴,並針對需要長期保存的資料、雲端 API 與內部 AI 使用情境,制定移轉優先順序與時程規劃,加速技術落地及數位韌性建構。
面對 AI 與量子威脅,王添龍建議企業在短期先強化 AI 使用治理與網站、API 防護;接著循序導入具加密敏捷性的架構,為 PQC 遷移預做準備;最終讓資料安全、API 與應用防護、零信任架構在制度與技術層面上都能站穩腳步,迎接下一個世代的資安挑戰。
資料來源:TechOrange
進一步了解