Skip to main content
← Back to board (業界新聞)

【臺灣資安大會直擊】沙場點兵,數位備戰:臺灣為何必須走入國際網路攻防演練

by
iThome
iThome Bot ·
Posted in 業界新聞
新聞

這不是電影場景,而是現代國家網路防禦訓練的縮影。

在網路攻擊日益成為國家安全核心威脅的今天,傳統的資訊安全考試、證照訓練甚至奪旗競賽(CTF),已不足以回應真實戰場的複雜度。更全面、更逼近現實的訓練模式——「網路安全演習」——正在全球悄然崛起,並逐漸成為衡量國家數位防禦準備度的重要指標。

國防大學理工學院電機系兼任副教授、曾經擔任漢光演習網路戰實兵操演裁判長的張克勤,長年深耕臺灣與國際網安演習的設計與實戰。他對這個領域的觀察直接且清醒:「演習的重點是讓你體驗,比賽的重點是讓你得分。這兩件事情,根本上就不一樣。」

「演習不是比賽」,認知翻轉很重要

在討論臺灣應當參與哪些國際演習、如何從中獲益前,張克勤認為,有個關鍵的概念必須先釐清,那就是:網路安全演習與網路安全競賽,雖然外觀相似,本質卻截然不同。

過去十年,隨著搶旗攻防賽(Capture The Flag,CTF)文化在資安社群蓬勃發展,臺灣培養出一批具備高強技術能力的資安人才。CTF的競賽形式包括攻防對抗(Attack/Defense)、解謎(Jeopardy)以及山頂之王(King of the Hill)三種類型,核心邏輯是「找到旗幟、解開謎題、超越對手」。張克勤認為,這樣的競賽形式,擅長發掘個人技術天才,也確實是資安人才選拔的有效工具。

然而,演習的目的從一開始就指向不同方向。張克勤以一個實際場景說明差異:在某次演習中,防守方的Active Directory(AD,活動目錄系統)遭到攻陷,有人提議直接重建一套新的AD來取代。

「但是AD並不是這麼容易馬上建完就能取代的,」他說,「如果是在比賽中,你的分數已經掉到谷底,你根本不會想去嘗試這件事。但演習希望你體驗這個困境——你如何在資源有限、系統受損的情況下站起來,而不是因為太難就放棄。」

這個差異,牽動著網安演習設計的每一個環節。

張克勤直言,兩者在主要目標、情境性質、評量重點與參與者組成上,都存在根本差異。他進一步解釋,演習的評量核心是「團隊運作順暢程度、回應時間、決策品質與協調性」;但是競賽的評量核心則是「解出問題的數量、正確度與速度」。

更重要的是,演習的參與者必須涵蓋組織內的跨部門人員——IT、資安、管理、法務、公關等——因為真實的網路事件從來不只是技術問題,它同時是溝通問題、決策問題、法律問題,也是公共關係問題。

四種網安演習的形態光譜,從桌上兵推到實戰對抗

理解了演習的本質之後,可以依照複雜度與真實度的高低,將網路安全演習大致分為四種主要形式。

最基礎的是「桌上兵推(Tabletop Exercise,TTX)」。這是一種討論式的練習,參與者聚在一起,就特定情境下的角色分工、責任邊界與應對流程進行口頭演練,目的在於審視整個反應體系的完整性與邏輯一致性。

「桌上兵推」不需要實際操作系統,成本最低,但仍能有效暴露組織在制度設計上的盲點——例如,當系統被勒索軟體加密時,誰有權決定支付贖金?通報主管機關的時限是多少?這些問題,往往在桌上兵推中才第一次被正式討論。

其次是「功能性演練(Functional Exercise,FX)」,專注於測試單一特定功能。例如,當核心業務系統因攻擊中斷後,備援系統能否在規定時間內上線?事件報告鏈是否順暢?這種演練的優點在於邊界清晰、結果可量化,適合作為定期稽核的工具。

更上一層是「紅藍隊演練(Red/Blue Team Exercise)」,也是目前最廣為人知的攻防演習形式。紅隊扮演攻擊者,嘗試滲透系統;藍隊扮演防禦者,負責即時偵測與阻止。

張克勤特別提醒一個容易被忽略的現實,在真實世界中,資安人員直接「當場」遇見駭客滲透的機率其實相當低,「因為駭客大部分都會在你不在現場的時候慢慢滲透,所以很多事件處理其實都是在『驗屍』,意即針對已遭駭客入侵的電腦進行鑑識分析。」這個洞察也提示了演習設計的一個重要方向:訓練人員必須在事後鑑識與即時偵測之間取得平衡,而不是只沉浸在「擊退駭客」的戲劇性幻想中。

規模最大、複雜度最高的則是「實戰演練(Full-Scale Exercise)」,調動組織內外的真實資源,在高度仿真的環境中進行即時的網路進攻與防禦作戰。

這類演習的準備週期極長——張克勤坦言,光是腳本的設計就往往需要將近一個月,「因為要把整個紅隊的策略、場域的部署、各種可能的反應路徑,全部想清楚,才能讓演習有真正的教育價值。」

一場優質的網路安全演習,需要三個要素缺一不可,包括:好的演習計畫、好的演習成員,以及好的「網路靶場(Cyber Range)」——也就是能夠承載大量虛擬系統、記錄演習進程、支援反覆練習的技術基礎設施。「這個環節往往是最容易被低估、也最難快速建立的部分。」他說。

從立陶宛、北約、美國到臺灣的四個特色演習

在全球已建立制度化運作的網路安全演習中,有幾個案例特別值得關注——不只因為它們的規模,更因為每一個都代表著不同的設計哲學與戰略用意。

琥珀之霧(Amber Mist):民間韌性的立陶宛實驗

這場由立陶宛國防軍策畫的國際網路防禦演習,主要採取紅藍隊演練的形式,重點針對多域關鍵基礎設施防禦,目的在於測試參與成員偵測、回應及緩解網路威脅的能力,參與成員來自北約、烏克蘭、日本、臺灣等多個國家。

張克勤指出,立陶宛設計Amber Mist時,有一個非常特殊的參與者構成方式:絕大多數參與者是後備人員,包括民兵與民間資安人才。

因為,立陶宛人的邏輯很清晰而務實,一旦發生戰爭,防禦國家網路基礎設施的人不會只有現役軍人,更有可能是被召回的後備役軍人、在民間企業任職的工程師,或是原本與政府毫無淵源的社群成員。

這也是立陶宛設計Amber Mist的演習時,會促使可能參與網路攻防的成員彼此認識,藉由在真實的危機場景中,建立彼此的信任與默契。

在2025年的版本「Amber Mist IV」,模擬名為「Amber Falls」的中型工業城鎮,人口約四萬八千人。在這個虛構城鎮中,有水力發電設施、政府機關、媒體機構、軍事基地與銀行系統,每一個節點都是潛在的攻擊目標。

演習的設計充分體現了「虛實整合」的精神,一旦防守隊伍沒能及時保住電力系統,現場真正的電力也會被切斷——參與者的電腦螢幕熄滅,演習繼續,但恢復的工具少了一半。

更耐人尋味的是,Amber Mist特意設計了媒體危機處理的環節,IT人員有可能在演習中途被「記者」攔截採訪,必須在毫無準備的情況下,向公眾說明事件進展——而這個環節的表現,同樣列入計分。

「他們的東西非常活潑,」張克勤說,「而且很多資料都不是機密,他希望大家可以看,可以學習。」他也表示,臺灣有資安人員參與這場演習,這是難得的直接接觸機會。

鎖盾演習(Locked Shields):北約規格的國家級沙盤

若要在全球網路安全演習選出最能體現「國家級」規模與複雜度的案例,由愛沙尼亞塔林的北約合作網路防禦卓越中心(NATO CCDCOE)主辦的「鎖盾演習(Locked Shields)」當之無愧。

該演習每年在愛沙尼亞舉行,規模之大令人瞠目結舌。實際上,每個參與演習的國家,出動的藍隊人數多達一百五十人;每個國家分配到的虛擬機器超過四百臺;整個演習環境包含超過八千個漏洞等待被利用或修補。

張克勤表示,因為模擬的對象是國家層級的威脅情境,所需的基礎設施規模已超越任何單一國家政府的常規預算,所以,才會由北約聯盟而非單一國家來承辦這個演習。

因為Locked Shields是模擬實際國家級威脅情況,所以參與者不僅限於技術人員,演習中設有「策略階層」——由政府高層組成的決策小組,面對模擬的國家級網路危機,他們需要思考的不是「這個漏洞怎麼補」,而是「這個事件應該觸發哪種政策回應」;而且,每位策略階層參與者手中持有代表預算的籌碼,必須在有限資源下決定把政策賭注押在哪個方向。

張克勤描述他印象最深刻的場景之一:防空系統被癱瘓後,三架不明飛機進入模擬國家領空,策略階層被要求即時錄製對全國民眾的說明影片。「如果你是策略階層,你要怎麼跟國人說明當下這個情境?」他坦言,這個問題,沒有技術答案。

Locked Shields的計分體系同樣多元,涵蓋系統維護狀態、攻擊方的得分確認、鑑識取證品質,乃至媒體溝通與法律程序處理。

張克勤特別提到一個細節:攻擊方如何確認自己的攻擊確實成功?答案是:在靶機上部署「代理人(Agent)」,讓攻守雙方都有獨立的回報機制。他表示,這個設計的目的不只是計分的公正性,更是為了讓防禦方清楚知道:哪些系統已經淪陷,必須優先修補。

承載這一切的技術基礎設施的網路靶場(Cyber Range),是由愛沙尼亞的CR14基金會(Foundation CR14)提供。張克勤表示,臺灣和CR14雖然還沒有正式的官方合作,但已有多次的交流經驗,這也將成為臺灣融入國際網安演習生態系的重要基礎之一。

網路旗幟(Cyber Flag):美國視角下的聯盟作戰

由美國網路司令部(USCYBERCOM)主導的「Cyber Flag」,是美國最重要的多國聯合網路演習,核心訓練目標是「持續接戰(Persistent Engagement)」——也就是不等待攻擊發生才反應,而是主動在對手的行動尚未完成時,就介入壓制。

這場演習採用「持續性網路訓練環境(Persistent Cyber Training Environment,PCTE)」雲端平臺,模擬對港口、電廠等關鍵基礎設施的攻擊場景。2025年的版本設定六個駭客組織同時發動攻擊,但不同防守方面對的攻擊者組合不盡相同,每個藍隊必須自行分析、判斷威脅來源,而不能直接複製隊友的情報。

張克勤認為,Cyber Flag最獨特的設計在於「情資融合」機制,演習中設有專門的情資融合小組,各隊的偵測發現必須先彙整、驗證,再統一發布,而這種作法也與Amber Mist允許隊伍之間直接分享資訊的做法,形成對比。

張克勤解釋兩種模式各有優缺點,他指出,直接分享比較快,但不一定正確,而且有些問題可能只在對方的情境下會發生,在別處不會。「融合之後再發布的情資雖然慢,但品質更有保障。」他說。

此外,張克勤認為還有一個細節值得注意,在Cyber Flag的場景設計中,藍隊成員不直接操作關鍵設施的網路,只能監控與提出建議,真正的操作指令仍由場域內的「工程師」執行——而這些工程師通常不具備資安背景,只有生產、維運的考量。

「藍隊必須學會用非技術人員聽得懂的語言,說服對方接受資安建議。」張克勤表示,這是非常特別的訓練方式,重點是,符合協防關鍵基礎設施的實際情況,值得臺灣參考。

CODE 2025:臺灣自己的攻防演練

在國際案例之外,臺灣本身也擁有制度化的大規模網路攻防演習——由數位發展部(MoDA)主導、每兩年舉辦一次的「CODE(Cybersecurity Operations and Defense Exercise)」,目前由國家資通安全研究院負責執行。

CODE的設計融合了實戰攻防、桌上兵推與國際夥伴參與三種元素,特別強調公私協力與國際網路防禦合作,2025年的版本,演習方甚至將醫院的IT人員納入聯防組別的攻擊目標,讓真實的關鍵基礎設施操作人員在受控環境中,體驗駭客入侵的全貌。

他認為,這也是臺灣在演習設計上逐漸成熟的標誌:不再停留於資安人員內部的技術演練,而是開始強迫組織面對跨部門、跨機構的協調複雜性。

他山之石可以借鑒,從國際演習淬練出對臺灣有利要件

張克勤表示,就「可以參與」的網路演習而言,臺灣目前已有多個突破口。首先,Amber Mist方面,臺灣已有參賽隊伍,且立陶宛主辦方採開放透明的辦理理念,刻意不將演習資料列為機密,降低了國際合作的政治門檻。

Locked Shields方面,由於愛沙尼亞CR14已與臺灣有交流經驗,技術合作的橋樑已然搭建,若能在此基礎上深化至更進一步的參與,對於臺灣的演習量能將是重要的質量躍升。

至於美國舉辦的Cyber Flag的參與門檻較高,性質上更接近美國軍事同盟體系的內部協作,但對臺灣而言,仍值得持續深耕外交與技術基礎。

就「對臺灣現況最有加分」的角度而言,可以從三個維度思考。

首先,就是「關鍵基礎設施防護能力」,張克勤指出,臺灣的電力、水利、交通、金融與醫療系統長期都是潛在攻擊目標,而Cyber Flag與Locked Shields在這個面向都提供了非常直接的訓練場景——前者的「藍隊必須與非資安背景的工程師協作」設計,後者的「策略層在危機中的政策決策」情境,都是臺灣在CODE演習中尚未完整複製的元素。

第二個維度是「跨域情資融合能力」。在現代網路攻防中,情報的品質與流通速度往往決定防守成敗,張克勤表示,Cyber Flag的情資融合小組機制,以及Locked Shields中要求參賽方以鑑識手段「舉證」被攻擊來源的設計,都指向一個臺灣需要強化的核心能力——建立系統性的情資蒐集、驗證與跨組織分享流程。

第三個維度是「民間韌性與後備動員」,張克勤認為,這可能是對臺灣現況最具戰略意義的洞察。

他以Amber Mist以後備人員作為演習核心參與者為例,背後是立陶宛對地緣政治現實的清醒判斷,畢竟,當衝突真正發生時,防禦的主力不可能是少數幾百個現役資安專業人員,而必須是分布於民間各角落、平時有本業、但危機時刻能被快速動員的廣大後備隊伍。

張克勤坦言,臺灣的地緣政治處境與立陶宛有著驚人的相似性,這個演習模型對臺灣的啟示,遠遠不止於技術層面。

好的網路靶場,就是好的隱形戰場

張克勤指出,網路靶場(Cyber Range)的建設與維運,的確是臺灣要打造更大規模網安演習時,實務上面臨的最大瓶頸。

他進一步解釋,能夠承載大型網路安全演習的靶場,必須滿足幾個條件:足夠的軟硬體資源,以同時運行大量虛擬系統;能夠記錄每次練習進度、允許反覆操練的存儲架構;以及對規畫者友善的操作介面,讓演習設計者能夠根據情境快速客製部署。「這些要求加總起來,意味著不小的投入。」張克勤說。

像是愛沙尼亞的CR14,是目前全球最成熟的網路靶場提供者之一,其背後的支撐是北約CCDCOE長年的資源挹注與技術積累;美國的「國家網路靶場(National Cyber Range Complex,NCRC)」則由戰爭部的測試資源管理中心(TRMC)運作,為美國政府各部門提供高性能的分散式虛擬演習環境,系統遠在佛羅里達州,但遠在美東馬里蘭的用戶,都能獲得如本地操作般的流暢體驗。

臺灣在這個領域的建設正在起步。張克勤直言,好演習的公式很清楚:「好演習計畫+好演習成員+好網路靶場,才能等於好的網安演習」——缺了上述任何一項,整體效果都會打折。他也說,三者當中,網路靶場的建設週期最長、投入最大,也最需要國家層級的長期規畫。

演習的終極意義是國家意志的演練

「網路安全演習」本身就有深層的戰略命題,張克勤直言,演習的目的在主動預防,協同合作就是資安防禦的關鍵,而演習本身就是一個持續改進的循環。

他認為,演習的真正價值,不在於某一次演習找到多少漏洞,而在於它建立的體制——讓不同機關、不同背景、不同專業的人定期在同一個假想危機裡相遇,磨合流程,建立信任,積累肌肉記憶。

在臺灣所處的地緣政治環境中,建立這種體制的緊迫性不言而喻。不管從立陶宛的Amber Mist到北約的Locked Shields,每一場頂尖演習背後,都是一個國家對「下一次危機時我們能不能協同作戰」這個問題給出的鄭重回答。

張克勤認為,臺灣已經有了自己兩年一次的CODE演習,已有人走進立陶宛Amber Falls的電廠、走上了Locked Shields的戰略指揮桌,這些都是值得肯定的起步。但起步之後更重要的問題是:臺灣能否把這些零散的參與經驗,轉化為系統性制度的決心與能力?

這個問題,可以從幾個具體的政策方向來看。首先是參與的深度與連續性,偶發性的觀摩或單次派隊參與,所能積累的組織記憶極為有限;真正有價值的演習效益,來自於同一批人或同一個機構,年復一年地回到同一張桌子,在前一次的錯誤上繼續修正。

政府應當建立制度化的「國際演習代表隊」機制,讓參與Amber Mist、Locked Shields這類演習的人員,不是臨時組成的志願者,而是有明確任務、有回訓義務、有經驗傳承的專責隊伍。

其次是跨部門整合的真正落實。張克勤一再強調,演習不只是IT人的事,法務、公關、管理層乃至政府發言人都必須進入演習場景。這對臺灣的公部門而言,意味著一個文化上的轉變——資安演習不再是數位發展部或資安院的「自家事」,而必須成為各部會首長年度行事曆上的必要項目。

以Locked Shields演習為例,策略階層官員面對癱瘓的防空系統,必須即時錄製公開聲明的設計,對臺灣尤其具有現實意義:當真實危機來臨時,那支對民眾說明的麥克風,不會等人準備好。

第三是後備能量的系統性整合。從Amber Mist的立陶宛模型來看,他們用最直白的方式提出臺灣無法迴避的幾個問題:民間資安人才在國家網路防禦體系中扮演什麼角色?他們要如何被識別、被組織、被授權、被訓練?這不是一個技術問題,而是一個法制與政策設計問題,需要國防、數位與人力資源等相關部門的協力回答。

「眾人虐我千百遍,我待眾人如初戀。」這是張克勤送給所有網路靶場設計者與演習主辦方的一句話,送給那些在後臺默默搭建虛擬戰場、承受各種批評與系統故障的人。但他的這句話,同樣可以用來描述那些在資源有限、國際處境艱難的條件下,仍然年復一年,堅持把臺灣帶進國際演習現場的人。

張克勤認為,演習的終極意義,從來不只是找到漏洞,而是讓一個國家在面對真實危機之前,已經知道自己是誰、夥伴在哪裡、下一步該怎麼走。臺灣在這條路上已走了一小段,而前方需要的,是更大的格局、更長的耐心,以及更清醒的國家意志。

View original 0 Likes 0 Boosts

Comments (0)

No comments yet.