【管理學院提供】資通科技發展帶給人類便利，卻也同時增加資安風險。現今駭客攻擊方法變得更加多元且成熟，嚴重影響企業、政府機構等組織的運作，因此，若能有效利用網路威脅情資，來分析駭客組織慣用的攻擊方法，組織將可從被動防禦轉為主動防禦，提前發現潛在攻擊、並採取相應的防禦措施。中山大學管理學術研究中心邀請中山大學資訊管理學系教授陳嘉玫分析駭客攻擊的三大方法論，並說明如何結合自然語言處理（NLP）、機器學習、人工智慧等技術，以自動化的方式有效處理大量威脅情資。

隨著資訊科技和駭客技術的快速發展，駭客的攻擊手法已經從過去隨機攻擊模式，轉為更具有目標性和組織性的APT（Advance Persistent Threat）攻擊。APT攻擊通常會透過長期滲透的方式，入侵特定目標組織、竊取重要資訊。而此攻擊的目標通常是擁有重要資訊和資源的企業或政府，因此若受到攻擊，其組織運作將受到巨大影響。

為了更深入了解駭客的攻擊手法並有效對抗，陳嘉玫深入探研三大方法論來建構攻擊與防禦的基礎。首先，MITRE ATT&CK MATRIX將攻擊行為分解為多個技術和戰術，輔助專家評估駭客攻擊手法及其危害程度；接著，TTP（Tactics, Techniques, Procedures）近一步了解攻擊者的戰術、技術和程序，協助組織預測攻擊路徑、手法及進攻策略，是防禦的基礎；最後，Cyber Threat Intelligence（CTI）則扮演識別和評估威脅情報的角色，幫助組織提早發現APT攻擊的跡象，減少損失。

具備方法論的基礎後，威脅情資的收集和分析是實務的關鍵。面對大量的威脅情報資料，人工篩選的效率和準確性已無法滿足需求，她接著分享運用自然語言處理（NLP）、機器學習來收集、摘要、分析的TISUM系統。陳嘉玫說明，TISUM系統的資料處理流程首先利用Python從網路蒐集大量威脅情資的資料，並分為訓練集與測試集作為後續分析的基礎；接著使用NLP技術開始兩階段的理解和分析文本，從中識別出威脅實體，生成威脅實體列表、威脅行為列表，並整合成摘要以及關聯圖。透過自動化的過程，方便組織能快速理解威脅情資的重點。

透過方法論和技術的應用，可以有效提高對抗駭客攻擊的能力。然而，陳嘉玫也提醒「攻擊和防禦是相輔相成的」，擁有強大的攻擊手段，才能更好地保護自身不受攻擊。因此在發展資安策略時，組織應同時重視防禦和攻擊兩個能力的提升，以建立全面資安防護系統，確保資訊安全。

（公共事務組編修）