駕馭東南亞與中東的增長與網絡安全挑戰 隨著數碼轉型席捲全球，東南亞與中東已成為科技雄心與經濟機遇的中心。每個地區都正利用其獨特優勢，走在一條平行的快速數碼化道路上。然而，這份進展伴隨著一個關鍵的共同挑戰：一個迅速擴大的網絡安全威脅格局，若不加以應對，可能會削弱其增長。 東南亞：電子商務的蓬勃發展遭遇安全瓶頸 東南亞擁有 6.7 億人口，經濟年增長率超過 5%，是全球增長最快的數碼市場之一。在年輕人口和政府投資的推動下，越南、印尼和泰國等國家的電子商務和金融科技領域正經歷爆炸性增長。 然而，這股數碼淘金熱也吸引了一種新型的敵手。隨著數碼支付系統普及，網絡攻擊急劇增加。僅越南在 2024 年就面臨近 2,000 萬次暴力破解攻擊。此挑戰更因嚴重的網絡安全技能差距而加劇；研究顯示，僅有 11% 的越南機構認為自己有能力有效應對網絡事件。為此，各國正積極動員。新加坡正在實施其《2030 年國家網絡安全戰略》，而像東協網絡安全協調委員會這樣的區域性機構則在推動威脅情報共享。 中東：宏大願景面臨高風險威脅 同樣地，中東也正在經歷一場深刻的數碼改革，這得益於沙烏地阿拉伯的《2030 年願景》和阿拉伯聯合大公國的《2025 年數碼政府》等宏大的國家議程。憑藉雄厚的資本和強有力的政府領導，該地區正大力投資於人工智慧、區塊鏈以及像杜拜和利雅德這樣的智慧城市。 這種由上而下的關鍵基礎設施轉型 —— 從能源到金融 —— 為精密且常由國家資助的網絡攻擊創造了高價值目標。在至關重要的石油和天然氣產業中，營運技術與資訊科技的整合開闢了新的攻擊途徑，該地區已成為全球勒索軟件事件增長率最高的地區。為此，各國政府正採取一個集中化且強健的防禦姿態。阿拉伯聯合大公國的《2031 年網絡安全戰略》和沙烏地阿拉伯的「基礎網絡安全控制」（ECC）框架，正在強制推行嚴格的安全標準，並將「設計即安全」（Security by Design）的理念融入像 NEOM 這樣的大型計畫中。 為何安全必須引領而非追隨數碼轉型 在創新的競賽中，安全常被視為事後考量。這是一個嚴重的錯誤。網絡安全是永續數碼經濟的基礎支柱。隨著數碼攻擊面的擴大，單一的漏洞就可能癱瘓營運、侵蝕公眾信任，並違反日益嚴格的資料保護法規。從一開始就建立安全的框架並非成本中心，而是對韌性和長期增長的策略性投資。 成功將取決於政府、企業和國際合作夥伴之間的穩固合作，以制定針對特定區域的安全策略。意識到此趨勢，像 Penta Security 這樣的全球領先企業正在為這些高增長市場提供客製化的解決方案，與越南和阿拉伯聯合大公國的當地實體合作，以建立永續且安全的數碼生態系統。透過將世界級技術與當地法規需求相結合，這樣的合作夥伴關係對於確保這些充滿活力的地區的數碼未來既繁榮又安全至關重要。

從黑盒子到物料清單：AI 透明化的新紀元

我們每天都使用像 ChatGPT 和 Gemini 這樣的人工智能服務，但它們的內部究竟是什麼？隨著 AI 系統變得日益強大並融入我們的生活，一個關鍵問題浮現：當一項技術的內部運作往往是個「黑盒子」，甚至連其創造者都無法完全掌握時，我們該如何信任它？

為應對此挑戰，一場邁向 AI 透明化的全球運動正在形成，其核心概念是人工智能物料清單（Artificial Intelligence Bill of Materials, AI BOM）。AI BOM 的靈感源於網絡安全領域的軟件物料清單（SBOM），它是一份正式記錄，系統性地記載了 AI 系統的每一個組成部分 —— 從訓練數據、演算法到模型和第三方函式庫。

 

為何是現在？推動 AI 透明化的完美風暴

推動 AI BOM 發展的力量主要來自三個方面：

• 日益增加的複雜性：現代 AI 是由開源模型和龐大數據集組成的複雜網絡，使其難以追蹤依賴關係和漏洞。
• 針對 AI 的新型威脅：如惡意資料注入、模型竊取和對抗性攻擊等安全風險，需要對 AI 的構成有更精細的理解。
• 全球監管浪潮：各國政府不再對 AI 放任不管。歐洲的《人工智能法案》、美國的行政命令以及南韓的國家路線圖，都要求 AI 系統，特別是那些被視為「高風險」的系統，必須具備更高的透明度和問責制。

 

AI BOM 的核心優勢

透過提供 AI 系統組成的清晰清單，AI BOM 帶來了強大的優勢：

• 提升透明度與可追溯性：了解 AI 系統如何做出決策，並迅速找出偏見或故障等問題的根本原因。
• 主動的風險管理：在造成危害前，識別並緩解潛在風險，例如有偏見的訓練數據或存在安全漏洞的過時函式庫。
• 簡化法規遵循流程：輕鬆生成所需文件，以符合日益嚴格的全球法規，並通過內部或外部稽核。
• 安全的供應鏈：驗證第三方和開源元件的來源與可靠性，加強對漏洞的防禦。

 

前行之路：建立值得信賴的 AI 生態系統

AI BOM 的全球採用正在加速，從美國軍方到歐洲的醫療保健和金融等高風險行業皆然。儘管標準化等挑戰依然存在，AI BOM 正成為一項基礎工具，用以建立一個人工智能不僅強大，同時也透明、可究責且安全的未來。

 

USB 木馬屠城記：Juice Jacking 與 BadUSB 如何將日常連接埠變為重大威脅

看似不起眼的 USB 連接埠，作為便利的象徵，正以驚人的速度被網絡犯罪分子武器化。從公共充電站到被丟棄的隨身碟，這些日常的連接器正成為惡意軟件和資料竊取的主要途徑，促使 FBI 和 FCC 等機構發出官方警告。這已不再是理論上的威脅，而是我們數碼環境中一個清晰且現實的危險。

現代 USB 威脅格局

攻擊者正透過幾種精密的方法來利用 USB 連接：

• Juice Jacking：公共充電陷阱。這種眾所周知的技術涉及入侵機場、酒店和咖啡店的公共 USB 充電站。透過在這些連接埠中嵌入惡意代碼，攻擊者可以安裝惡意軟件，或從任何插入充電的設備中竊取個人資料和密碼。FBI 認為此風險極為嚴重，已建議公眾完全避免使用這些充電站。
• BadUSB 與惡意隨身碟：具欺騙性的硬件。BadUSB 攻擊比簡單的惡意軟件更為先進，它會修改設備的韌體，使其偽裝成鍵盤等受信任的周邊設備，同時在暗中執行惡意指令。這類攻擊極其危險，因為它可以繞過標準的防毒軟件。像 UNC4990 這樣的黑客組織被觀察到使用此方法，同時也使用較簡單的「誘餌」策略 —— 故意在公共場所丟棄受感染的 USB 隨身碟，等待好奇的人將其插入電腦。
• 針對企業的攻擊。這些威脅不僅限於個人。最近在 iPhone 的 USB-C 連接埠中發現的一個漏洞，展示了惡意代碼如何能繞過蘋果嚴格的安全措施。對機構而言，當員工在不知情的情況下將「誘餌 USB」帶入公司網絡時，風險會被放大，可能危及整個系統。

多層次防禦至關重要

作為回應，各國政府正發布警報，製造商也正發布如蘋果的「USB 限制模式」（USB Restricted Mode）等安全更新。然而，沒有任何單一解決方案是萬無一失的。一個穩健的防禦需要在機構和個人層面上都保持警惕。

Penta Security 榮獲 Frost & Sullivan 2025 年度南韓網站應用程式防火牆產業「年度最佳公司」大獎

旗艦級 WAAP 解決方案 WAPPLES 以其技術創新、市場領導地位及卓越客戶價值而備受肯定。

全球網絡安全領導者 Penta Security 今日宣布，榮獲著名全球市場研究與顧問公司 Frost & Sullivan 的表彰。該公司憑藉其智慧型網站應用程式與 API 保護（Web Application and API Protection, WAAP）解決方案 WAPPLES，獲頒「2025 年度南韓網站應用程式防火牆產業最佳公司」（2025 Company of the Year Award）大獎。

Frost & Sullivan 的「年度最佳公司」大獎每年都會表彰在增長策略、執行力、技術創新及客戶價值方面表現卓越的企業。

在其獎項分析中，Frost & Sullivan 強調了 Penta Security 定義市場的卓越表現，並指出：「Penta Security 憑藉其在技術創新、策略執行和客戶價值創造方面的卓越表現而獲選。憑藉多年深厚的專業知識，Penta Security 的旗艦級 WAAP 解決方案 WAPPLES 已在南韓的網站安全領域樹立了標竿，提供出色的主動式防護能力。」

WAPPLES 是一款市場領先的解決方案，保護著全球 171 個國家、超過 70 萬個網絡業務和基礎設施。其成功橫跨公共部門、金融科技、電子商務和雲端領域。

Penta Security 企劃部總監 Taejoon Jung 表示：「WAPPLES 的成功反映了我們為維持市場領先地位而進行不懈的創新，同時也迅速回應客戶不斷變化的需求。這個獎項印證了客戶對我們的信任。未來，我們將繼續致力於推進研發工作，以保護全球更多企業的安全。」

Penta Security 實現「三連冠」，連續第三年榮獲 Frost & Sullivan 年度 WAF 公司大獎

此項殊榮彰顯了 Penta Security 旗下先進 WAAP 解決方案 WAPPLES 及 Cloudbric WAF+ 的市場領導地位。

全球研究機構 Frost & Sullivan 連續第三年將 Penta Security 評選為「2025 年度南韓網站應用程式防火牆（WAF）產業最佳公司」。這項享負盛名的獎項旨在表彰在領導能力、技術創新及客戶價值方面持續表現卓越的企業。

Frost & Sullivan 是一家擁有超過 60 年歷史的公司，透過深入分析來評選出各行業的領先企業。Penta Security 因其提供穩健且安全的解決方案，滿足了快速發展的雲端安全市場中客戶的多樣化需求而備受肯定。

這份持續的肯定源於我們對新一代網站安全的承諾，而這份承諾體現在我們的兩款旗艦解決方案中：

• WAPPLES（為企業打造的智慧型 WAAP）

  WAPPLES 是傳統 WAF 的進化版，一款基於雲端原生架構的先進網站應用程式與 API 保護（WAAP）解決方案。其專有的智慧偵測引擎 COCEP，能針對新興的攻擊模式提供即時防禦。WAPPLES 已連續 17 年在韓國 WAF 領域保持市場佔有率第一。

• Cloudbric WAF+（易於存取的一站式網站安全）

  作為韓國首個安全即服務（SECaaS）平台，Cloudbric WAF+ 透過 DNS 重新導向即可實現即時部署。它將 WAF、惡意機器人緩解、DDoS 防護等功能整合到一個為各種規模企業設計的直觀平台中。

此獎項證明了 Penta Security 的技術不僅是韓國國內的領導者，其創新實力也獲得了全球的認可。我們將繼續致力於建立一個更安全的未來，並以值得信賴的安全效能和經實證的品質作為後盾。

 

AI 驅動的劫案：人工智能如何武裝下一代網絡犯罪分子

在香港，一名財務主管在接到一通看似來自公司財務總監的視訊通話指示後，轉帳了 2,500 萬美元。唯一的問題是？那位財務總監是由 AI 生成的深偽影像。這不是科幻小說，而是網絡安全新時代的一個鮮明例子，在這個時代，人工智能既是強大的工具，也是可怕的武器。

隨著 AI 融入社會，它正從兩方面重塑威脅格局：一是為傳統的黑客手法提供強大動力，二是創造出全新的攻擊方式。

 

AI 加持的舊劇本

敵手現正利用 AI 以驚人的效率，精進並自動化舊有的攻擊手法。

• 超個人化的社交工程：忘掉那些有錯別字和通用問候語的郵件吧。由 AI 驅動的釣魚郵件現在能完美模仿人類溝通，利用目標的社交媒體資料，製造出極具個人化和說服力的訊息，輕鬆繞過傳統的過濾器。深偽技術將此威脅提升至更高層次，讓攻擊者能複製高階主管的聲音和面容用於視訊通話，使得詐騙性的資金或資料請求具有驚人的說服力。
• 自動化、大規模的攻擊：AI 演算法可以全年無休地運作，掃描數千個系統的漏洞，並以超越暴力破解法的智能破解密碼。透過分析行為模式，AI 能預測並測試極有可能的密碼組合，以前所未有的規模削弱傳統的安全策略。

 

攻擊大腦：針對 AI 的新型威脅前線

除了強化舊有手法，針對 AI 模型本身的新型威脅也正浮現。

• 模型完整性攻擊：敵手正學習如何欺騙 AI 系統。一次「對抗性攻擊」（Adversarial Attack）可能只是在交通標誌上策略性地貼上一張貼紙，就讓自動駕駛汽車將停車標誌誤讀為速限標誌。「模型汙染」（Model Poisoning）則涉及竄改 AI 的訓練數據以植入隱藏的後門，例如，教導一個安全系統將某種特定病毒辨識為「安全」。
• 前所未有的私隱風險：AI 處理海量數據集的能力對個人私隱構成嚴重威脅。「模型反轉攻擊」（Model Inversion Attacks）能從 AI 的公開輸出中，重構出敏感的個人資料（如醫療記錄）。此外，透過關聯匿名化的數據點 —— 如位置歷史和信用卡使用紀錄 —— AI 能推斷出敏感的個人特徵，從而有效地對個人進行「去匿名化」。
• 「黑盒子」的兩難困境：我們對 AI 日益增長的依賴充滿風險，因為我們常常不理解它為何做出某些決策。這種「黑盒子」特性使事件應對變得複雜，歷史上如微軟的聊天機器人變得充滿仇恨言論，或亞馬遜的招聘 AI 產生性別偏見等例子都證明了這一點。

 

全面性安全策略的新呼籲

AI 驅動威脅的崛起，意味著純粹的技術防禦已不再足夠。為保持韌性，機構必須採取一種全面性的策略，將 AI 不僅視為需要防禦的工具，更將其本身視為一個潛在的攻擊途徑 —— 這需要一個結合法律、道德和安全治理的新框架。

 

160 億筆憑證外洩：為密碼時代敲響的最後警鐘

近期包含 Google、Apple 和 Facebook 在內的服務中，多達 **160 億筆**登入憑證遭到外洩，這不僅僅是又一起資料外洩事件，它更是宣告密碼時代終結的決定性事件。此次事件由資訊竊取惡意軟件（ Infostealer）引起，外洩的憑證現正於暗網上被積極交易，揭示了我們數碼身份基礎設施中的系統性失靈。以密碼為基礎的安全時代已經結束。

固有的缺陷：為何密碼注定失敗

多年來，密碼一直是數碼安全中最薄弱的一環。它們從根本上就易受各種日益增長的威脅所攻擊，從暴力破解到精密的釣魚詐騙。人類心理是問題的核心；我們出於方便，會創建簡單、可預測的規律，或在多個服務中重複使用相同的密碼。這使得一組被盜的密碼變成了一把萬能鑰匙，足以解鎖個人的整個數碼生活，導致身份盜竊、金融詐騙和災難性的企業資料外洩。

新典範：無密碼驗證

為應對此情況，一個新的安全典範已變得至關重要：**無密碼驗證**。基於像 FIDO2 這樣的全球標準，此方法無需密碼即可驗證用戶，而是利用不易被竊取或猜測的因素，例如：你是誰（如指紋等生物辨識特徵）、你擁有什麼（如智能手機等設備），或你在哪裡（地理位置）。

從理論到企業實踐：iSIGN Password-less 的實現

要採納無密碼的未來，需要一個專為企業複雜性而設的解決方案。**Penta Security 的 iSIGN Password-less** 正是為彌補此差距而設計，能同時提供強化的安全性與無縫的用戶便利性。它不僅僅是移除作業系統的密碼，更深度整合了單一登入（Single Sign-On, SSO）功能。用戶只需一次簡單的設備登入，即可自動獲得授權，存取所有關鍵的業務平台，從協同作業軟件、ERP 到電子郵件。

無密碼驗證已不再是選項，而是安全與營運效率的新標準。