安碁資訊為解決兩萬人才缺口 及「秒級」攻擊風險,將 AI 視為核心戰略。該公司自研 Agentic AI「安達(Anta)」,整合於 Cloud Copilot 平台,透過 RAG 技術 建立資安知識庫,輔助 SOC 人員進行快速調查與研判,強化資安韌性,實現人與 AI 協作的資安防護新時代。
文/何信達
面對雲端與 AI 世代帶來的資安攻擊全面升級,以及資安團隊平均每天需處理近千件警報的巨大壓力,安碁資訊(ACSI)已將人工智慧(AI)視為解決台灣資安人才缺口超過 2 萬人的關鍵戰略。安碁資訊透過成立專責的專案管理辦公室(PMO)來負責 AI 導入,並將重點放在提升內部流程效率與外部產品賦能上。
安碁資訊總經理吳乙南直指 AI 導入的戰略必要性:「台灣目前資安人才缺口超過 2 萬人,我們不可能無限制地增加人力,必須靠 AI 來提升人均產值。」
[ 加入 CIO Taiwan 官方 LINE與 Facebook,與全球 CIO 同步獲取精華見解 ]
產品與服務層面的 AI 部署
安碁資訊在對外服務的核心成果是推出了名為「安達(Anta)」的 Agentic AI (代理式 AI)安全助手。安達是專為資安與雲端營運環境打造,旨在大幅提升資安維運(SecOps)效率。
「安達」AI 助手主要整合於安碁資訊的 Cloud Copilot 多雲智能管理平台中。Cloud Copilot 結合了 Cloud SOC 的監控能力,採用雲端原生的安全架構,提供客戶 7×24 小時的監控與管理服務。
安達(Anta) AI 的功能與應用:
- 快速事件調查與研判:無論是安碁資訊的 SOC 人員或客戶,皆可使用自然語言輸入事件單號,或詢問「今天最重要的事件是什麼?」。安達會自動調出事件單,進行歸納、初步研判,並提供行動建議。
- 生成風險評估與阻斷策略:當客戶提供可疑 IP 時,安達能夠生成風險評估與阻斷策略。
- 深度歷史資料分析:安達可以快速撈取與分析過去 14 天甚至一個月的 Log 資料,協助客戶進行深度的調查報告,這在過去人工操作時將非常耗時。
- 驅動自動化:安達具備「感知、判斷、執行」的能力,能夠自動驅動營運模式。
安碁資訊產品總監郭孟鈞闡明導入 Agentic AI 的急迫性與風險:「攻擊者利用 AI 進行攻擊是『秒級』的,而我們平均調查時間卻需要 60 到 70 分鐘以上,這就是最大的風險。」
[ 推薦閱讀:CI 零容錯 資安院推 ICS/SCADA 實戰培訓補強 OT 資安韌性 ]
內部 AI 導入挑戰與克服方式
安碁資訊的內部 AI 應用主要目標是輔助其 700 多位工程師和分析師,並將 AI 導入核心的 SOC 服務,以提升效率。
導入挑戰:通用 LLM 的專業局限性
安碁資訊遇到的挑戰是,一般通用的大型語言模型(LLM)在資安領域會出現「幻覺」問題,且缺乏專業知識,無法滿足資安分析所需的高度準確性。
克服策略:自建資安知識庫與專屬模型
為克服通用 LLM 的不足,安碁資訊選擇自行研發並訓練專屬於資安領域的 AI。
- 知識庫建立:核心是利用 RAG (檢索增強生成)與 GraphRAG 技術來建立自己的知識庫(Knowledge Base)。
- 專業訓練資料:他們使用大量的歷史 Log 資料去訓練這個模型,使其專注在安全領域。目前第一階段已使用 1,300 筆生成的資料訓練,第二階段準備用 25 萬筆歷史資料做優化。
- 員工技能轉型:內部要求工程師與後勤人員使用 Copilot 等工具來提升效率,例如將寫程式(Coding)轉變為寫作(Programming),善用 Python 或新的程式產生器。
資安成效與實戰佐證
透過 AI 的導入,安碁資訊成功地將分析師從海量 Log 中解放,大幅節省時間,強化資安防禦體系的韌性。
韌性思維:從被動防禦到攻防閉環
AI 的導入是安碁資訊從被動式防禦轉向主動式驗證,建立「攻防閉環(Closed Loop)」概念的支柱。這個循環涵蓋了攻擊模擬、偵測防禦、演練驗證、決策應變、復原強化,以實現持續迭代與動態演進。
安碁資訊資深經理吳榮昌強調,演練即是將風險提前承受與解決:「我們的攻防演練不只是模擬,而是一場『真實的資安戰爭』。差別在於,這場戰爭是在我們選擇的『可控時間』、『可控場域』以及『可預期風險』之下進行的。」
第一線實戰挑戰:印表機資安事件
安碁資訊技術副總黃瓊瑩描述他們的工作是第一線的實戰,親自處理各種攻擊樣態:「我是戰場上在『地溝裡打滾』的人。」他以物聯網(IoT)的實戰案例佐證此定位。在今年 3 月,安碁資訊在幫客戶做端點檢視與惡意程式檢測時,發現異常的連線行為,追查後驚覺活動源自印表機的 IP 位址。他們發現駭客已會利用缺乏資安防護的 IoT 設備(例如使用了 20 年未更新的印表機)作為網路入侵的節點。為證實駭客植入了惡意指令甚至調換了原本的韌體,安碁資訊採取了「非常手段」——將機器拆解,使用加熱台取出晶片,讀取映像檔(Image)進行逆向分析,才證實硬體確實被動了手腳。
安碁資訊在國內政府單位和金融業都有相當高的市佔率。在國家八大關鍵基礎設施中,安碁資訊承擔了四個(加上油水電等國營企業,即「四加一」)的資安職責,顯示其在高度複雜的雲地整合環境下,仍能穩健提供服務。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
