2026 年 CYBERSEC 臺灣資安大會
資訊安全 》2026 年 CYBERSEC 臺灣資安大會: 參訪合作夥伴元盾資安|天矽科技客製化網頁設計
| 目錄 ➤ 2026資安大會主題:「RESILIENT FUTURE(韌性未來)」 ➤ 2026年網站如何做資安防護:「動態防禦」與「API 深度治理」 ➤ 合作夥伴: 元盾資安看滲透測試與韌性防禦的進化 |
在 2026 年資安大會中,網站防護(Web Security)的討論範疇已由傳統的邊界防禦,正式跨越至「動態防禦」與「API 深度治理」的新維度。天矽團隊此次特別參訪合作夥伴「元盾資安」,深度交流其如何利用 AI 工具精準導入滲透測試,並針對 WAF 防火牆進行智能化管理升級。面對 AI 浪潮下的安全威脅,天矽將持續吸收尖端技術,確保網站資安與時俱進,引領客戶穩步邁向數位防禦的新紀元。
2026年資安大會主題
?
2026 年 CYBERSEC 臺灣資安大會 已於 5 月 5 日至 5 月 7 日在台北南港展覽館二館圓滿落幕。本屆大會以 「RESILIENT FUTURE」(韌性未來) 為核心主軸,強調在 AI 威脅與不確定的數位環境中,建立足以承受衝擊並迅速恢復的防禦體系。
1. 核心主題:AI 對抗時代
2026 年被視為 AI 攻防的轉折點。隨著「代理式 AI」(Agentic AI)具備自主規劃攻擊的能力,資安已演變為 「AI 對抗 AI」 的戰場。
- 五大 AI 議程: 大會首度規劃涵蓋 AI Defense(防禦)、AI Offense(攻擊)、Attacking AI(攻擊 AI 系統)、Securing AI(確保 AI 安全)及 AI Governance(AI 治理)。
- 自動化防禦: 由於攻擊已進化至「小時級」癱瘓全局,傳統人工監控已不足夠,企業必須轉向具備自動化精準度的 AI 防禦大腦。
2.2026三大趨勢與挑戰
大會多次提及 2026 年企業面臨的關鍵脅威:
- 攻擊門檻降低: 生成式 AI 使社交工程(釣魚、Deepfake)更加精準且規模化。
- 地緣政治風險: 臺灣作為半導體關鍵節點,面臨更常態化的境外資訊操作與網駭犯罪。
- 供應鏈集中風險: 過度依賴單一雲端服務商導致的「單點故障」(SPOF) 成為韌性挑戰。
「企業競爭力的考驗不在於是否曾被攻擊,而是遭到攻擊後還能走多遠、走多快。」 —— 大會主席吳其勳
2026年網站如何做資安防護:「動態防禦」與「API 深度治理」
在 2026 年的資安大會中,針對網站防護(Web Security)的討論已不再侷限於傳統的防火牆擋攻擊,而是進入了「動態防禦」與「API 深度治理」的新階段。
1. 從「網站安全」轉向「API 安全」
現在多數網站都是透過 API 進行資料交換,因此 API 成為了駭客的首選入口。大會議程強調:
- API 全生命週期管理: 不只是上線後防禦,而是在設計與開發階段(Secure by Design)就導入安全機制。
-
威脅建模 (Threat Modeling): 先思考這個 API 會被誰攻擊?資料會流向哪裡?
-
定義認證授權: 統一使用如 OAuth 2.0 或 FIDO2。不要讓每個 API 自行開發登入邏輯。
-
輸入驗證規範: 規範所有傳入的參數都必須經過嚴格過濾,從源頭防止 SQL Injection。
- Shadow API 偵測: 許多網站被攻破是因為存在「影子 API」(開發者遺留或未記錄的介面),AI 工具現在能自動掃描並識別這些隱藏的風險點。
2.雲端韌性與供應鏈安全
隨著網站多部署於雲端,網站防護已與雲端安全(Cloud Security)掛鉤:
- 雲端 WAF 的自動化調適: 面對如 Cloudflare 或 AWS WAF 的應用,大會探討如何利用 AI 自動根據流量模式調整規則,避免因設定錯誤(Misconfiguration)導致的漏洞。
- 軟體清單 (SBOM) 的應用: 網站所使用的外掛或套件(如 JavaScript 函式庫)若有漏洞,會直接影響網站安全。大會推廣透過 SBOM 自動化監測網站組件的安全性。
一份標準的 SBOM會包含:
|
項目 |
包含的內容、資訊 |
| 元件名稱 | 例如 jquery |
| 版本號碼 | 例如 2.14.1 |
| 授權資訊 | 確保沒有法律授權風險。 |
| 依存關係 | A 套件用了 B 套件,B 又用了 C,這些都會被完整列出。 |
3. 對抗 AI 驅動的自動化攻擊
駭客現在也用 AI 來找網站漏洞,這導致了攻擊頻率的暴增:
- 抗 Bot 攻擊(Anti-Bot): 傳統 WAF 難以分辨高度擬人的 AI 機器人流量。2026 大會中展出了多種利用行為生物識別(Behavioral Biometrics)來區分「真人」與「AI 模擬用戶」的技術。
- 防止 Deepfake 詐騙整合: 部分網站(如電商或金融)開始導入 AI 偵測機制,防止駭客利用 Deepfake 繞過網站的影音開戶或身分驗證,例如: 系統隨機要求使用者做出特定動作,例如:左轉頭 45 度、讀出螢幕上的隨機數字、或是快速眨眼。或者使用者無需動作,系統透過高幀率攝影捕捉微小的物理特徵。
因此,如何利用生物辨識,進一步防止詐騙,過去,用密碼防止第三者登入的時代可能贏來新的改變,生物特徵與行為模式是新的防線,都是下個階段資安發展重要的議題。
4. 零信任 (Zero Trust) 延伸至 Web 存取
網站不再只是「門戶」,而是「驗證點」:
- 無密碼驗證 (Passwordless): 為了徹底根除網站常見的 SQL Injection 或暴力破解,大會大力推廣 FIDO2 與無密碼技術,讓網站不再存儲易受攻擊的密碼。傳統 SQL Injection 常見的目標是抓取 users 資料表中的 password 欄位,在 FIDO2 架構下,資料庫存的是無意義的「公鑰」,就算被駭客攻擊而後取得,這些公鑰也無法用來登入使用者的帳號。未來的「無密碼」時代,讓使用者透過生物辨識(指紋、臉部)或實體安全金鑰即可快速登入網站與 App。其核心技術包括 WebAuthn(網頁驗證)與 CTAP(客戶端驗證協定),可有效防禦釣魚網站、偽冒攻擊。
|
項目 |
包含的內容、資訊 |
| 私鑰 | 保存在你的裝置(手機、筆記型電腦或硬體安全金鑰)的安全晶片中,永遠不離開裝置。 |
| 公鑰 | 存放在網站伺服器。 |
| 驗證方式 | 登入時,伺服器發送一個挑戰訊號,你只需透過生物辨識(指紋、臉部)或PIN 碼解鎖你裝置內的私鑰進行簽署,證明「我在這,且我擁有這台裝置」。 |
以下為無密碼驗證流程圖示:
網站廠商若要串接此服務 FIDO2 ,就像串接 LINE 登入或 Google 登入一樣,透過 OIDC (OpenID Connect) 或 SAML 協議,串接已經支援 FIDO2 的身分識別平台(Identity Provider, IdP)。常見供應商包含 Azure AD (Microsoft Entra ID)、Okta、Auth0、Authgear或是台灣本地專門提供 FIDO2 伺服器的資安廠商。當用戶點擊「無密碼登入」時,跳轉到該平台的驗證頁面,驗證成功後傳回 Token 給網站,完成FIDO2的無密碼登入。
- 微切分防禦: 即使網站前台被攻破,透過微切分技術,駭客也無法輕易滲透到後端資料庫或內部主機,微切分技術指的是將網路切小到「單一工作負載」(例如一台虛擬機、一個容器、或一個應用程式)等級。它在內網的每個節點之間都築起「微型防火牆」,限制只有獲得許可的流量才能互通。
AI 驅動資安新典範:合作夥伴「元盾資安」看滲透測試與韌性防禦的進化
在 2026 資安大會中,我們特別參訪了合作夥伴「元盾資安」的展位,深入瞭解其如何將 AI 技術導入核心服務。傳統的滲透測試(Pentest)高度依賴人工撰寫報告,受限於人力成本與時間。而元盾透過 AI 工具的賦能,不僅自動化生成詳盡報告,更能執行深度且全面的模擬攻擊,挖掘出過往人工難以察覺的隱匿漏洞。
此外,元盾積極與學術界進行產學合作,為台灣培育新一代資安專才,解決人才短缺的缺口。在主機防禦端,其 WAF(網頁應用程式防火牆)服務也迎來重大升級,針對高安全性主機導入AI偵測,提供更完整的查詢日誌(Logs),達成更精準的威脅追蹤。
面對 AI 浪潮下的資安挑戰,攻擊技術的演進已從「天」縮短為「秒」。我們不應僅是「抵擋」AI,更應「運用」AI。唯有在新型攻擊手法產生之前,透過主動式防禦與持續性的監測,才能在 AI 技術飛速發展的同時,築起堅不可摧的數位堡壘。
