在生成式人工智慧(GenAI)快速滲透企業營運環節之際,全球企業也面臨前所未有的資安挑戰。從釣魚郵件、深偽技術、模型汙染,到供應鏈漏洞與資料外洩,每一項風險都可能成為攻擊者突破網路防線的切入點。
為了協助企業因應外部威脅情勢,OPSWAT致力於打造跨IT與OT環境的多層防護平台,重新定義檔案安全、模型保護、資料邊界與工控防護的策略,並以CDR(檔案內容撤銷與重建)為核心,從源頭移除威脅,落實檔案零信任防護機制。
OPSWAT北亞區技術顧問周裕華指出,企業若仍仰賴傳統EDR(端點偵測與回應)、XDR(延伸偵測與回應)甚至MDR(託管偵測與回應)進行事後分析與補救,勢必將承擔高昂的破壞與回復成本。因此,OPSWAT選擇從「預防即防護」的角度出發,聚焦檔案為核心的防線建構,結合多項自主開發與併購擴充技術,建構出涵蓋IT與OT場域的整合式資安平台,藉此以平台化架構重新定義當代企業資安防護的設計思維。
檔案拆解重建預防攻擊滲透
在AI驅動的詐騙與資料污染風險不斷升高的情況下,釣魚郵件的擬真程度也不斷進化,不僅語意自然、格式嚴謹,甚至可模擬人類語氣與企業內部流程,大幅提高社交工程攻擊的成功機率。即便企業進行社交工程演練,也發現憑直覺辨識釣魚樣本的成功率大幅下滑,顯示人為判斷已不足以應對AI生成的攻擊樣態。
面對這類問題,OPSWAT以CDR技術作為第一道防線。相較於傳統防毒產品多仰賴特徵碼進行比對,CDR的邏輯是「預設不信任」,將所有進入系統的檔案視為潛在風險,先進行結構性拆解,再重建出符合業務需求且排除執行碼的乾淨版本。周裕華比喻,這就像國際機場的安檢程序,即使乘客攜帶的液體看似無害,仍一律要求倒除,以確保飛航安全。同樣地,CDR能過濾掉藏身於合法檔案中的惡意Payload,並提供安全與功能的平衡,是構築AI時代零信任架構的核心技術。
隨著AI生成內容(如PDF、圖片、影音)被大量應用於攻擊場景,許多惡意程式與後門碼已可隱身於表面看似合規的檔案中,使得傳統防毒系統難以發現。周裕華指出,OPSWAT因此提出多層次防護架構,整合CDR、沙箱、資料外洩防護(DLP)、惡意碼掃描引擎與情資分析平台,進一步推進至檔案弱點掃描與SBOM(軟體材料清單)分析,打造一套可驗證、可治理、可控管的檔案零信任機制。
在企業導入生成式AI模型的同時,模型訓練資料來源的治理問題也逐漸浮出檯面。由於大型語言模型(LLM)需仰賴大量內部與外部資料進行訓練,若這些資料未經嚴謹清洗、驗證與篩選,就可能導致有害指令碼、錯誤知識或企業內部敏感資訊被意外納入,形成所謂「資料污染(Data Poisoning)」風險。
周裕華指出,這類污染不僅會影響AI模型判斷,也可能在多租戶應用環境下造成機敏資訊洩漏,特別是當模型部署於公有雲架構時,風險更加放大。為此,企業應制定明確的AI資料邊界策略,明確區分可導入模型的資料與禁止外傳的資料範圍,並透過單向閘道器等硬體強制手段,確保資料僅能單向傳送至模型中,避免資料雙向流通所引發的治理風險。
單向閘道器即是OPSWAT在關鍵基礎設施保護(CIP)場域中所推動的重要防線之一。相較傳統防火牆僅能依賴封包檢查與流量管制,單向閘道器透過硬體設計,使資料在物理層級僅能由A端傳送至B端,完全杜絕回傳的可能性,提供最強等級的資料隔離能力。特別是在工業控制系統(ICS)與營運科技(OT)環境中,許多設備並未針對資安進行設計,一旦連上外網即處於高風險狀態,這項機制可有效防止外部攻擊穿透至內部網路。
強化OT場域安全防護
為強化OT場域的技術深度與市場佈局,OPSWAT於2022年併購Bayshore,將其MetaDefender Industrial Firewall、防火牆規則編譯器與單向閘道器等技術納入平台版圖。Bayshore深耕普渡模型架構下的工控網路防護,涵蓋從PLC(可程式邏輯控制器)到SCADA系統的不同層級,提供微分段與行為控管能力,協助企業逐層防禦內部威脅。
針對行動儲存裝置所帶來的潛在風險,OPSWAT亦推出MetaDefender Kiosk自助掃描設備,允許使用者在不插入個人終端的前提下,完成USB隨身碟掃描、身分驗證與檔案上傳流程。其後透過Secure MFT(Managed File Transfer)平台,將已驗證的安全檔案傳送至企業內部資料夾,杜絕人工複製或內部設備間資料流通所衍生的風險。
OPSWAT北亞區技術顧問周裕華指出,為了簡化資料治理複雜度,OPSWAT近年積極發展平台化解決方案,以MetaDefender為基礎整合自家與第三方技術,形塑可擴充、可視化、可稽核的防護架構。
另一方面,為協助企業強化供應鏈風險控管,OPSWAT平台亦提供Country of Origin(原產地識別)功能,能辨識可執行檔(如.exe與.dll)的來源國家,並依據政策封鎖特定來源,即便該檔案經掃描無異狀,仍可因來源不符而遭阻擋,有效防範假冒供應商或來源模糊的開源元件藏匿惡意程式。
在IT與OT深度融合的當前,OPSWAT所倡導的並非單一防護模組,而是一套以CDR為核心、橫跨資料、系統、設備與模型的全域「檔案零信任」架構。特別是在能源、交通、政府、航空與製造等關鍵基礎設施產業,這種多層次、多點位的主動式防禦思維,早已不再是加分選項,而是企業維持營運持續、遵循法規要求與確保數位韌性的關鍵基石。