• 我們一樣會做逐字稿,十個工作天之後公開。

  • 各位好及謝謝政委撥冗時間,今天因為時間其實大家都很忙,我們會講重點,主要的原因是因為今年是 HITCON 的第十八年,這第十八年來我們致力做資安推廣。

  • 我已經把研討會的主辦交接給我的學弟,他們有很多的想法想要辦得更多、更好,所以等一下會由他來作更多的介紹。

  • 我們也會跟政委聊一下,因為 HITCON 協會一直希望跟政府合作,像在上個禮拜六,我們在 CCoE 的場上有看到 HITCON 與 CCoE 的課程合作。

  • 兩位院士都很肯定。

  • 也是因為這樣子,希望未來可以有更深度的合作。先請今年的總召來作活動的介紹。

  • 簡報我看完了,所以簡報上的字不一定要唸,想到什麼就講什麼。

  • 我是從 2020 年開始接 HITCON 的副總召與總召,已經第三年了,我想我們這三年來都有不一樣的成長,幾個地方在於 HITCON 往年都會有社群等等場次,因為今年疫情的關係,再加上我們有一些新的想法,想要讓社群跟企業的人才部分可以有更深化的一些交流,所以今年把 Community 跟 Pacific 合成一個 HITCON 研討會,今年只有一場 HITCON 研討會,我們明明為「HITCON PEACE」,也是呼應今年的時事議題,不管是烏俄戰爭,不管是網路上觀察到的網路戰、數位戰的攻擊,我們都發現一些新的議題衍生出來的,所以定名為「HITCON PEACE」,我們今年的主軸是希望實體線上,我們希望非常多人,不管是國內外的參與,所以今年也同時舉辦實體、線上的活動。

  • 我們今年的時間是在 8 月 19 日、20 日,也是我們第一次移師到南港展覽館二館,希望有更多的人可以有機會參與,不只是說說而已,我們在票價上,因為我們相信知識是有價的,也希望更多人能參加,所以在票價的部分做了往下調整,最低調整到 5 折左右的價格,比照往年的部分,我們使用更多、更好的場地,吸引更多的會眾來參與,不管是不是資安從業人員或是對於資安有興趣,都希望可以參與到我們的活動之中。

  • 其實這是我們「HITCON PEACE」簡單的說明,也涵括剛剛所講的。

  • 我們邀請到美國的 MITRE 來參與、講供應鏈的安全,議題也包括各種 AP 族群,邀請來自新加坡、加拿大、日本等等的一些研究人員、來參與我們這樣的活動,來跟我們分享不同的議題,包含我們相信技術、企業的不同資安議題其實是有相互的議題,所以一樣在 HITCON 2022,也就是針對企業知道他們在意、需要知道,需要花一些精力來討論一些資安的議題,也就是會在「HITCON PEACE」出現。

  • 其實像我們的議題,不單是希望給企業聽,但是也有研究人員是跟健保卡相關,這都是國家很大的資安議題。

  • 去年也有一題是講簡訊實聯制。

  • 以下是今年一些活動的亮點,我們邀請政委參與的圓桌會議,這個是去年才開始的活動,這個活動其實是在我們討論的時候,我們的想法很簡單,一直以來其實臺灣的資安社群聚集其實都是由下而上的,比較少是由上而下的,由上而下讓長官們討論出一個結果,還有一個新的共識,讓我們的會眾知道。所以今年的圓桌會議有一個很大的目標,也就是比去年更大,我們也在長官們的邀請上也花了很多的心力調查,我們希望幾個核心的原則,今年優先邀請去年沒有參與過的,因為我們希望兩年的討論有一些不同的火花。

  • 如果身分改變,像勤業的簡副總?

  • 我們在討論的時候其實是以受邀長官的過往經歷為第一優先,因為那是能夠淬煉出不同火花的根本。現職身分當然也會列入我們的考量,但比重不會那麼的高。

  • 我們其實是尋求最佳的組合,如果過去是有一些很熟識的,聚在一起,如果有一些新夥伴一起的話,希望有新的火花。

  • 就是希望有新的交流,並不是同樣這些人,每年談不同的話題。

  • 所以我們邀請的貴賓跟去年都不一樣的,討論的議題也會有桌長來擬訂相關的討論議題,帶領我們的貴賓提出一些共識。

  • 今年的圓桌會議比較不一樣的是,參與圓桌會議內容如果被放到新聞上,像某某單位的長官說了什麼,也怕會有一些擔心,所以今年圓桌會議後續的分享,其實我們是由桌長凝聚這個桌次的共識,我們會安排在圓桌會議之後有一個 90 分鐘的 section 討論結果跟共識,當然是不具名,也會邀請媒體來採訪桌長,今年的圓桌會議討論了什麼問題,我們希望留更多的東西可以給資安產業的夥伴們,讓他們知道長官在意的內容議題是什麼,看能不能上下更快速交流在一起。

  • 我確認一下,這個是類似漆咸樓的規則,我可以跟別人講我聽到什麼,但是不能講是誰講的,是這樣嗎?

  • 在圓桌會議的部分是完全閉門交流,桌長對外的分享是完全不具名,而是討論出什麼結果與共識。

  • 等於也不能講超過收斂出來的範圍以外?

  • 對,原則上我們是希望這樣子分享,因為這個是大家都相對同意、有認同的部分,這個是圓桌會議的部分。

  • 因為為了線上跟實體活動的進行,我們在去年其實 HITCON 的社群團隊,我們努力建立一個品牌是 HITCON ONLINE,這個是完全根據我們的需求,我們有設計線上活動、議程跟遊戲,我們設計整合進去在 HITCON ONLINE 裡面,我們會持續在這個平台上,也衍生更多不一樣的活動,在線上跟實體,今年更強調虛實整合,今年在實體現場的活動會跟 ONLINE 有更多更的連結。

  • 還有一個是煉蠱,這個是想要學習攻擊技術的夥伴們有一個平臺,他們可以在受限的伺服器當中做攻防的交流。

  • 其實 HITCON ONLINE 一開始滿受好評的,因為有線上票,其實在線上的攤位是有做贊助商的攤位、宣傳或者是影片,人的互動在平臺上都有的,這個也是由社群夥伴開發的,我們覺得這個意義是遠大於使用一個商業的方案,所以今年希望繼續進行。

  • 對,我們希望繼續推廣。當然我們在談人才媒合的部分,在去年的時候,其實 HITCON 就想做實體的博覽會,但還是有一些疫情的限制,今年我們合辦了人力的規劃,我們的目標很簡單,也就是把資安相關的單位、公司,或者是開發資安產業服務、團體等等,我們把它凝聚起來,然後辦理這樣的活動,像博覽會有 20 幾間的廠商在 HITCON 的活動上,也為了相關的互動或者是對資安有興趣,但不知道如何從何下手。

  • 但是有些活動是用線上參與,也就是讓這樣對於資安工作、職缺有興趣的夥伴們可以參與這個活動,而這個活動是完全免費的,不需要設置任何的門檻,只要時間報名,就可以參加人力博覽會的部分。

  • 這是我們今年花滿多的心力在籌辦,我們其實也看到企業有很多資安人才的需求,政府其實也有,只是再怎麼跟社群結合,其實還沒有找到非常平衡的地方,我們希望透過這樣的方式、凝聚社群的人力,把企業一起找來凝聚在一起,看會不會有新的火花。

  • 接著是 WARGAME、HITCON VILLAGE 跟 WORKSHOP 的部分,WARGAME 其實⋯⋯

  • 大家都要打 solidity 這樣嗎?

  • 我們目前還是有設計類似的,也會透過 NFT 來兌換實體的獎品,也會設計一些題目。也有 HITCON VILLAGE,我們會號召國內數十間的資安社群、老師們來持續參與我們辦不同主題的活動,像 5G、IoT 等等的一些主題,然後來辦這樣 Village 的活動,這是由社群一起協同主辦的部分。

  • WORKSHOP 基本上我們希望給會眾,他們對於資安有興趣,但是沒有辦法理解、這麼快速吸收,議程比較深入的知識,所以辦 WORKSHOP,會在比較基礎的概念上來做攻擊的操作、防禦等等,都是技術實作型的工作坊,這是今年特別的活動。

  • HITCON VILLAGE 的部分我們一直很希望多做的,原因是因為這十八年來從三十人到一千五百人,社群的參與其實可以更多,因為我們發現臺灣早期玩資安的人,都是在不同的社群跟社團,才可以凝聚在一起,我們希望在 HITCON 的大平臺上,可以讓他們有一起發揮的舞臺,甚至可以在活動上來做社群或者是社團人員的招募跟活動,邀請更多的參加者都希望在這邊可以達到。

  • HITCON 的參與成員在去年來看是非常多元的,不管是工程師、學生或是各種教職等等,其實 HITCON 的來源非常廣泛,也可以看到我們也是根基在會眾參與不同的意願跟目的上,盡可能讓我們的 HITCON 可以越來越有多元的方案,尋找資安解決方案在 HITCON 比較少,也就是有商業的會議,以技術、社群的交流為出發點。

  • 每次不管是總統或者是科技部長,都會問到性平議題。你們今年對於改善性別比例有做了什麼?

  • 我們在滿多年以前,在研討會已經有制定 COC,我們也希望能夠在今年可以更嚴格去執行,避免可能在過往國外參加者來臺灣,可能會想要多交朋友,可能會造成一些困擾,或者是我們希望能夠多一些女性或者是其他性別參加者來一起參與,因此我們其實也有一些社群專門是女性的社群或者是專門歡迎不限定性別的參加者,我們希望在這邊可以達成。

  • 我之前被找去「資安女婕思」,可以發現科技部非常看重這個。

  • 這也是剛剛所說的,我們在性別平等上有花一些資源,包含也同時針對社群志工,也有露出一些宣導,讓他們更舒服、快樂參與活動。

  • 我們有一個社群叫做 HITCON GIRLS,希望女性在裡面放心交流。

  • 以上是活動的介紹。

  • 這個邀請就如同邀請函所示,政委會在 CISO 桌,桌長會是 Allen。

  • 我需要準備什麼嗎?

  • 近期會擬訂要對談的題目,裡面的時間並沒有非常充沛,一桌有十二位的長官,我們會拿捏好問題的數量,讓大家都可以有發言的機會,會盡早把題目提供給政委。

  • 我這兩年來是 CIO,而 CISO 的工作都是副院長辦公室在協助,所以不管未來數位部怎麼樣,總之我現在對 CISO 是有點一臂之遙,如果先拿到的話,我可以跟真正的 CISO 多談一下,比較多東西可以談。

  • 如果有一些問題有回饋的話,我們很樂意調整。

  • 在這個活動之內,不知道政委的時間安排上怎麼樣,而且有一些活動是我們的亮點,也希望政委可以參加,也希望可以給我們指導,也就是怎麼樣做更符合駭客跟社群該做的事,我們都可以在未來的活動做一些加強。

  • 我記得之前在 Wargame 有答過兩題,今年看是不是可以答看看。這個規劃很棒、很清楚,場地也有宣示性意義,也就是有小巨蛋開演唱會的感覺。我比較 care 的是科技部之外,還有線上的參與是不是可以,也就是我們知道很多虛實整合,虛都很虛,大家都知道的事,疫情的事全虛是一種辦法,但是線上會進入實體的狀態,怎麼樣聽清楚,這個要講清楚會跟實體造成怎麼樣的連動。

  • 目前簡單設計的是,實體的會眾也需要拿電腦,在線上的平臺上做一些操作或者是解謎,會佈建各種的然後對應到不同感應器的設備,我們會透過這樣的方式,能夠讓他拿到類似解題的提示或通關 Flag 等等,也就是持續完成下一回合的流程,等到實體的部分,就需要做一些解謎,一些活動可以操作,並不是必備的。

  • 但是我的意思是,這個概念是在場的幾個人跟在線上的後盾組隊的想法嗎?線上跟線下的狀況怎麼樣?

  • 線上、線下的人員交流比較仰賴這個平台上,等於線下的參與夥伴還是會在這個平台上,只是在組隊或合作的方式,可能會變成實體的解謎遊戲可能只有線下的夥伴去完成,線上是合作的方式。

  • 理解。所以假設我們是一團幾個好朋友,只要幾個人實體參加,線下的人會去幫他,這樣要寫清楚一點,不同的虛實遊戲整合體驗有不同的狀態,不過你講這個是滿 OK 的。

  • 我們有跟子維報告發文的事,是發到資安處還是政委?

  • 我目前沒有督導到資安處。

  • 你是說過去都會鼓勵相關的政府機關來參與,你想要他們參與什麼?

  • 我們以前會裡面遇到一個難題,2016 年的時候我開始處理這件事,還在國安會的時候,其實所有的政府機關看到「駭客」這兩個字,也就是說我們怎麼會參加駭客的活動,所以就請 HITCON 發個文給當時的會報,後來給行政院資安處,然後再轉答給各單位,各單位才可以買票。

  • 這個就繼續做,因為資安處還是所有資安人員的專責窗口,所以發的話就一定發得到,如果要接觸到資訊職系或者是專責人員的話,其實資安處才碰得到。

  • 當然這次會談主要是因為今年的活動是非常用心,也是史上規模最大,也希望有更多的好朋友來參與,因此會希望透過這邊的力量來作一些邀請。

  • 我需要做什麼嗎?去跳舞或者是拍廣告?

  • 跳舞也可以。(笑)

  • 我們也知道政委現在很忙,先讓政委知道我們在做什麼,希望可以持續下去給更多人參加。至於可以怎麼樣做,我們很難像許願池一樣許願。

  • 你們有跟 NCCST 或者是 CCoE 有聊過嗎?

  • 其實都是 HITCON 有參與的活動,會邀請他們的學員來參加活動。

  • 他們本來就會幫你宣傳?

  • 其實是有的。

  • 這個還不錯,因為資安處碰到的是政府裡面的人員,但是 CCoE 是往學界跟新創的介面,所以由這個介面來宣傳也很好,所以我覺得這等於是雙軌併行,因為看起來並不完全是工程師參加,你也很想碰到學生、研究生跟決策管理的階層,不會把自己看到自然會收到邀請函的人,但是他可能有興趣,你現在場地這麼大,所以有興趣就比較容易進得來,所以應該多軌齊發是比較好的。

  • 這個對主辦方是很大的挑戰,有學生、企業跟政府機關,在活動的主辦上的調性的拿捏就要平衡一下。

  • 不過大家要理解,如果是實戰,那不管是不是正規編制都要上場。

  • 其他的部分你們有跟政府機關——除了剛剛講的那些——有什麼合作嗎?我剛剛想到的是全動署。

  • 資通電軍,我們會邀請。

  • 他們每年會主動來參加活動。

  • 我的意思是文宣撒出去,比較少看到資通電軍幫你們宣傳?

  • 這樣的身分比較難使力,所以作宣傳會比較怪。

  • 子維有沒有什麼想法?

  • 他們有沒有招募人才的需求,這一點跟你們會有一致性?

  • 會有,但現在其實國安單位還是很卡關,比如像國安局,要有試用期六個月,政府單位很僵化,而且還沒有給錢,等到真的要用的時候,給的薪水也很低,像調查局很瞎,他們開出來的是業界 12、13 萬的薪水,結果他只能給 4 萬,是這個很大的困難。

  • 因為你需要他幫你宣傳,你可能要跟他交換要幫他做什麼。

  • 對,你要說服社群打折報效國家?可能很困難。(笑)

  • 我有想到,請政委簽個什麼,做成 NFT,然後滿多少,就可以送。

  • 限量憑證嗎?也有很多人說 NFT 就是鏈上的票根。(笑)

  • 我們是可以再努力,也就是在這個會談之前不敢許願太多,因為想說各位都非常忙,我們可以回去思考。

  • 我們這邊有兩個訊息,首先其實那一天大家都在,這不是秘密,也就是年底可能會有行政法人,也就是 NICS 的成立,資安研究院為何挑行政法人,就是要突破剛剛仁甫所說的敘薪跟人事規章的問題,我自己比較在意的是像學經歷,我已經喊出「學歷比我高就算高」——我是國中輟學——因此這樣的情況之下,就可以突破很多。

  • 像你到台積電,如果沒有本科的碩博士,其實薪水也沒有非常高,但是未來在行政法人,甚至資安署的約聘,基本上是可以把社群貢獻的時間算成學經歷,所以你在社群貢獻十幾年,就等於好幾個博士,概念上是這樣子。

  • 這個我喜歡。(笑)

  • 這個我自己的經驗(笑);所以我的意思是,我們比較想吸引那種可能不是本科系,或者是因為國高中的時候就有興趣,所以對唸碩士乾脆就沒有興趣,相信大家認識很多,這些人在我們不管是新的法人或者是資安署,在薪水就非常有競爭力,就比起你到台積電或者是其他地方,只多不少。

  • 我覺得這個是有必要的,因為如果在意碩博士那邊的,他們那邊隨便 20 幾萬月薪都開得出來,這個我們要拼都拼不出來。但是只要有實戰能力,如果是非本科的學士,或者是學士都沒有的話,我們都開得到年薪百萬,這就是大家可以接受的薪水了,因此這樣的情況之下,我們比較想把這個訊息送出去,這個應該當時 8 月中下旬,這個訊息應該可以放了,這並不是很晚的訊息,而且那時候事求人都已經貼出來了。

  • 署的貼出來了。

  • 這是第一個我們想要公布的訊息。

  • 第二,這個法人並不會什麼都 in-house 做,進來薪水還不錯,但是更多的是法人出題目,然後新創解題,我們想要讓新創知道之後會有更多的題目,不會只是少數系統的比較窄的合作,而是比較寬的合作,包含上次講到演習平台或者是對應模組,這個題目就比較有意思,並不是像傳統補助「Pay for Effort」的東西,而是開放式的題目,我們是按照成果付費,就是「Pay for Success」,這也是法人才比較可以做的,要一般的公務預算招標去做,大概是沒有辦法,所以像比 bounty 更多、長時間合作的做法,我覺得這也是可以傳播出去的。

  • 所以這兩個大概是我們想要傳遞的訊息,只要跟這兩個扣合,我覺得比較不會看起來像是在不相關的地方拍廣告,比較像政策宣導,政策宣導我就可以花比較多的時間做。

  • 瞭解,我們可以思考一下如何跟活動做結合。

  • 政委已經提到一點,我們也有徵才,我們也可以幫忙徵,如果署或者是法人有給我們資料,也可以徵,但是他們可能要獻出他們的誠意,可能要兩百張,我剛剛開玩笑;但徵才我們也可以看政委指示,然後子維給我們窗口,你們現在已經有徵了,到我們這個活動也可以徵。

  • 對,徵才當然是持續在做,但是目的是藉由這個徵才來說,不要以為到公部門薪水只能打三折,這才是真正的目的,這個訊息出去是比較重要的。

  • 瞭解,我們很樂意傳遞這個訊息。其實因為我現在是協會的理事長,我也希望未來可以跟法人或者是政府機構可以有更多的合作,不管是駭客圈或者是資安圈的力量都可以幫助政府,因此希望未來進度比較多的時候,看可以怎麼做,我們很樂意一起來對談。

  • 我講到可以講的程度:大家知道衛福部的法傳系統跟周邊的系統有出一些狀況,雖然理論上指揮中心的資訊組其實可以調動資安方面的人力,但是我們後來發現你平常沒有這種編隊、組訓的話,不太可能法傳當掉時,就算是資安再厲害的高手,碰這種可用性損失的情況,因為這個跟普通被黑帽打是不一樣,這個是全國都在用,所以傳統上那種藍隊、紅隊的訓練,在那樣的時候,反而比較沒有辦法派上太大的用場。

  • 但要因應 DDoS 的吸收之類的,這個確實也是駭客訓練的某個部分,只是平常沒有這一群人,來跟我們做政府比較像資訊架構、公共程式元件的規劃,像臨場應變的服務導流跟服務設計的一群,與資安社群通常比較沒有公部門出的題目,大家來練看看的情況,所以發生問題的時候,就變成必須要同一個人腦裡有這三種狀態,這種人其實非常稀少,我自己在資安方面也沒有非常久的訓練,我就是 2/3 而已,可以顧到資訊架構、服務設計。

  • 但是這種三角型的 team,我們未來還是想說可能要想一想,因為關鍵資訊基礎設施的部分,會需要跨不同專業的應變、重構能力。大家的概念都還停留在蓄意攻擊的紅藍對抗,但是可用性和韌性問題需要另外的編隊。我覺得比較接近「全民數位韌性」的概念,因此這個當然也跟你的主題比較像。

  • 我覺得這個是要大家一起想的,我們只能提需求,但是到底要怎麼樣,也就是交岔編隊,如何把不同的社群,但是因為都覺得快速應變有興趣結合起來,我覺得這個是滿有挑戰性的。

  • 這應該需要滿長時間的演練。

  • 對,平常就要練。

  • 這個只是拋出來,如果圓桌多少跟這個有關的話,我可以聊一下目前的想法,但是到底要怎麼樣實作,還是需要答案的。

  • 不過這個會比較像未來協會跟這邊要怎麼樣來作合作,這個未來我們覺得可以持續討論。

  • 是的。今天是不是先這樣,謝謝。