從京都到全球資安信任網:一位台灣資安工作者的 FIRST.org
Published by Yi-Lang Tsai under 資訊安全, FIRST on 6/19/2026 09:20:00 下午回顧自己投入資安工作的這些年,FIRST.org 一直是我心中非常重要的一個國際組織,它不只是年度會議、不只是增長的會員名單,也不只是資安事件應變團隊之間的交流平台,對我而言,FIRST 代表的是一種全球資安社群之間的信任關係,也是一條讓台灣資安能量被世界看見的重要道路,如同目前持續參與的 The Honeynet Project、Cloud Security Alliance (CSA)、Open Worldwide Application Security Project (OWASP) 以及 Center for Strategic Cyberspace + International Studies (CSCIS),讓台灣有機會成為國際組織的參與者。
我第一次參加 FIRST Conference,是 2009 年在日本京都舉辦的第 21 屆 FIRST 年會,那一年會議的主題聚焦在資安事件發生後的復原、經驗學習與應變能力強化,對當時的我正在負責建立國網中心的資安維運中心 (SOC) 來說,這是一場非常重要的啟發,過去我們談資安,往往強調防禦、監控、阻擋攻擊,但在 FIRST 的會議中,我看到更多國際團隊關心的是:事件發生後,組織如何有效應變?如何與其他單位合作?如何在跨國環境中建立信任?如何把一次事件的經驗,轉化為未來更成熟的防禦能力?也成為後續在規劃 SOC 的維運重要的參考依據。
這次京都年會參加的人數大約只有現在的三分之一,但讓我很清楚地感受到,資安事件應變並不是單一組織可以獨自完成的工作,攻擊者不會被國界限制,惡意基礎設施可能散落在不同國家,漏洞影響的產品與服務也可能遍布全球。當事件真的發生時,能不能找到可信任的聯絡窗口、能不能快速交換正確資訊、能不能在最短時間內完成協調,往往比單純擁有技術工具更重要。
從京都開始,我接著陸續參加超過十次以上的 FIRST 年會,每年在不同的地方舉辦,而每一次參加,我都把它視為觀察全球資安趨勢的重要機會,有別於在舊金山的 RSA Confernce 更接近於事件應變的實務分享,FIRST 年會的主軸每年不同,但核心精神始終圍繞在信任、協作與事件應變能力,早期的討論比較集中在 CSIRT 的建立、事件處理流程、跨組織通報、惡意程式分析、數位鑑識與資安團隊營運。那是一個全球逐步建立事件應變制度的階段,各國與各產業都在思考,如何把資安事件處理從臨場反應,提升為組織化、制度化、可持續改善的專業能力。
隨著時間推進,我也看到 FIRST 年會的主軸逐漸擴大,從傳統入侵事件處理,延伸到威脅情資交換、漏洞協調揭露、供應鏈攻擊、雲端安全、產品安全、金融資安、關鍵基礎設施防護、AI 安全與跨國聯防,這些議題的變化,也反映了全球資安環境的變化,許多後來成為各國政策、產業標準或企業實務重點的議題,其實都能在 FIRST 社群中提早看到討論的雛形,這也是我長期參加 FIRST 的重要原因之一,透過 FIRST,可以優先掌握全球資安發展趨勢,再把這些觀察帶回台灣,作為台灣在資安政策、產業發展、人才培育、社群經營與國際合作上的參考,對台灣而言,參與這樣的國際社群,不只是「出去看看世界」,更重要的是理解世界正在往哪裡走,然後思考台灣應該如何準備、如何對接、如何貢獻。
在 FIRST 的交流中,我也深刻體會到情資平台合作的重要性,現代資安防禦不可能只靠單一組織內部的資料。有效的威脅情資,需要能夠被驗證、被分享、被理解,也需要在適當的信任基礎上流動。透過 FIRST 社群,我接觸到許多國際團隊在威脅情資交換、漏洞資訊分享、事件經驗傳遞、TLP、IEP、MISP、EPSS、Passive DNS 等機制上的實務經驗,這些觀察,對於台灣推動情資平台、產業聯防、SOC 營運、CSIRT 成熟度與跨組織事件通報,都有非常重要的參考價值。
FIRST 的另一個價值,是它提供了國際組織之間實質交流的平台,每一次年會,不只是坐在會議室裡聽簡報,更重要的是與各國 CERT、CSIRT、PSIRT、金融資安團隊、網路治理組織、標準組織、研究團隊與大型企業安全團隊建立連結,很多合作在平時看起來只是交流;但當真正的跨境資安事件發生時,就會成為非常關鍵的合作管道,例如 MyCERT、NTT CERT、APNIC 等單位。
參與 FIRST 多年後,我開始思考一個問題:台灣如何不只是參加國際會議,而是成為國際資安信任網路的一部分?台灣的 CSIRT、PSIRT 與資安研究團隊,如何被國際社群看見、信任,並在需要時成為全球協作中的可靠節點?這樣的想法,後來成為我推動多個台灣團隊加入 FIRST 的重要動力。
其中,TWCSIRT 是非常重要的一個起點。當時我服務於國家高速網路與計算中心 (國網中心),這個扮演科技研發重要的單位,也負責了大大小小、許許多多的資安關鍵計畫,在推動 TWCSIRT 在建立對於資安事件的應變能力,當時的計畫涵蓋了台灣學術網路的資安維運中心,以及來自國科會的前瞻研究計畫,在作為台灣學術與研究網路相關的資安事件應變團隊,TWCSIRT 的成立與加入 FIRST,代表台灣在學術研究網路場域建立了國際化的事件通報窗口,後來也參與了國內在資通安全管理上的 ISAC、CERT 以及 SOC 運作框架的推動,對我來說,這一步的意義不只是取得一個會員身份,而是讓台灣學研網路的資安應變能力,正式進入全球資安事件應變社群的視野,其中一個服務所有科學園區情資服務的 SP-ISAC 平台,也期待能夠協助園區內的關鍵產業能夠提昇資安的防禦能量。
後來,隨著產品安全與供應鏈風險成為全球資安重點,在離開國網中心創辦微智安聯股份有限公司 (Shield eXtreme Co., Ltd.) 後,就著手推動 ShieldX PSIRT 加入 FIRST 組織,而 PSIRT 與傳統 CSIRT 不同,它更關注所發展的 Cyber Range 產品安全事件的處理,涵括漏洞接收、影響評估、修補協調、責任揭露與客戶溝通,ShieldX PSIRT 加入 FIRST,對我而言代表一個重要訊號:台灣資安產業不只是提供產品與服務,也願意依循國際社群對產品安全、漏洞處理與信任協作的要求,承擔更成熟的安全責任,後來也看到國內許多的資安同業也分別以 PSIRT 的角色加入,對於產品的安全更盡一分心力,也是對於使用者與客戶的信任保證。
從 2025 年初起,我開始服務於來毅數位科技 (Lydsec Keypasco Digital Technology Co., Ltd.) ,推動以 Keypasco CSC 加入 FIRST , Keypasco CSC 的定位與金融科技、身分安全、跨境服務與關鍵基礎設施防護有密切關聯,在推動 Keypasco CSC 加入 FIRST,讓台灣在國際事件應變網絡中增加一個新的金融與身分安全節點,以數位安全邊界的概念來發展自身的產品,對提供身分驗證與信任服務的團隊而言,加入 FIRST 不只是建立事件通報窗口,也是一種對國際社群承諾:我們願意以更高標準面對資安事件、漏洞處理與跨國協作。
除了 TWCSIRT、ShieldX PSIRT、Keypasco CSC 這三個我負責推動成立加入的正式會員之外,過去十幾年的期間,也協助推薦 DTTW-CSIRT、INX-CSIRT、MSS CSIRT、TWNIC-CSC、ZUSO Advanced Research Team 等台灣團隊加入 FIRST,這些團隊來自不同領域,有的屬於專業服務業,有的來自資安公司,有的聚焦網路基礎設施,有的投入漏洞研究與進階威脅分析,看到這些團隊陸續進入 FIRST,對我而言是一件非常有意義的事,因為這代表台灣的資安能量不再只是分散於個別組織,而是逐漸形成能與國際接軌的多元應變生態系。
回頭看這段歷程,個人覺得最重要的,並不是「我參加了幾次會議」,也不是「推薦了多少團隊加入」,真正重要的是,台灣是否能透過長期參與,建立被國際信任的專業形象,FIRST 會員資格背後,包含清楚的服務對象、事件處理流程、聯絡窗口、通報能力、加密通訊、信任背書與持續維護,每一個團隊成功加入,都代表台灣在全球資安事件應變網路中,多了一個可被尋找、可被聯繫、可被信任,也能參與協作的節點。
從 2009 年京都年會到現在,我對 FIRST 的理解也不斷改變,最初,我把它視為一個學習國際經驗的平台,後來我把它看成台灣資安社群走向世界的重要橋梁,到了現在,我更認為 FIRST 是一個全球資安信任網路,而台灣必須在這個網絡中持續扮演積極角色,今天的資安威脅,比 2009 年更加複雜,勒索軟體、供應鏈攻擊、雲端濫用、AI 生成攻擊、身分竊取、漏洞利用與關鍵基礎設施攻擊,都不會因為國界而停止,而攻擊者早已跨國協作,防禦者更需要跨國聯防,當事件發生時,能否快速找到正確窗口、交換可信資訊、啟動協調處理,已經成為現代資安治理的關鍵能力。
因此,這段參與 FIRST.org 的回憶,對我而言不只是一段個人紀錄,也是一段台灣資安社群走向國際信任體系的歷程,從京都的啟發,到十餘次年會的持續參與;從 TWCSIRT、ShieldX PSIRT、Keypasco CSC 的推動,到協助推薦更多台灣團隊加入 FIRST,這一路累積的,不只是會員名單上的增加,更是台灣在全球資安應變版圖中逐漸清晰的位置。
FIRST 的「第一」,對我來說一直有一種特別的意義,資安事件應變需要第一時間的信任、第一線的專業,以及第一步走向國際的行動,未來我仍希望能持續協助更多台灣資安團隊與國際社群建立連結,讓台灣不只是資安事件中的受影響者或觀察者,而能成為國際聯防中值得信任、能夠貢獻、也願意承擔責任的重要夥伴。
進入 AI 世代之後,我對資安事件應變的理解又有了新的轉變,過去我們談 CSIRT、PSIRT 或 SOC,核心多半圍繞在事件通報、日誌分析、惡意程式鑑識、漏洞處理、橫向通報與復原改善;這些能力到今天仍然非常重要,甚至更不可或缺,但 AI 的出現,讓我開始思考:傳統資安應變能不能從「人力密集」走向「智慧輔助」?能不能從「事後分析」走向「即時關聯」?能不能從「各自防守」走向「共同學習」?在我看來,AI 並不是要取代傳統的資安事件應變,而是讓事件應變的每一個環節變得更快、更準、更有組織,當大量 Log、IOC、漏洞資訊、暗網訊號、honeypot 資料、DNS 紀錄、端點告警與雲端事件同時湧入時,人類分析師很難在第一時間完成所有關聯判斷,透過 AI 可以協助進行事件初步分類、異常行為歸納、攻擊路徑推測、威脅摘要產生、相似事件比對與處置建議,讓資安團隊把時間花在更重要的判斷、協調與決策上。
我開始思考台灣是否需要一個更具開放性、社群性與智慧化的情資共享平台,這個想法後來與幾位國際組織的好友閒聊,彼此分享想法後,逐漸帶出 「ISAC.tw」 的成立,對我而言,「ISAC.tw」 不只是另一個網站或平台名稱,而是一個希望把台灣資安社群、產業團隊、研究能量、事件應變經驗與國際情資合作串接起來的嘗試,它的核心精神,是建立一個可信任的台灣資安資訊分享與分析節點,讓不同組織之間能在適當的信任基礎上交換情資、分享觀察、累積案例,並透過 AI 技術協助整理、關聯、分析與轉化為可行動的防禦建議。
