勒索軟體的增長速度比旨在阻止它的支出快三倍

背景

近期科技產業關注的焦點之一在於勒索軟體（Ransomware）的威脅成長速度，已達企業資安防禦支出成長率的三倍。這項數據反映出儘管企業持續投入資金，但在面對日益猖獗且技術不斷演進的網路犯罪時，現有的防禦投資似乎顯得力不從心，甚至存在嚴重的資源錯配問題。

社群觀點

在 Hacker News 的討論中，許多參與者首先質疑「防禦支出應與威脅成長掛鉤」的邏輯。有觀點認為，資安產業本身存在一種無效的擴張模式，許多支出其實是為了應對合規性要求與法律責任，而非真正提升技術防禦力。部分評論指出，資安預算的增加往往是為了應付訴訟風險，而非實質解決問題。此外，勒索軟體的猖獗與加密貨幣的興起有著密不可分的關係，雖然勒索軟體在比特幣出現前就已存在，但加密貨幣確實大幅降低了跨境洗錢與資金追蹤的難度，成為犯罪組織的強力工具。

針對解決方案，社群內展開了激烈的辯論。一種激進的看法是政府應立法禁止企業支付贖金，認為不與恐怖分子談判才是切斷犯罪誘因的根本之道。然而，反對者指出這種做法在現實中難以執行，甚至會產生反效果。一旦支付贖金違法，受害企業為了規避法律制裁，反而會隱瞞資安事件，這不僅讓勒索集團獲得新的威脅籌碼（威脅檢舉企業非法支付贖金），更會導致大眾對資安威脅的認知出現偏差。特別是像醫院這類涉及人命的機構，政府很難在道德上堅持禁止支付贖金的立場。

技術層面的討論則聚焦於「基本資安衛生」是否足以防禦勒索軟體。有意見認為，只要做好基本的權限控管與備份，就能大幅降低風險；但資深技術人員反駁，現代作業系統（如 Windows、Linux、macOS）在限制原生代碼存取權限上仍有根本性的缺陷，只要使用者執行了惡意程式，其家目錄與掛載的網路硬碟幾乎毫無防備。此外，潛伏型惡意軟體（Sleeper Agent）可能在系統中潛伏數年，使得單純的備份還原無法徹底解決問題。

最後，討論也觸及了企業文化與經濟誘因。許多公司的高層將資安視為投資報酬率極低的保險支出，在預算縮減時往往首當其衝。隨著人工智慧技術的發展，攻擊者編寫惡意代碼的門檻降低，而資安專業人才卻可能因為產業環境惡劣而流失。未來若企業大規模導入代理人系統（Agentic Systems），勒索軟體的威脅可能從單純的資料外洩，演變成對整個企業運作主權的勒索。

延伸閱讀

• Gordon-Loeb Model：一種用於確定最佳資訊安全投資水平的經濟數學模型，討論中提到預算不應盲目隨威脅增加而線性成長。
• Virginia Legislature Ransomware Incident (2021)：留言中提到的案例，描述了政府機構如何透過快速反應與物理手段中斷加密過程。
• XKCD 1200：關於電腦安全與使用者權限的經典漫畫，用以說明即便系統本身安全，一旦使用者帳號被奪取，所有資料依然暴露在外。