台灣74%的企業是「資安麻瓜」？Cymetrics用駭客視角幫企業做體檢、投保「資安險」

新世代人類生活在龐大網際網路交錯的互聯網之下，除了享受訊息共享、交換的快速與便利，也在無形之間將重要資訊暴露在風險中。回顧近年重大資安事件，2020年鴻海傳出遭勒索軟體攻擊；今年9月台灣非營利組織界更發生大量捐款資料外流事件，資安的評估、檢測與管理正是企業在網路時代下的剛需。

創業小聚第130場活動邀請資安評估平台新創Cymetrics的資安負責人周彥儒，介紹其服務如何幫助客戶提高對網絡暴露的可見性，交流來賓邀請到關注資安新創的紅樓資本共同創辦人楊曜陽，為資訊安全議題帶來深度剖析。

台灣資安人才有缺口，Cymetrics將滲透測試分級變簡單，降低門檻

周彥儒表示，在資安檢查的頻率上，過往企業的資安評估約半年才會進行一次總檢查，但是在這半年期間的空窗期有如大開的大門，除了較密切檢測的的大企業之外，這樣的漏洞是難以預防的。

而在資安資源上，依據Cymetrics的調查資料發現，在台灣只有3%的企業了解自身資安風險，且能找到正確的解決方案幫助其資安管理（you know），完全不清楚公司資安風險（you don’t know what you don’t know）的比例則高達74%。

會造成中間高度落差的原因在於台灣資安人才的匱乏，僅具備資源的大企業有能力建立專業資安團隊，中小企業常常連重要資安資訊都接收不到。

在上述兩者極端間，還有23%的企業，為知道自己的資安風險，但不清楚如何尋找資源做好資安管理（you know you don’t know），這些團隊正是Cymetrics的主要TA，因為至少了解公司內部的資安問題，才能向外尋求協助，讓Cymetrics登場。

透過Cymetrics的SaaS資訊安全評估平台，將檢測資安最有效的滲透測試分為三階段：第一階段先將傳統全人工的滲透測試外圍的檢測全自動化，企業只要提供IP或email，Cymetrics就可以在遠端監控，並做出評等報告，讓企業了解自身在產業中的資安風險等級。

周彥儒說，企業初步了解問題後，就有動機往下深掘做更完整的資安評估改善風險，也就是第二階段的具體弱點評估，以及第三階段的模擬攻擊者攻擊路線的預測。Cymetrics透過循循善誘的分級檢測，以駭客視角從外部進行評估，提升企業的資安意識，也不會一開始就造成團隊過大的負擔。

完成檢測後，Cymetrics能協助媒合專業資安解決方案提供公司，也發揮自身領有保險憑照的優勢，建立將資安風險數值轉換成資安保險應保等級的know-how，幫助客戶投保，全面地為企業建立資安管理系統。

Cymetrics要將技術開源助產業發展，風險量化成護城河

紅樓資本共同創辦人楊曜陽提問：做資安檢測的公司不少，Cymetrics的護城河為何？

周彥儒回應，Cymetrics不只單純做檢測，而是提供一站式服務，連後續的保險與解決方案媒合都照顧到。尤其將資安風險量化成投保依據更是Cymetrics重要的產業知識，且傳統檢測公司不懂如何與缺乏資安團隊的中小企業交涉，更是他們的一大優勢。

周彥儒更表示，未來會將滲透測試拆分部份自動化的技術做開源，原因是台灣的資安生態還不健全，希望有更多企業進入產業一起基於該技術開發更多產品，就像蓋樂高前要先做積木一樣，要一步步建構出資安無虞的商業環境。

楊曜陽也藉自身在區塊鏈投資的經驗分析，區塊鏈公司的智能合約若遭駭後果也不堪設想，Cymetrics是否有針對此的服務？周彥儒說，對defi這樣的高風險產業來說，保險是剛需，Cymetrics的做法是與第三方檢測公司合作，再同樣做風險量化提供投保建議，藉此幫助區塊鏈產業。