人臉 deepfake 技術發展成熟，相關案件逐年上升，影響的層面廣闊．然而隨著新的 AIGC (如語言模型的文字生成，AI 繪圖等) 技術崛起，讓 deepfake 技術再度升級，並擴展到更多層面，這些新技術勢極有可能產生更多的犯罪案件．因此，我們將對 deepfake 技術從過去到現在到未來做一個脈絡梳理．我們的內容將涵蓋 deepfake 的技術展示，案件探討，技術原理介紹，以及介紹辨識 deepfake 的技術。

量子電腦的研發持續進展，未來大規模 (large-scale) 通用型 (universal) 量子電腦將可破解當今所有公鑰密碼系統 (public-key cryptosystems)，包括行之有年的數位簽章。為抵抗量子計算帶來的威脅，後量子密碼 (PQC, post-quantum cryptography) 應運而生，學術研究已有數十年。後量子密碼以數學演算法為基礎，可使用現有電腦與網路架構，不需額外基礎建設。美國政府正在制定 PQC 後量子密碼國家標準，去年七月已選出四項演算法，未來將成為後量子密碼國際標準，全世界通用。我們將說明 PQC 原理，並介紹其最新發展。

為什麼 5G 資安等同於 3GPP + IT + IoT + CT 的資安？為了回答這個問題，我們將其分解成幾個問題：一個蜂窩式網絡中包含了什麼？手機是如何連接網路？ORAN 和 5GC 是什麼？MEC 又是什麼？5G 專網有何特點？為什麼傳統的 IT 防火牆無法確保 5G 資安？我們先介紹蜂窩式網絡架構，並探討其與傳統IT之間的區別，接著說明 5G 專網系統及其獨特的資安挑戰，並提供範例。最後，我們會討論零時差漏洞，並展示 CT 網絡的特殊性如何將製造工廠的專用和隔離網段暴露給攻擊者。

作為防禦方的藍隊有許多與紅隊切入角度不同的思維，不但需要考慮到大規模資料量下的準確度，為了符合政府的資安規範，也更加注重反應時間與成本。一直以來，我們團隊對於大規模的資安事件，在調查中使用 Machine learning 自動化方法做了許多研究，將 AI 導入到各個分析面向，從端點事件關聯、分析 Cmdline 的 CmdGPT，以及 AI 虛擬分析師自動產生鑑識報告，而到去年開始，我們為藍隊 AI 助手導入了新一代的大型語言模型，以進行自動資安事件處理與自動案件管理。這場演講中，將透過我們的實務經驗，獨家分享資安團隊該如何正確使用 AI，並分享實際的案例。

現代資訊安全的最後防線，常取決於裝置的保密能力，而硬體實施加解密運算時，卻容易不經意洩漏敏感訊息影響安全；例如執行時間、功率消耗、電磁輻射…等。這類研究在 20 多年前被稱為 Side Channel Cryptanalysis，現稱為旁通道分析 (Side-Channel Analysis, SCA) ，並受到國際上廣泛關注。本演講內容將會提到，相較於傳統的分析方式，例如: 簡單功率分析 (Simple Power Analysis, SPA)、相關功率分析 ( Correlation Power Analysis, CPA)、模板攻擊 (Template Attack) 等，應用機器學習 (Machine Learning) 來增進的旁通道分析技術，無論加解密演算法運算時是否受到保護，基於深度學習 (Deep Learning) 的分析成果，近幾年皆被證實具有壓倒性優勢。

隨著人工智慧被廣泛使用，我們也需要開始在意人工智慧的安全與隱私。譬如人工智慧模型是否有可能會被植入後門導致人臉辨識門禁系統失效? 人工智慧模型是否會誤判分類導致自駕車不受控制? 又或者是近期很紅的 chatGPT 是否會輸出種族歧視或是政治不正確的言論? 在這場演講當中，我們假設聽眾具有些許人工智慧相關知識，並將概略性地統整目前人工智慧當中各項安全與隱私的議題。

電信網路的開源軟體如 OAI、SRS-RAN 的出現造就了軟體無線電的流行，而 O-RAN 的興起驅使了電信網路朝向智慧化、有彈性、客製化且開放性，迎來更普遍的發展與廣大的應用。但另一方面，開源軟體低門檻的實作與便宜的價格也讓惡意使用者更加了解電信網路的弱點、甚至可以製作出偽造的基地台針對電信網路發動惡意的攻擊。本演講中會闡述軟體無線電技術對於電信網路造成的安全性影響，並以偽造的惡意基地台與開源的 O-RAN 為範例說明。對於惡意基地台攻擊的部分，我們會展示其攻擊手法與可能的偵測方式；針對 O-RAN 安全方面，我們則會探討 xAPP 成為存取 O-RAN 的漏洞進入點之可能性。

因 5G、AIoT、工業 4.0 應用爆發，電腦化、數位化和智慧化的轉型讓供應鏈攻擊事件不斷發生，導致近年來供應鏈資安已成為全球皆關注的議題。而開源軟體 (Open Source Software) 在這幾年成為資通訊領域的主流趨勢，業界已非常頻繁的使用開源軟體作為元件來整合或進行二次開發。於是乎，如何打造開源安全供應鏈就是個非常重要的課題。由於打造開源安全供應鏈需要產業上下游一同協作，SZ 會分享國際間各大企業以及不同產業間如何透過流程管理規範，用於識別應存在組織流程、政策或培訓的內外出入口。並搭配 Software Bill of Material (SBOM) 來識別和追踪使用和實際產出部署的軟體之合規以及安全狀態，進而在不同企業間建立信任以交換由開源軟體組成的交付物。除了分享業界實例外，SZ 也會分享來自開源資安標準 OpenChain 以及國際 SBOM 標準 SPDX 未來發展藍圖以及第一手資訊，期待一同打造開源安全供應鏈。