事件背景
CrowdStrike 在 2026 年中發佈威脅情報報告,指出北韓駭客在過去 12 個月內發動的攻擊佔美國科技產業約半數。這些駭客以遠端 IT 人員和人資招聘者身份進行社交工程、針對美國、歐洲及亞洲公司進行滲透。
成本反轉的經濟學
表面上看,這似乎是「技術威脅」新聞。但核心是經濟學上的根本性反轉。
進攻方的數學:北韓在 2024-2026 年間的人均月薪約 100 美元。一支 500 人的駭客部隊年成本大約 600 萬美元。這筆錢對一個被制裁經濟體來說已是天文數字,但相比之下:
- Google 年度安全支出超 10 億美元
- Meta 年度安全 / 合規支出約 5 億美元
- 美國科技產業整體安全投入估計 200-500 億美元
但防禦為什麼還會失敗?因為防禦必須在*所有*地點成功;進攻只需在*任何一個*地點成功。社交工程不需要 zero-day 漏洞、只需要一個員工在疲勞、分心、或信息不足的時刻點錯連結。
非對稱威脅的三個層次
第一層:成本-效能比反轉
北韓駭客的人工成本低 20-50 倍,這意味著他們可以用持續的「人海戰術」替代美國公司的「高精度工具」。一個美國網安工程師月薪 15,000 美元、北韓相當職位 300 美元。差距 50 倍。
這創造了一個詭異的經濟平衡:北韓駭客的邊際成本是「再加一個人」;美國公司的邊際防禦成本是「升級整套系統」。
第二層:隱藏身份的技術進步
身份隱藏過去需要高度技術工程。現在它只需要: - 開源 VPN 工具(免費) - 購買被盜身份或虛假檔案(幾百美元) - 模仿招聘話術(可複製)
這些都已經商品化。北韓不需要發明、只需要購買和執行。
第三層:目標集中度
CrowdStrike 的數據暗示:北韓不是「隨機掃射」、而是高度集中地對準美國科技業的關鍵部門。這說明情報蒐集在進攻前已經進行。
美國科技公司面對的是*有目標的、重複的、低成本的*進攻波——不是單次的精準打擊。
防禦邏輯的崩潰
傳統的網安假設是:「防禦比進攻容易」。這基於一個前提:進攻者必須是高度技術化、資源充足的菁英。
但當進攻被「非技術化」(社交工程)、「人海戰術化」、「平民化工具化」時,這個假設破裂。
一個被制裁的貧困國家反而可能因為勞動力成本極低、而變成威脅最大的進攻者。這是反直覺的。
為什麼現在才出現?
北韓駭客集團(如 Lazarus、APT38)在 2010 年代就已存在。但過去 5 年間發生的變化:
1. 遠端工作普及化(2020 年疫情):使得遠端身份驗證變得寬鬆、員工分散 2. 身份虛擬化成熟:LinkedIn 刷屏、虛假履歷、深度偽造技術都已可靠 3. 企業規模擴張:大公司新員工入職流程標準化但過於簡化 4. 社交工程工具開源:Phishing kits、credential harvesters 都可在 dark web 購買
結果:進攻成功率從 5-10% 上升到 20-40%。
影響與推論
對防禦方:投入更多金錢不一定有效、因為防禦瓶頸已經從「技術」轉移到「人」。無論花多少錢在防火牆,一個新入職員工的判斷力永遠是 weakest link。