FIRST 資安研討會深度分析

FIRST 年會深度分析：從官方資料看這個資安研討會真正偏好的投稿主題

在資安活動的世界裡，FIRST Annual Conference on Computer Security Incident Handling 是一個很容易被誤解的名字。對不熟悉的人來說，它看起來像一個傳統的資安研討會；對熟悉學術會議的人來說，又可能下意識把它和 IEEE S&P、USENIX Security、ACM CCS、NDSS 放在同一條比較軸上。然而，只要稍微讀過 FIRST 官網的年度說明與 Call for Speakers，就會發現它真正的重心並不在於論文競逐式的「新穎性」，而在於全球 incident response community 如何持續交換知識、累積經驗、建立信任，並把這些能力轉化為實際可運作的安全應變實務。

也就是說，若要理解 FIRST，最重要的第一步，不是問它「算不算頂會」，而是先問：它究竟想成為一個什麼樣的場域？ 這個問題一旦回答清楚，FIRST 的投稿偏好、主題選擇、講者輪廓，甚至它對 AI、威脅情報、供應鏈與團隊成熟度的態度，就都會變得非常清楚。

FIRST 自己如何描述這個年會？

FIRST 官方在 Annual Conferences 總覽頁上，將它描述為一個 4–5 天的全球性活動，聚焦 incident response 與 security teams 所面對的議題，讓來自世界各地的 incident response 與 security professionals 分享經驗與專業知識。官方文字同時強調，會議內容涵蓋 incident response、prevention、vulnerability analysis、computer security、management 與 policy issues，而與會者則橫跨從 operational / technical 到 management 等不同角色。

這段描述其實已經透露出 FIRST 最關鍵的特質。它不是把資安視為一門單純的技術學科，而是把它理解成一個同時包含技術、流程、政策、治理、協作與人際網絡的實務共同體。這意味著，FIRST 看重的從來不只是「你發現了什麼技術問題」，而更是「這個發現能不能改善安全團隊如何合作、如何判斷、如何應變、如何恢復」。

來源：https://www.first.org/conference/

FIRST 和一般學術型資安會議的距離

如果把 FIRST 和典型的學術型資安會議相互對照，兩者最根本的差異，不在形式上，而在問題意識上。學術型會議的核心通常是：是否提出新的方法、模型、攻擊、分析框架或證明；而 FIRST 更關心的則是：這個分享是否真的能幫助 incident response 與 security operations 社群提升能力。

這個差異在 Call for Speakers 中表現得非常直接。FIRST 在 2025 與 2026 的徵稿頁面裡，都明白寫出：FIRST does not require you to submit a formal paper. 這句話本身就足以說明，FIRST 的審查邏輯不是要你先證明自己符合學術論文的標準格式，而是要你說服 Program Committee：你所提出的內容值得被社群聽見，因為它能推進 security 與 incident response practice。

FIRST 甚至進一步明確要求提案至少必須讓 reviewer 理解幾件事：

• 你正在處理什麼問題？
• 這件事怎麼幫助社群？誰會因此受益？
• 為什麼你是適合來講這件事的人？

這樣的提問方式非常有意思。它不像很多會議一開始就把焦點放在方法 novelty，而是先把問題、價值與講者自身的經驗位置放在中心。換句話說，FIRST 不是單純在收「研究結果」，它也在收經驗、判斷、反思、案例與能被別人帶回去用的做法。

來源：https://www.first.org/conference/2025/cfs、https://www.first.org/conference/2026/cfs

讀懂 FIRST 投稿偏好的關鍵：它要的是可傳遞的實務知識

FIRST 在 2025 與 2026 的徵稿說明中，反覆出現幾個值得注意的關鍵句。例如，它強調希望內容能advance the state of security and incident response practice，也強調特別歡迎那些other teams can implement 的 ideas。這兩句話其實足以構成 FIRST 的核心判準。

也就是說，FIRST 所偏好的，不是那種只有原團隊能用、離開原本環境就失去意義的閉鎖式成果，而是能夠被社群理解、複用、轉譯或借鏡的知識。這種知識可能是：

• 一套更好的 incident response methodology
• 一個真實事件中學到的判斷原則
• 一個大規模掃描或量測後總結出的 operational lessons
• 一種對威脅情報、攻擊鏈、供應鏈事件的新理解方式
• 甚至是如何建立團隊成熟度、如何跨組織合作、如何和高層溝通

這也是 FIRST 為什麼會特別禁止 sales 或 marketing presentations。因為在它的世界觀裡，這個舞台不是拿來展示商業存在感，而是拿來交換可以讓整個社群變得更好的實務知識。

從 2025 與 2026 Call for Speakers 看，FIRST 真正在關注什麼？

如果只想抓住 FIRST 的主題輪廓，最好的方法不是猜，而是直接讀它列出的 Suggested Topics。這些主題並不是零散清單，而更像是一張年會關心議題的輪廓圖。

2025 的主題結構

在 2025 年，FIRST 列出的主題包含：New Attacks、New Defenses、New Targets、Understanding and Detecting Marauders、Analyzing Attacks and Intrusions、Building Better Products、Defenses in Place、Defending Others、Joining Forces、Sharing Stories、Playing by the Rules、Building our Soft Skills，以及 Managing SOCs/CSIRTs/PSIRTs。

這份清單的真正有趣之處，不是它列了很多領域，而是它把這些領域放在同一個平面上。也就是說，在 FIRST 的框架裡：

• 新攻擊與新防禦很重要
• 威脅偵測與入侵分析很重要
• 產品安全很重要
• 團隊協作很重要
• 治理、標準、隱私、倫理很重要
• 軟技能與團隊管理同樣重要

這其實顯示出 FIRST 對 incident response 的理解比很多人想得更完整。它並不把應變工作視為單純技術活動，而是把它視為一個需要流程、判斷、合作、信任、敘事能力與組織成熟度共同支撐的整體系統。

來源：https://www.first.org/conference/2025/cfs

2026 的主題透露了什麼新的訊號？

2026 的徵稿主題在延續前一年架構的同時，也把若干趨勢講得更直接。官方列出的方向包含：New Attacks and/or Defenses、Emerging Targets、Understanding and Detecting Threats、Attack & Intrusion Analysis、Operationalizing Incident Response Methodologies、Quality and Maturity of Security Teams、Product Security、Building Trust、Shaping the Rules of the Game、Software and Hardware Supply Chains、Managing Security Operations and Response Teams、Applied Machine Learning，以及 Securing AI Systems。

和 2025 相比，這份清單至少透露出三個新的重點。

第一，FIRST 明顯更強調operationalization。它不再只滿足於介紹方法，而更在意方法如何進入實際的 incident response 流程，如何從 detection 一路走到 recovery，如何變成可執行的 playbook、automation 或實際工作流。

第二，FIRST 把團隊成熟度與人員可持續性說得更明白。像是 team maturity、training、executive communication、burnout prevention，這些詞會正式出現在徵稿主題中，本身就說明 FIRST 相信安全能力不只來自工具與技術，也來自組織如何養成、維持與協調自己的安全團隊。

第三，也是最值得現在讀者注意的一點：FIRST 已經非常清楚地把 AI / ML / LLM 納入其問題版圖，但它畫了一條很清楚的界線。官方寫道，歡迎探討 AI 在 Incident Response 中角色的投稿，但General AI research without a clear tie to Incident Response or practical security operations are not in scope。換句話說，FIRST 並不是因為 AI 熱就全面開門，而是要求這些主題必須真正回到安全營運與應變場景中。

來源：https://www.first.org/conference/2026/cfs

由此可見，FIRST 真正偏好的投稿是什麼？

如果把 2025 與 2026 的官方訊號放在一起看，FIRST 的投稿偏好其實非常鮮明。

首先，它偏好可落地、可複用、可被其他團隊帶回去實作的內容。這意味著，真實案例、量測結果、流程改造、工具經驗、團隊治理與 operational playbooks，往往都會比只強調理論新穎性的內容更貼近 FIRST 的核心價值。

其次，它偏好那些能明確回到incident response 與 security operations核心問題的主題。你當然可以談 AI、供應鏈、產品安全、雲端、ICS、IoT，但如果這些內容最後無法落到「安全團隊如何判斷、如何應變、如何協作、如何恢復」這些問題上，那它對 FIRST 來說的說服力就會大幅下降。

第三，FIRST 特別重視社群協作與 trust building。像 Joining Forces、Building Trust、Defending Others 這些主題，在很多技術會議裡往往只是附加議題，但在 FIRST 這裡卻幾乎被視為 incident response 的正式核心。因為對 FIRST 而言，沒有跨組織信任與資訊共享，就談不上真正有效的應變社群。

最後，FIRST 顯然也非常重視團隊管理、成熟度與軟技能。Managing SOCs/CSIRTs/PSIRTs、Building our Soft Skills、Quality and Maturity of Security Teams 這些題目之所以會被公開列進徵稿主題，不是因為它們「順便也可以講」，而是因為 FIRST 認為這些能力本來就是安全應變不可分割的一部分。

看 2025 Program，才能知道 FIRST 真正接受了什麼

徵稿方向固然重要，但真正更有說服力的，還是 program 裡實際出現了什麼。從 2025 Program Agenda 來看，FIRST 接受的內容有一個很鮮明的氣質：它們幾乎都帶著濃厚的真實世界重量。

例如，在 2025 program 中，你可以看到：

• 網路基礎設施安全與 Internet-scale observation，例如新 ASNs 與 DDoS 風險分析
• 威脅情報與 ATT&CK 相關方法，例如 Automated ATT&CK Technique Chaining
• 國家級 CERT 的威脅分類與實戰經驗，例如 CERT-UA 的 clustering 與攻擊案例
• DFIR 與 anti-forensics 的細節分析
• 雲端攻擊面與身份風險，例如 AWS offensive techniques、Azure attack path analysis
• 大規模網站安全掃描與開源工具經驗，例如 CERT PL 的 Artemis
• 連 ransomware economics model 這種風險與量化模型，也能進入 program

這些題目共同的特徵，不是它們全都屬於同一技術分支，而是它們都能回答一個問題：這件事對 incident response 與 security teams 有什麼具體幫助？

因此，FIRST 實際接受的內容並不偏好只有 benchmark 分數、但沒有 operational story 的工作。它更偏好那些來自真實世界、有明確事件背景、能轉化為可行方法或可用判斷的分享。

來源：https://www.first.org/conference/2025/program

什麼樣的講者輪廓，最符合 FIRST 的氣質？

從 2025 program 中公開的講者介紹來看，FIRST 顯然很偏好這類型的人：

• 真正做 incident response、DFIR、threat intel、product security、cloud security 或 CERT 工作的人
• 長期在實際防禦、調查、協作或大規模量測現場的人
• 不只是做過事情，還能把那些經驗提煉成可傳遞知識的人

這意味著 FIRST 的 speaker 不一定要是學術論文作者，也不一定要來自大學或研究機構；但他通常會需要有另一種同樣重要的說服力：他講的內容是真的做過、真的踩過坑、也真的能讓別人少走彎路。

反過來看，什麼樣的內容通常不適合 FIRST？

從官方規則與用詞反推，不適合 FIRST 的內容大致有幾類。

第一類，是純 marketing 與產品推廣。這個官方寫得很直接，幾乎沒有模糊空間。若你的內容主要目的在吸引觀眾認識某個商業產品，而不是分享能被社群採納的知識，那 FIRST 並不是正確的舞台。

第二類，是那些和 incident response 沒有明確連結的泛議題。特別是 AI 題目，2026 CFS 已經明白畫線：如果沒有清楚連回 security operations 或 incident response，就不在它的重點範圍內。

第三類，是只有概念，卻沒有 operational takeaway 的分享。FIRST 所偏好的內容通常不只是提出一種看法，而是要能讓聽眾帶走一套方法、一個判斷框架、一個教訓、一種流程、一個工具經驗，或者一組可供借鏡的案例。

如果要用一句話概括 FIRST 的投稿偏好

我會這樣說：

FIRST 真正重視的，是那些能讓 incident response 與 security teams 變得更成熟、更協調、更有效率的分享；而這種價值可以來自技術、流程、案例、治理、團隊運作或信任網絡，但必須能被社群理解、帶走並實際運用。

也正因如此，FIRST 的價值不是某個單一熱門技術詞堆疊出來的，而是由實務可用性、社群可傳播性、incident response 相關性，以及對組織能力的真實幫助共同構成。

重點整理

• FIRST 年會的核心定位，是 incident response 與 security teams 的全球交流場域，而不是傳統純學術論文會。
• FIRST 不要求 formal paper，而是透過 Call for Speakers 審查提案的問題價值、實務幫助與講者適任性。
• 2025 與 2026 的官方 Suggested Topics 顯示，FIRST 關心的範圍同時包括攻擊防禦、威脅分析、產品安全、供應鏈、團隊成熟度、治理、協作、soft skills 與 security operations。
• 2026 雖納入 AI / ML / LLM 相關主題，但明確要求必須和 Incident Response 或實務安全營運有直接連結。
• 從 2025 Program 來看，FIRST 實際偏好的內容是具有真實世界背景、可操作價值與社群可帶回使用的分享。

Takeaway

若要真正理解 FIRST，最重要的不是把它放進一份資安會議排名表裡，而是看清它所代表的那種知識觀：資安不是只有技術本身，還包括事件如何被理解、團隊如何協作、社群如何互信、方法如何落地。

FIRST 的投稿偏好之所以獨特，正因為它始終把這些問題放在舞台中央。它不是在問「這是不是最新的安全技術」，而是在問：這能不能幫全球的 incident response 與 security teams 做得更好？ 這也是為什麼 FIRST 即使不以 formal paper 為核心，仍然在國際資安社群中保有非常鮮明且不可取代的位置。

來源

• FIRST Annual Conferences 總覽：https://www.first.org/conference/
• 37th Annual FIRST Conference – 2025 Call for Speakers：https://www.first.org/conference/2025/cfs
• 38th Annual FIRST Conference – 2026 Call for Speakers：https://www.first.org/conference/2026/cfs
• 37th Annual FIRST Conference – 2025 Program Agenda：https://www.first.org/conference/2025/program

免責聲明

本文由 AI 整理與撰寫，內容主要依據 FIRST 官方網站公開資料、Call for Speakers 說明、Program Agenda 與可取得之活動資訊進行彙整、解讀與分析。儘管已盡力確保內容之完整性與可讀性，仍可能因網站內容更新、議程調整、年度主題變化或模型理解限制而存在疏漏、不精確或更新延遲之處。本文內容僅供研究交流與知識分享參考，實際會議定位、徵稿偏好、議程安排與官方要求，仍應以 FIRST 官方網站與相關年度公告為準。