在之前文章中,我們討論了零信任的第一道關卡——透過多因子驗證(MFA)與設備識別,讓組織能夠回答「是誰在登入?從哪台設備登入?」。但我在多年輔導企業的經驗中,始終強調一件事:識別設備,與信任設備,是兩件截然不同的事。
你能認出這台筆電是公司資產,不代表它此刻是安全的——它可能已三個月未更新修補程式,或上週被釣魚郵件植入後門。攻擊者只需控制一台「已被識別但未被監控」的設備,便可長驅直入。
這正是零信任架構最容易被輕忽的第三個核心問題:「這台設備,現在值得被信任嗎?」
裝置信任的五個評估面向
NIST SP 800-207 將此能力稱為裝置信任(Device Trust),ISO/IEC 27001 的 「A.8.1使用者端點裝置」 條款亦有相對應要求。然而許多企業通過驗證後,端點管理仍停留在文件與組態盤點層次,缺乏持續監控設備安全狀態的技術機制。真正的裝置信任,需持續評估以下五個面向:
- 安全防護軟體狀態:EDR 或防毒軟體是否部署且病毒碼維持最新?未部署 EDR 的設備,在零信任架構下應視為不受信任的黑盒子。
- 作業系統修補狀態:是否持續套用 Windows Patch 等安全更新?超過六成入侵事件涉及已有修補但未套用的已知漏洞。
- 高風險漏洞暴露狀況:應用程式或系統元件是否存在 CVE 列管漏洞(或 CVSS 7.0 以上)?漏洞掃描結果應納入設備信任評分依據。
- 異常行為與惡意活動:是否出現非工作時間的異常對外流量、PowerShell 無預警啟動、或短時間多地點登入?一旦觸發行為指標(IoC),設備信任等級應立即降級或隔離。
服務開放與關閉狀態:是否關閉不必要的 RDP(Port 3389)、Telnet、SMBv1?本機防火牆、磁碟加密(BitLocker)等必要防護是否已啟用?
⚙️端點才是真正的破口⚙️
「駭客不是從前門進來的,他們從你最信任的那扇門進來。」
2024 至 2025 年間,多起事件印證了這點:Apple iOS 的 CVE-2025-24085 被用於零時差攻擊;Chrome CVE-2025-2783 在使用者點擊連結瞬間植入後門。這些案例的共通點是——漏洞都是已知的,差別只在於企業有沒有及時管理。
這正是為什麼端點安全管理不能只靠合規文件,必須是持續運作的技術機制。許多企業把 ISO 27001 A.8.1 的要求轉化成一份「設備政策」文件便認為合規。但合規不等於安全——設備的安全狀態隨時在變,存取決策必須是動態的、即時的,而非一次驗證就永久放行。
組織導入設備識別,實務上建議分三階段:
- **第一階段:**建立 MFA 與設備識別(前期已談),作為信任的基礎門檻。
- **第二階段:**優先對系統管理員設備、生產研發設備、可存取核心資料的裝置部署 EDR 監控,並實施漏洞管理機制。
- **第三階段:**將設備健康狀態整合進存取控制決策,實現「不合規設備自動降權或隔離」的動態授權,逐步擴展至全組織。
零信任的精神不是「完全不信任」,而是**「持續驗證,動態授權」**。端點是攻擊者最喜歡的突破口,也應該是防守者最用心經營的陣地。若能從資安治理的層次進行全景與風險識別,將有助於更完善的規劃端點裝置管理。
作者:潘柏廷 Conrad Pan
現職:亞瑟國際驗證專任資安技術專家,資深資安教育者,曾任資安輔導顧問,專長:資安、個資、人工智慧
