資安

進了內網，就等於進了公司每條走道，甚至房間的門都可以去嘗試開啟。攻擊者一旦取得帳號，進來之後就能掃描內部系統、嘗試連線其他伺服器，一步步擴大控制範圍。這個過程在資安領域稱為橫向移動（Lateral Movement），而 VPN 的設計竟然讓橫向移動變得更容易。

透過多因子驗證（MFA）與設備識別，讓組織能夠回答「是誰在登入？從哪台設備登入？」。但我在多年輔導企業的經驗中，始終強調一件事：識別設備，與信任設備，是兩件截然不同的事。你能認出這台筆電是公司資產，不代表它此刻是安全的——它可能已三個月未更新修補程式，或上週被釣魚郵件植入後門。攻擊者只需控制一台「已被識別但未被監控」的設備，便可長驅直入。

零信任在資安界已經討論了很多年，台灣金管會在這兩年前也發布了「金融業導入零信任架構參考指引」，接下來便開始逐步要求相關金融單位務必導入零信任。可是，究竟對於一般企業而言，到底要做到何種程度才算「零信任」？

資安中所稱的弱點，大多數會讓人聯想到系統或軟體的漏洞，包括公開情資來源像是美國NIST NVD或台灣的TWCERT/CC的漏洞警訊，以及廠商自行公開說明的網頁。當組織知悉漏洞情資，就應該考慮進行漏洞修補，否則漏洞可能很會被駭客所利用作為非法用途…