【ＺＴＡ視角下的勒索軟體攻防筆記：第 2 篇】拆解 ZTAID：我眼中的零信任新地圖

 初探 ZTAID：五支柱大觀

當我第一次翻開李逸元老師的〈零信任成熟度評估模型 ZTAID 介紹〉時，映入眼簾的是一張既像飛行儀表板又宛如生態系統地圖的對照圖。圖中將零信任拆分為「身分、設備、網路、應用╱工作負載、資料」這五根重要支柱，並將 NIST CSF 的識別（Identify）、保護（Protect）、偵測（Detect）、回應（Respond）與復原（Recover）功能融入其中。想像一下，這就好比把城市的自來水管線、電力網路、交通路線、建築結構與環境監測全部攤在同一張地圖上，既能看到整體取水、送電與通行的藍圖，又能一窺每條管線、每盞路燈的細節。這張圖瞬間讓我體會到，零信任並非只有幾條看不見的防線，而是一整套動態更新、時時刻刻在驗證的運行機制。

當我將自己熟悉的勒索軟體攻擊步驟，也就是從初始入侵到橫向移動、再到檔案加密，逐一對映到這五大支柱之後，心裡掠過一絲驚訝。原來，過去我們依賴的一道城牆式防禦只能擋住最外層的攻擊，可是駭客一旦踏入城池，就能橫衝直撞。零信任則將整張「城池」分割成無數個小區塊，每個區塊都要通過身份驗證、裝置檢查或資料加密的考驗，才能通行下一關。這種層層把關的思維，就像讓每個訪客都必須在每道門前出示通行證、掃描健康碼或輸入一次性密碼，讓惡意程式在進攻之前就被一一攔截。透過這樣的視角，我才真正理解到，零信任是一場永不停歇的動態防禦革命，正在徹底改寫我們保護數位資產的方式。

從口號到行動：四大構面解碼

在零信任的世界裡，有四個聽起來像口號的步驟：認知養成、盤點訪查、成熟度顧問評估、分階段精進。乍看像是公關簡報的標題，但其實更像蓋摩天大樓的施工流程。首先要凝聚共識，讓公司裡的老闆、工程師和業務都用同一套「安全語言」。接著要做全面大掃描，像是請來專家翻閱每本流程文件、和各部門同仁深入對談，徹底盤查整座「資產王國」。有了這些地基資訊，才能開始真正的量化與優化。

接下來是把盤點結果變成可操作的評估表格。ZTAID 模型建議把「身分、設備、網路、應用與資料」當成五大支柱，用 0 至 5 分的量表來評分每一項。這就像測量摩天大樓的每一根支柱承重一樣，分數低的就要立刻補強。當你發現「設備支柱」只有一星半，而「網路支柱」得分接近三分，就代表首先要在裝置監控或驅動程式完整性上下功夫，才能確保大樓不會在下一次地震中傾斜。

最後一步是分階段精進，把每次評估中的弱點列成年度里程碑，分成短期、中期、長期來逐步達標。例如今年完成多因素驗證的全面部署，明年則讓微分段技術穩定運行，後年再導入行為異常偵測。這樣的閉環流程就好比摩天大樓的日常維護：不只是蓋好後就放任自流，而是持續做巡檢、強化結構、更新設備，確保整棟樓不僅安全耐用，更能隨著時代需求持續升級。這一套模式讓零信任不再只是口號，而成為每家公司都能實際落地的安全工程。

為何要量化？成熟度 2.8 的祕密

在資訊安全的世界裡，「成熟度評估」就像是公司健康檢查，不再只是聽起來抽象的概念，而是拿一套標準化的量表，幫你量出每一根防禦支柱到底有多強壯。當李逸元老師提到「平均成熟度 2.8 → 3.0 是關鍵分水嶺」時，並不是一個隨意的數字，而是根據真實金融機構的紅隊演練實驗得出來的結論。想像你的安全防線是一座大門，門牙有些鬆動，你的成熟度可能只有 2.8；當你把這些鬆動的牙齒一一加固，門牙咬合緊密時，成熟度就能穩定在 3.0 以上，外來攻擊就難以輕易撬開。

要了解這個分水嶺的威力，我們可以想像一場攀岩比賽。若攀岩牆上的固定扣環間隔太大（分數低於 2.8），攀爬者很容易在中段失足滑落；但當你把扣環平均間距調整到理想尺寸（分數達到 3.0），你就能在絕大多數位置穩握扶手，即使遇到突發狀況也能保持安全。在當時的金融業紅隊測試中，當機構整體成熟度跨越了這道門檻，紅隊能成功突破的機會就從四成左右下降到僅剩兩成以下。換句話說，原本每十次攻擊有四次能得手，現在只有兩次左右能撬開那扇「安全大門」。

這種量化的思維讓企業不再只憑直覺決定要在什麼地方加強防禦，而是可以根據實際數據，把資源投放在最需要補強的支柱上。如果發現「裝置完整性」這一塊評分只有 2.6，就該優先在驅動程式白名單或端點檢測工具上投入資源；如果「網路分段」得分是 2.9，就可以拿資安預算優先做微分段或軟體定義網路重構。透過將 2.8 與 3.0 對應到不同風險層級，主管和安全團隊能更清楚地知道下一筆投資該往何處投，讓每一分預算都能產生最大效益。

更有意思的是，一旦跨過 3.0 的門檻，機構的安全文化也往往會隨之提升。從內部培訓到事件通報流程，都會因為這種數據導向的實踐，變得更有章法、更容易追蹤，也更能持續優化。這道 2.8 → 3.0 的分水嶺不只是技術層面的改變，更是一種「從被動防禦走向主動治理」的轉變。當企業和組織真正把這個分數當作風險指標使用，才算是真正把零信任的精神落實到日常運營中。

我如何劃重點：筆記背後的心態

在拿到這篇 20 頁的長文時，我沒立刻照抄公式，而是拿出螢光筆，先把「五支柱」與「四構面」在同一張紙上並排，接著我開始把報告中的關鍵用詞與真實攻擊手法對照起來。看到 BYOVD 出現時，我就在「設備」支柱旁邊畫個圈，因為 BYOVD 意味著駭客會帶自己有漏洞的驅動程式進入系統，直接破壞端點的防禦。當報告提到 LOTL，我又在「應用╱工作負載」支柱那欄圈起來，因為駭客最愛利用系統原生工具偷偷在網路裡跑程式，而不留任何檔案證據。這些實戰案例在紙上與五支柱結合，讓整個模型馬上有了鮮活的對照。

當我接著看到「多因素驗證」的內容，自動把它圈在「身分」支柱旁邊。多因素驗證就像出入口的雙重門鎖，不只檢查你帶沒有鑰匙，還要確認你是否擁有特定密碼或手機簡訊驗證碼。這一步驟被標註後，讓我意識到只要有人試圖用偷來的密碼登入，就會被多一道門檻擋下來。這些圈圈不是亂畫的裝飾，而是每次設計網路分段和行為偵測流程時的重點標記。

最後，這種直覺式的筆記方式成了我設計微隔離與 UEBA（使用者與實體行為分析）時的秘密武器。當我要決定在哪些網路區段必須強制多因素驗證，或是哪類命令需要行為異常偵測，我只要回頭看這張彩色海報，就能快速找到之前劃好的標記。這不僅節省了時間，也讓我在面對複雜的攻防對抗時，不會因為資料太多而迷失方向。下一步，我將利用這張筆記圖打造出符合 ZTAID 精神的自動化防禦流程，真正把理論落實在守護網路安全的實務中。

那些躍然紙上的疑問

完成那一連串筆記之後，我的腦海裡卻像開了個小型會議室，跑出了三個一直打轉的疑問。第一個問題像是在廚房裡思考要先處理哪道菜：在 ZTAID 的盤點訪查階段，老師建議「深度訪談和文件審查並重」，那究竟要把多少時間分給部門面對面訪談，又要留多少時間逐頁翻閱流程文件？若訪談就像用心烹調的湯品，文件審查則像慢火燉煮的紅燒肉，那麼這兩道菜到底該如何拿捏火候，才能做出既多元又不失深度的盤點大餐呢？

第二個疑問則更像是企業的資安「小金庫管理」：當你拿到一份量化評估報告，發現「網路分段」得分只有 1.5 分，代表這根支柱極度脆弱，那麼應該立刻撥出多少預算，或分配多少人力，來為這根支柱注入維修能量？就好比你發現愛車的剎車系統只剩下四成磨損度，是先換整套剎車卡鉗，還是先請技師加強檢測和調校？這不僅關係到資源使用的效率，也決定了整個防禦體系能否在下一波攻擊中安然運作。

第三個問題關注的是在偵測與回應流程之後，如何將這些行動成效直接更新到 ZTAID 儀表板？當 SOC（資安營運中心）捕捉到異常並透過 SOAR（安全協調自動化響應）平台對可疑主機進行隔離或封鎖，我們需要一套機制，能夠把每一次隔離的時間、方式和結果，轉換成分數並反映在「偵測與回應」這個維度上。換句話說，當機器偵測到新的攻擊 TTP 或行為模式時，我們要怎麼把這些即時情報換算回「成熟度分數」，讓整套量化模型能夠動態更新？這就像把產品線上的品質檢測數據立即送回生產排程，確保下一批產品能持續優化。

將來我會帶著這些問題去和老師討論，也會在下一階段的實驗中逐步嘗試不同的時間分配、資源撥款以及回饋機制，看看哪一種做法最能讓零信任框架真正「活」起來，並幫助組織在面對複雜的 RaaS 攻擊時更快、更準、更有韌性。敬請期待下一篇，我將分享這些實驗的第一手成果！

面向未來：我與 ZTAID 的下一步

在資安作戰中，偵測到異常只是第一步，就像醫生診斷出病症，接下來還要開藥方並追蹤效果。當 SOC 成功透過 SOAR 平台將可疑主機隔離，我們並不想停在那裡，而是要把這個隔離行動的「時間長短」、「隔離成功率」和「影響範圍」都記錄下來。這些資料就像是健康檢查後量出的血壓、心跳和體溫，能幫助我們了解防禦機制的實際效能，並作為後續調整的依據。

將這些數據送回 ZTAID 儀表板，就宛如把病人的身體數據上傳到健康管理 App，讓指標自動跳動，告訴我們「偵測與回應」這根防線目前還有多強或多弱。如果隔離動作平均只花了兩分鐘而非十分鐘，分數就會提升；若發現某種新型攻擊模式卻遲遲無法攔截，分數就會下滑。這樣一來，資安團隊就能立刻看到最需要增強的地方，不用再猜測或事後追悔，真正讓零信任變成可量化、可優化的實際利器。

---

在了解了 ZTAID 如何拆解攻擊、如何量化每根防線之後，下篇文章將帶你跟我一起深入思考：為何要把成熟度評估這項關鍵工作暫時留到未來？在 〈取捨之間：把成熟度評估推遲到未來工作的 4 個理由〉 中，我會分享時間、資源與實驗場域上的取捨抉擇，以及背後隱藏的戰略考量。準備好洞悉那些看似矛盾卻必須做出的決定，迎接下一次對抗 RaaS 的全新挑戰吧！敬請期待！