【ＺＴＡ視角下的勒索軟體攻防筆記：第 3 篇】取捨之間：把成熟度評估推遲到未來工作的 4 個理由

學術投稿的賽跑時間

當我看到期刊截稿日那一刻，才意識到這篇論文其實是一場時間競賽，並不是把所有想做的都塞進去就能拿到「最佳作品獎」。李老師建議我在論文前半部把 Zero Trust 模型的技術架構和應用細節說清楚，而成熟度評估這塊就留到下一階段的深入研究。換句話說，我不是在追求所謂的「最佳金獎」或新聞頭條，而是要在有限的時間內，用最紮實的材料打好基礎，才能確保學術品質不會因為想做太多而變得浮光掠影。

若我貿然在第一階段就全面鋪開從文件審查到深度訪談再到量化打分的完整流程，就好比運動員在百米賽跑中背了沉重行囊，不但跑不快，還可能因為體力透支而無法衝過終點線。此時的重點不是誰能拿下最閃亮的獎牌，而是要穩穩地先跑完第一段賽程，掌握好節奏與腳步，才有機會在下一階段再加速、展現更完整的成果，才不會因為時間壓力而草率收尾。

數據的深度與廣度

在撰寫資安成熟度評估時，如果只花一兩週時間完成整個流程，就像是廚師只品嚐湯頭然後宣稱精通整鍋火鍋的美味。真正深入了解組織安全現況，需要先把所有相關文件一一收集審閱，從政策手冊到流程細節都必須深入研究，才能找出潛在的漏洞與不足。接著，再與不同部門的同仁進行面對面訪談，就如同在餐桌邊請每位客人分享對口味與服務的真實感受，才能取得第一手的操作體驗。這兩個階段若草率了事，評估結果往往淺嘗輒止，無法真正為企業指出加強重點。

在完成文件審查與深度訪談後，才進入量化分析階段。這步驟就像把食譜中的每種食材重量、火候時間、溫度數據都記錄下來，轉換成標準化的指標。研究人員必須花費數月時間，透過問卷設計、數據統計與回歸分析，將訪談與文件中的文字資訊轉化為具有可比較性的分數。例如，將「多因素驗證」的覆蓋率量化為百分比，將「網路分段」的實施程度評估為 0 到 5 分的等級，並持續追蹤各項數據隨時間變化的趨勢。如此才能讓組織透過具體的數據圖表看見改進成效，而非僅憑印象或口頭報告做決策。

如果急於在短時間內完成所有步驟，就像是一場求快求新的直播秀，雖然一開始看起來熱鬧，但節目結束後卻留不下有價值的內容。這樣的「速成版」評估結果，無法真實反映企業在資安風險面前的承受能力，也難以為後續的投資與改善提供充足的依據。唯有給足時間，讓評估流程逐步鋪開，才能捕捉到組織運作的真實脈動，並依據數據做出長遠且具體的安全策略規劃，讓每一次改進都能見到實際成效。

NDA 的鎖鏈與場域協商

在資訊安全領域，進行深度訪談就像要進入國防密室，首要工序是簽訂保密協議（NDA）。NDA 的全名叫「Non-Disclosure Agreement」，中文可稱為「保密協議」，它的存在目的在於保護受訪組織的敏感資料不被外流。當你準備要跟一家企業的資安團隊深入交談、細問他們的流程與痛點時，對方往往會提出 NDA 要求：這份法律文件必須經過該組織法務部門審閱、修改、雙方簽署，有時還要逐條討論甚至再三迴圈往返。對一般公司而言，不願輕易讓外人知道內部風控細節是常態，因此簽署 NDA 的過程就如同在辦理信用卡核准前，銀行要你提供各種證明文件，否則戶頭無法立即啟用。若將這個流程硬塞到論文撰寫的嚴峻時程中，一旦任何一方卡關，就有可能造成整個評估計畫停擺，就像車子出門前如果忘了繳停車費，就連發動引擎都不行。

接著要做的便是「文件審查」階段，這部分在 ZTAID 四大構面裡被稱為「盤點訪查」的前半段。李老師在今年（2025）發表的〈零信任成熟度評估模型 ZTAID 介紹〉中建議，先蒐集所有與資安相關的內部文件，從資安政策、網路拓撲圖，到事件通報流程、備份與復原計畫，都需要完整梳理。這就好比要畫出一座城市的地圖，地標與道路缺一不可。每份文件都承載著組織過往的經驗教訓與制度設計，因此必須仔細研讀，比對其中的差異與缺口。若只粗略掃描，往往無法發現如「網路微分段未落實」、「多因素驗證僅在核心系統部署」等細微卻決定成敗的關鍵環節。唯有透過完整的文件審查，才能在 ZTAID 的「身分」與「網路」支柱上，找出分數低於 2.8 的原因，為後續訪談與量化評估打下穩固基礎。

文件審查之後，才是「深度訪談」的黃金時段，對應 ZTAID 四大構面的後半段。深度訪談需要研發一份具體且有洞察力的訪談問卷，問題要涵蓋身份驗證機制、裝置管理策略、網段分隔情況、應用程式安全控管，以及資料分類與加密方式等五大支柱。這份問卷一旦提交給對方法務與資訊單位審閱後，可能又面臨第二輪或第三輪迴圈修改，因為每個詞彙都要確保不洩露內部機密。等到最終版本定案，才能著手一對一與各部門安全或營運負責人對話，就像要訪問一位經驗豐富的老車主，才能真正掌握車子的「駕駛習慣」與「維修史」，再將這些心得轉化成量化指標。

最後一步是量化評估與分階段改善。ZTAID 將「身分、設備、網路、應用╱工作負載、資料」這五大支柱，分別以 0–5 分的量表評分，並要求在每個評估週期（通常需 6–9 個月）中追蹤分數變化。評估結束後，若發現某支柱分數低於 2.8，就必須列為優先補強項目，並規劃短期（3 個月）、中期（6 個月）、長期（12 個月）的改善里程碑。這就像醫生為不同的健康檢查指標設計不同的治療方案，先從最危急的高血壓或高血糖下手，再逐步調整飲食與運動計畫，確保最終能把所有指標推升到健康範圍。只有在完整完成文件審查、深度訪談、量化評估後，組織才能真正從 2.8 提升到 3.0 以上，達到老師口中的「關鍵分水嶺」，讓防禦成效實打實落地，變成一套可持續優化的資安長效機制。

論文主軸的集中火力

在學術寫作的世界裡，一篇論文就像一部電影，要在有限的時長內吸引觀眾目光，就得把故事主線講得既清晰又有張力。當我們把技術細節、工具實作和 Zero Trust 架構放在論文的前半部分時，就好像在電影的前半場安排了緊湊的動作場面和豐富的背景介紹。此時若突然把觀眾拉去看另一位配角的支線劇情，主線的節奏會被打亂，觀眾也容易跟不上劇情的發展。為了避免這種突兀感，我決定把技術原理、實驗設計和攻防流程先說明得透透的，再在後半章節留下一個專屬時段，帶大家一步步體驗成熟度評估的文件審查、深度訪談、量化分析和分階段改進，做到主次分明。

這種安排不只是為了讓論文更容易閱讀，更和我們對於「學習新知」的心理節奏不謀而合。就像參加一場科普講座，講者會先用生動的案例和圖解帶你進入主題，再在後面慢慢拆解數據和方法，讓大家先建立起一個直觀的架構，才不會在面對複雜量化公式時感到迷失。透過這樣的分段設計，讀者能夠在第一時間了解核心技術和概念，為深入的成熟度評估打好基礎，接著才專注於那些需要細細品味的量化細節與改進建議。這樣的節奏，就像一場精心編排的表演，先讓觀眾看到精彩的開場，然後留下最具張力的高潮，最後再細細道來每一個關鍵步驟。

短期與長期的時機抉擇

成熟度評估從文件審查到深度訪談，再到量化與後續改善，其實是一個循序漸進的過程，需要 6 到 9 個月的追蹤檢驗。若急於在前半篇一次性完成，不但難以深入，也無法累積足夠案例支撐結論。相反地，將成熟度評估放到下一階段，能給足時間滾動式收集數據，並觀察分數從 2.8 提升到 3.0 以上後對防禦效果的實際影響，這才是更具說服力的研究成果。

暫不評量的智慧選擇

第一步，我們先像蓋高樓先打地基般，將重心放在動態微隔離、使用者與實體行為分析（UEBA）以及安全協調自動化回應（SOAR）這三大防禦架構上。動態微隔離就好比在網路中設置了許多可自由開關的安全閘門，讓可疑流量一旦被偵測到，就會立即被重定向，以免攻擊擴散；UEBA 則像智慧保安，可以學習誰是固定常客，誰是初次出現的陌生人，任何行為偏差都能引發警報；至於 SOAR，則是動作最即時的「消防隊」，在警報一響就馬上把問題節點隔離並通知相關人員，大幅縮短從偵測到回應的時間。透過這三道防線的協同運作，我們能在真實場域中先行驗證技術效能，再將成熟度評估建立在穩固的防禦基礎之上。

待這些核心技術在企業或組織中順利部署、並獲得充足的實際數據後，才進入第二階段「完整的成熟度評估流程」。屆時，我們會針對身分驗證、設備管理、網路分段、應用保護與資料防護五大支柱，進行文件盤點、深度訪談、量化打分，並依據結果制定分階段的改進方案。這樣的安排不僅讓前半部份著重在最具迫切需求的技術驗證，也讓整篇論文結構更加前後呼應：先有可靠的技術基礎，再以紮實的數據說明整體成熟度。如此一來，最終呈現的研究成果既有實務操作的深度，也兼具學術價值的廣度，真正做到理論與實踐並重。

瞄準未來：下一階段的行動藍圖

在論文總結處，我將新增「後續研究方向」一節，描繪文件審查→深度訪談→量化評估→分階段改善的完整路徑，並設定 12 至 18 個月的觀測期，以評估成熟度提升對 RaaS 防禦成效的長遠影響。如此一來，後續研究不僅能從技術層面回到治理層，也將為政策制定者與企業決策者提供基於數據的投資依據，最終在 AI 時代的網路安全競賽中立於不敗之地。敬請期待下一篇深入解析那些量化指標的精彩細節！

---

在掌握了將理論化為量化的策略之後，下一篇我將邀請你跟我一起走進研究室，分享如何從文字走向動手構建，揭露我親手打造的「Zero Trust–Driven 防禦架構雛形」。屆時你將看到每一行程式碼、每一個網段設定、每一次異常偵測與自動化隔離的全過程，彷彿開啟一場資安實戰秀，讓我們一起從閱讀到實作，迎接 AI 時代最強防禦方案的誕生──敬請期待〈從閱讀到實作：我的 Zero Trust-Driven 防禦架構雛形〉！