當橫向移動（LateralMovement）早已是資安技術的既定常態，為什麼它仍然反覆出現在那些因資安事件而遭罰的重大資料外洩事件中？

你可能已看過這些新聞標題，例如某零售商因駭客自供應商系統移動至其自家支付卡網路而遭罰，或某金融服務公司因駭客利用防火牆錯誤設定，在內部網路中橫向移動以搜集敏感資料而受罰。即使資安團隊已熟練處理特權存取管理和網路防護等傳統資安領域，橫向移動仍未被根絕。

監管機構的期待

監管機構對於「限制攻擊者活動空間」的要求越來越明確，包括：

• GDPR 第 32
  條：要求採取技術與組織性措施（如網路分段）來降低風險，確保適當的安全水準。

• PCI DSS v4.0 第 1
  條：要求部署防火牆來保護持卡人資料，並限制受信任與不受信任網路間的連線。

• ISO/IEC
  27001：要求資訊與資料處理設施的隔離，以確保資訊的機密性、完整性與可用性。

攻擊面更廣更深

現今企業的攻擊面不僅擴大，還加深了，涵蓋：

• 多雲環境

• 快速出現的容器架構

• 數千個導向資料的 API

• 能夠自主存取與散布敏感資料的 AI 應用程式

這些層層堆疊的技術也帶來了潛在弱點，使得威脅行為者能更自由地在受損網路中移動，進而存取機密資料與智慧財產。若無妥善配置與最小權限原則的實施，這些資產容易遭遇帳號盜用與權限提升攻擊。

因此，企業必須主動找出並修補會導致橫向移動、資料外洩與高額罰鍰的安全缺口。透過威脅獵捕與行為分析等資安實務，可偵測異常使用者行為與潛在攻擊，有效抵禦持續性進階威脅（APT）。

採取分層安全思維

先前我們在合規系列中提到：「以分層安全思維來組合滿足監管需求的防護措施與工具」。如果公司必須進行風險評估，就應思考：「若某一層防線失效，是否有其他層能接手保護？」

本文將探討如何透過分層架構，辨識、遏止與防堵橫向移動攻擊，同時提升驗證與授權能力。

透過完整的 API 安全控制來偵測並控制橫向移動

企業 IT 架構不僅擴展了「面積」，還增建了「樓層」與「通往他人 IT 架構的虛擬通道」。這使得監管機構難以跟上風險變化。

舉例來說，歐盟於 2023年更新《網路與資訊安全指令》（NIS2），以擴展原始內容。但短短兩年內，AI發展快速，導致企業營運與威脅模式劇變，例如：

• LLM（大型語言模型）提示注入

• AI 資料外洩

這些新型威脅可能尚未納入 GDPR、PCI-DSS v4.0 或 NIS2等法規中，但若造成資料外洩，仍會因未合規而被罰。

簡化的攻擊計劃直指 API 弱點

現今網路互動幾乎都透過 API進行：不論是客戶、夥伴還是供應商。駭客不需再用複雜手法滲透，改而直接攻擊
API，例如：

• 操作 API 請求中的物件 ID，攻擊「物件層級授權缺失」（BOLA）漏洞

• 藉此繞過授權機制、提升權限，甚至存取客戶資料

根據 2024 年 API 安全影響研究，最常見的 API 安全事件原因即為授權配置錯誤。

API 安全最佳實踐

為了防止橫向移動並提升授權能力，以下為建議實務：

• 建立使用者與其經常存取資源之間的清楚關係，例如透過機器學習演算法建立行為基準，識別異常存取模式

• 實施執行期保護能力，區分正常與可疑的 API 活動

• 將 API
  安全解決方案整合至現有堆疊中，偵測高風險行為並在存取關鍵資產前封鎖可疑流量

不論是商業組織、政府機關，或 HIPAA
合規的醫療機構，這些最佳實務都有助於提升資安韌性與合規程度。

確保全網路中的通訊、存取與授權安全

隨著法規如《數位營運韌性法案（DORA）》於 2025 年 1 月生效，企業必須加強 ICT安全控制。不僅涵蓋金融機構本身，也包括其 ICT 第三方供應商。

網路能見度與攻擊者可移動性的關係

DORA
要求更好的風險能見度，我們認為應進一步理解「提升網路可見性如何限制攻擊者行動」。

DORA
明訂需採取風險導向的方法來管理網路與基礎設施，包括在攻擊發生時自動隔離受影響資產，並要求網路設計可即時分段，以阻止勒索軟體等威脅擴散。

然而，多數資安團隊缺乏對即時網路通訊的能見度，無法察覺已入侵的攻擊者是否在橫向移動，也無法偵測如惡意軟體擴散等訊號。尤其在涉及地端與雲端的複雜架構中更是困難。

微分段縮小攻擊面、限制損害範圍

企業常已部署基本網路分段控制，我們建議進一步採用「軟體定義的微分段」：

• 微分段能在網路中建立更小、更細緻的區段

• 每個區段可設定自訂的安全政策與最小權限存取控制

• 藉此辨識、隔離並抑制惡意流量

例如，透過微分段工具，資安團隊可設定阻擋應用之間互動的政策，明確隔離資產範圍。

微分段的效益包括：

• 修補可被惡意軟體利用的漏洞，這是 DORA 等法規關注的高風險項目

• 降低報告與審核複雜度，符合需定期記錄安全措施的合規要求

• 採用具 AI
  建議模板的安全工具，依據應用屬性如行程、使用者、網域名等，快速應對勒索軟體等威脅

• 結合零信任架構後，確保無論是什麼帳號或資產，都具備強健的授權與存取控制

歡迎關注Akamai，通過定期更新的文章瞭解更多與Web、安全、雲計算、邊緣計算有關的資訊和見解。