「其實我不確定，我們主管今天會不會來參加這個會議，但有些事情，我要先和你確認。」

小路的表情開始變的嚴肅...是發生什麼事了嗎?

「第一件需要了解的是，我們之前說，觸發規則的來源IP要自動加到防火牆的黑名單，還記得這件事吧?」

『記得啊，你當我是誰啊，這麼有趣...這麼重要的事，我當然記得啊。』

「那你是怎麼會有我們所有防火牆的IP位置，還有要寫入應該也要有Token，這些資料你是怎麼拿到的?」

他沒提醒，我還真忘了這件事，他們竟然要跟防火牆的管理部門提出申請，這都什麼年代了，不是直接加直接用就好了，還要申請什麼...所以當時我......

『我有跟你們防火牆管理員提出申請啊，這我有照程序申請哦，你不要誤會我哦。』

「你...王小四，你不是我們有錢銀行的員工，你是要怎麼申請?」

『我幫你申請的啊，我用你的Email帳號發出需要所有防火牆IP還有需要Token，請你們防火牆管理部門提供啊。』

「這個事我知道，今天早上已經查出來，是我的Email寄出申請的，我是問，你為什麼知道我的Email密碼?」

『你好笑不好笑啊，從我認識你到現在，你的那個超強度的16位密碼都是同一個，你的Google、你的FB、你的IG都是同一個......你們的系統也沒有雙因子驗證，我是合法登入哦。』

「我們的系統，要在我們公司網路環境才能用......你用我的VPN帳號登入到我們公司環境，再用我的Email帳號提出申請?」

『我就說這個世界上誰最了解我，一定是你啊，我的手法你都知道耶。』

這個時候，我注意到小路的神情開始變的低落.....不知道他怎麼了。

「不是啊，如果...如果...如果你用我的信箱寄信，為什麼我每天檢查Email的時候，都沒看到防火牆管理部門的回信?」

『所以我說你不熟你們的Email系統啊，你就設定當寄件者是誰時，自動把Email搬到某個資料夾，這個資料夾我又是設定在某個資料夾中的某個資料夾中的某個資料夾裡，你這麼粗心的人，怎麼可能看的到。

這不就是那個什麼DevOps的最佳實踐案例嗎? 以後你都用的到，要記下來。』

「好吧，跟你說，明天開始，我要去你們公司了。」

『真的? 我們要變同......Anderson跟我說的外包，要來的乙方人員是你?』

「我不知道你老闆說了什麼，但我們公司，讓我去實地訪查」

實地訪查? 來幫忙就來幫忙，幹嘛還講一個生僻詞給我聽，總之，小路要變成我的乙方了! 真的嗎! 這真是太好了......

(待)

2025/09/06 SunAllen

註：CISSP對應

D1 Security and Risk Management

• 黑名單管理未遵循正式 Change Management 流程。
• 缺少政策與程序控管，導致未授權存取。
  D4 Communication and Network Security
• VPN 帳號被濫用登入公司內部環境。
• 缺乏異常登入偵測與邊界安全控管。
  D5 Identity and Access Management (IAM)
• 使用者長期未變更密碼，且跨平台共用同一組密碼。
• 缺乏多因子驗證 (MFA)，導致帳號濫用風險。
  D7 Security Operations
• 公司信箱被冒用申請安全資源。
• 郵件規則被濫用隱藏重要通知，缺乏 SOC 層級的監控。
  D8 Software Development Security
• 「自動搬信」被誤用為 DevOps 最佳實踐。
• DevSecOps 缺乏透明度與安全管控，流程被濫用。