在開始之前，這邊先說一段小故事。

油屋溫泉會館在一次模擬稽核中，檢測人員發出了一封假冒「人資部門」的釣魚郵件，標題寫著：「薪資調整通知，請立即登入查閱」，送件人是人資部。

不到十分鐘，就有員工點了連結並輸入帳密。稽核結果一出，IT 部門立刻被質疑：「怎麼放任這種郵件進來？不是有防毒、郵件過濾嗎？」

更有員工更直接抱怨：「IT 整天好像沒在做事，我們點到就中招，這能怪我們嗎？」

IT 人員也反駁道：「我們系統每天都在更新、過濾上百封垃圾信，技術能做的都做了。但還是有幾位好奇寶寶，一時大意沒有閃，任何防護還是擋不住！」

現場氣氛一度緊繃。員工覺得 IT 部門沒在盡責；而 IT 部門則覺得大家不懂安全風險，明明上過教育訓練還是會中招。

這個小故事反映出一個核心觀點，資安不是單純的技術責任，也不是員工的額外負擔，而是所有人的共同承諾。沒有誰該獨自背鍋，因為「人」和「技術」缺一不可。

因此，透過稽核，組織能意識到「人」與「技術」要同時投資：一方面強化技術防護，另一方面也要培養全員的資安意識。只有這樣，才不會讓爭吵變成永遠的循環。

從爭吵到合作

從上面的故事來看，組織間的爭吵，不是因為某人故意搗亂，而是缺乏理解、合作與共同方向。在工作期間，我常聽人把資安形容成 「衛生或下水道的工作」—平常做得再辛苦，沒人看見也不會有人稱讚；可是一旦出了問題，立刻成為眾矢之的。當 IT 部門與一般員工陷入口水戰，爭論「誰沒做好」時，反而真正的風險卻被忽略，導致本該解決的問題被掩埋在互相指責中。

因此，組織應該把焦點從「責任歸屬」轉移到「如何合作」。具體建議包括：

1. 技術面：持續強化端點防護、郵件過濾與異常流量監控等防護技術，讓系統減少出錯的機會。
2. 人員面：定期舉辦教育訓練，讓員工知道「亂點連結」不是小事，任何疏忽都可能是打開大門的漏洞。
3. 文化面：建立「資安是大家的事」的共識，而不是將問題推給某一方。

最終的反思：

資安不是一場責任推卸的爭吵，而是需要大家一起划船、一起補船的旅程。
只有人與技術並行，友誼小船將不再翻覆，才能繼續往前航行。

稽核的價值

回到主題，近年來，政府持續推動數位韌性與資安治理，將資安視為數位轉型與智慧發展的基石。對組織而言，資安稽核的價值從來不只是「找出問題」，而是協助組織檢視自身風險、提升防禦能量的重要機制。

透過八大項檢測與實地稽核，組織能同時發現系統層的弱點，也能檢視策略與人員意識上的不足。這些成果若能在PDCA持續改善循環，將使組織不只是「通過稽核」，而是真正提升整體韌性。

另一場翻船現場：我們的鐵人團隊

當初我的期待很單純：希望能透過這 30 天的文章，把我們組織實際的資安檢測過程記錄下來，寫出真正的問題與改善方案，讓文章不只是心得，而是有血有肉的案例紀錄。這樣的紀錄，讓讀者看到「檢測 → 發現 → 改善」的完整閉環，也能呼應教育部資安稽核計畫的精神——透過檢測找到風險，再透過改善方案提升韌性。

現在大量使用LLM也有相同的風險，數據外露誰能保證你的密碼沒有在別人公司手裡。這帶入了我後面想提到的AI，新聞稿中教育部稽核單位已經使用AI進行外部文件審查，我們工作時也時常利用GPT，但卻要折衷於數據保存機敏資料不能外流的前提改用本地架設輕量的模型使用還要被別人嫌棄生成的速度太慢。

然而，團隊內卻出現了不同的聲音。有同仁認為這樣會洩漏隱私，甚至可能暴露弱點，讓「寫文章」這件事反而成了資安風險。大家各有立場，爭論一度僵持不下。

最後我們選擇折衷的做法：用「似真似假」的故事來包裝，例如這次文章中的「油屋溫泉會館技術檢測」，就是這樣誕生的。它既能呈現我們真實遇到的挑戰，又能避免過度暴露組織細節。不過，單有故事還不夠，若要真正理解風險，還需要掌握攻擊的常用的手法。Google Hacking 正是一個典型例子，透過它可以看見看似平常的搜尋，也可能被轉化為入侵的工具。

實務補充：Google Hacking（Google Dorking）

Google Hacking（又稱 Google Dorking）是利用搜尋引擎的進階語法，去檢視「已被索引、可公開存取」的網路資源（如公開 PDF、過期備份、開放目錄、誤曝的設定頁等）。這是我本想用來當作起手式的工具，另外範例的學校是我的母校，我當時大一新生都要住霽遠樓門口有泥火山池是很難忘的回憶。

法律與倫理提醒：以下只示範如何查「公開可被搜尋到的資訊」。請勿嘗試繞過認證或未經授權登入。任何主動測試需事前書面授權。

靜態探查工具（自用防禦）— Pentest-Tools：Google Hacking

快速使用步驟（示範）

1. 開啟 Pentest-Tools「Google Hacking」。
2. 在 Target 欄位輸入你的網域（例如 鐵人賽官網 ithelp.ithome.com.tw），勾選想要的預設查詢集合（如文件、登入頁、索引頁等）。
3. 執行後檢視 Google 回傳的結果，將可疑項目記錄進你的「外部公開面風險清單」，再交由內部同仁修補。

Google Hacking 範例

以 ithelp.ithome.com.tw 為示範 — 只查公開資訊

使用方式：把整行複製到 Google。

基本語法

• site:domain（只在該網域）
• filetype:pdf（指定檔案類型：pdf/docx/xls/sql/bak/zip…）
• inurl:pattern（URL 含字串：admin/login/backup…）
• intitle:pattern（頁面標題含字串：如 "index of"）
• intext:"phrase"（頁面內文字）
• -（排除，如 -site:facebook.com）

範例 dorks（修正語法空格、可直接貼Google搜尋列）

1. 公開文件（檢查是否含個資或敏感資訊）：

site:ithelp.ithome.com.tw filetype:pdf

2. 可疑備份/資料庫檔（高風險）：

site:ithelp.ithome.com.tw (filetype:sql OR filetype:bak OR filetype:zip OR filetype:7z)

3. 程式與設定資訊外洩（高風險）：

site:ithelp.ithome.com.tw intext:"phpinfo()" OR intext:".env" OR inurl:"config"

4. 開放目錄（index of）：

site:ithelp.ithome.com.tw intitle:"Index of"

5. 管理介面/登入頁（僅檢視，不嘗試登入）：

site:ithelp.ithome.com.tw (inurl:admin OR inurl:login OR inurl:signin)

6. Excel/CSV（可能有名單或資料）：

site:ithelp.ithome.com.tw (filetype:xls OR filetype:xlsx OR filetype:csv)

7. 錯誤/除錯訊息（可能洩漏堆疊與版本）：

site:ithelp.ithome.com.tw (intext:"Fatal error" OR intext:"Stack trace" OR intext:"Warning: mysqli_connect")

8. 日誌/錯誤檔（不應公開）：

site:ithelp.ithome.com.tw (filetype:log OR intext:"error_log")

讓小船穩健前行

在資安的世界裡，小船能否安全地上岸，不只是技術問題，更是合作、理解與自律的結果。若僅著眼於指責與責任推託，就像船上的人各划各的槳，船很快就會傾斜；反之，若能在稽核中找到共識，並善用 Google Hacking 這類檢測技巧來檢視可能的資訊暴露，組織就能在波濤洶湧的環境中保持穩健。

在下一天，我們也將準備相關的稽核工具，繼續在驚濤駭浪中穩健前行。