今天我們將從一個工程師都可能遇到的資安事件為案例，串起 存取 → 事件 → 治理 → 法規 的脈絡。後續將針對各層級中出現的概念重點展開說明

🎯 案例：開發環境帳號外洩

某工程師不小心把 AWS 的 Access Key & Secret Key 寫進 GitHub 公開 repo，導致外部攻擊者使用這組憑證，建立了大量的 EC2 資源，造成金額損失與潛在的資料外洩。

① 存取（Access Control 與異常行為）

• 案例關聯

  • 存取控制本身出問題：憑證（Access Key）沒有受到妥善管理，缺乏最小權限原則（Least Privilege）。
  • 沒有做到異常偵測：外部使用者短時間內建立大量資源，卻沒有被及時阻擋。

• 概念重點

  • 身分識別與存取管理（IAM、MFA、最小權限）
  • 憑證與密鑰管理（避免硬編碼、集中保管）
  • 行為監控（異常流量、異常 API 呼叫）

② 事件（Incident Management 與應變演練）

• 案例關聯

  • 當外部攻擊者濫用憑證，這就是一起「安全事件」。
  • 團隊必須立即啟動事件應變：吊銷金鑰、關閉異常資源、通報內部。
  • 事後要進行演練與改善，避免下次重演。

• 概念重點

  • 事件通報流程（誰要先知道？通知窗口？）
  • 事件分級（這是高風險，因為涉及金流與外部攻擊者）
  • 事後演練（如何在 30 分鐘內找到並吊銷金鑰？）

③ 治理（Governance 與管理制度）

• 案例關聯

  • 公司若有健全治理，應該會規範「不得將金鑰硬編碼或上傳至公開 repo」。
  • 應該要有週期性憑證檢查、教育訓練，並落實責任分工。

• 概念重點

  • 政策（Policy）：不得將憑證存放於原始碼。
  • 標準（Standard）：所有憑證必須使用集中管理（如 AWS Secrets Manager）。
  • 風險管理（Risk Assessment）：評估金鑰外洩風險的影響與可能性。
  • 角色責任（Roles & Responsibilities）：誰負責金鑰管理、誰負責審計。

④ 法規（Laws & Compliance）

• 案例關聯

  • 如果這個憑證外洩導致客戶資料被存取，可能觸及 GDPR、個資法，必須在一定時限內通報主管機關與客戶。
  • 若組織有通過 ISO 27001 或 NIST CSF 框架，這次事件會被要求留下稽核紀錄。

• 概念重點

  • GDPR / 個資法：資料外洩通報義務（通常 72 小時內）。
  • 合規框架：ISO 27001 (A.16.1.2 事件通報)、NIST CSF (Respond)。
  • 稽核與證據保留：必須留下事件調查與改善紀錄，以備外部稽核。

📌 四層次學習重點（由淺入深）

存取（Access Control 與異常行為）

• 身分驗證（Authentication）、授權（Authorization）
• 最小權限原則（Least Privilege）
• 憑證與密鑰管理（避免硬編碼）
• 異常行為偵測（登入失敗次數、異常 API 使用量）

事件（Incident Management 與應變演練）

• 事件通報與分級流程
• 應變演練（桌上推演、紅隊演練）
• 事後檢討（Root Cause Analysis）
• 持續改進（Lessons Learned）

治理（Governance 與管理制度）

• 政策（Policy）、標準（Standard）、程序（Procedure）
• 風險評估與風險處置（ISO 27005 流程）
• 組織角色與責任分工（RACI Model）
• 教育訓練與資安文化

法規（Laws & Compliance）

• 地方法規（個資法、GDPR）
• 國際標準（ISO 27001/27002、NIST CSF、CIS Controls）
• 合規稽核流程（Audit, Certification）
• 法律責任與罰則

從以上案例切入，我們可以了解到：「一個小小的金鑰外洩，怎麼一路牽連到存取 → 事件 → 治理 → 法規」
形成完整的 由技術到制度到法規 的脈絡。