很抱歉我無法回答樓主的問題....
因為這個問題無論怎麼解, 都無法保證解掉公司面臨的最大問題...

小弟曾幫電商客戶處理過四~五件資料外洩事件, 也曾幫客戶在商業司的行政檢查過程中, 與主辦會議的資策會資安所, 和刑事局鑑識課, 共同協助鑑識入侵證據, 並提供客戶事件分析和解決方案....

台灣近五年最常見的電商機敏資料外洩, 通常是:

1. 被植入 Webshell, 遙控 dump DB 後, 整包傳到外面去
2. 後台作業電腦被植入木馬, 側錄操作畫面後傳出去
3. 後台作業電腦被植入木馬, 側錄到下載檔案後傳出去
4. 合作廠商安全性不足, 資料傳過去之後外洩 (通常是物流)
5. 網頁前端 SQL injection 直接 dump DB 出來
6. 後台管理者帳密被釣魚信盜走, 合法登入主機或後台取資料
7. 內部員工勾結, 盜資料賣錢

會集中在上面幾種, 是因為這些手法的效率最高, 一次攻擊幾乎可以取得 DB 裡面的所有資料, 不需要反覆長時間的來回刺探, 所以暴露時間短, 入侵被逮到的風險極小.....

在我們看過的案例中, 都上了 HTTPS 還被竊聽到資訊的, 幾乎沒有...

試想, 就算被 MITM 好了, 他能聽多久? 被洩的範圍有多大?
他要從哪裡聽, 才能聽到全部的資料範圍?
他要把竊聽程式塞到哪一個端點才能聽到?
他塞成功的機率有多高? 塞的過程不被發現的機率有多低?
過去有沒有案例證明被 MITM 工具塞成功過?
如果他有能力把程式塞進那個地方, 為何不用提權指令, 做更快速有效的短時間大量資料抽取, 卻要冒著被掃毒發現的風險, 長時間蹲點慢慢竊聽?

你們現在最大的風險, 不是資料外洩, 而是不知道資料從哪裡外洩?
認清楚風險之後, 才能對症下藥:

資料外洩+知道外洩點, 對策: 補強外洩點
資料外洩+不知道外洩點, 對策: 先找出外洩點/補強稽核工具

沒有找到外洩點, 盲目的猜測去補, 充其量只是補到一些小洞, 你仍沒有把握, 可以保證下一次不再發生....這次運氣好, 剛好讓你補到了; 如果運氣不好呢? 下次再來你還想得出該補哪裡嗎?

如果外洩點是在後台作業的電腦, 你拼命補網站程式有甚麼用?
如果外洩點是因為員工監守自盜, 你拼命補網站程式有甚麼用?

資安有三大樣態需要被檢討: 1.人員, 2.流程, 3.科技
你們只拼命檢討科技, 結果卻沒發現洞都出在前面兩個?
電商平台有四個外洩場域, 結果你們都只檢討一個場域?

找外洩點: 寫程式的人自己來找, 一定有盲點 (除非公司內部自己養了紅隊-Red Team), 你只有兩種方法可以避開盲點:

1. 找技術比你們還強大的人來做架構 Review 和 Code Review
2. 找技術比你們還強大的人來做滲透測試 (PT)

以上兩者費用都不少, 台灣業者至少 NT$30~100萬左右. 滲透請不要只找便宜的, 那種只用自動化工具掃一掃就出報告給你的不能叫滲透, 只能叫弱掃; 滲透至少要有 CEH 執照認證的人來操作, 而且最好是打過 CTF 或 Pwn2Own 比賽, 或拿過國際知名公司漏洞賞金 (例如: FAANG 的 Bug Bounty Program) 的人....

(最低限度, 也要能在 HITCON ZeroDay 網站上留名的...)

滲透也有等級的差別, 你們必須要求他做到:

• 取得 PII 資料, 或
• 取得橫向移動權限

才會有真正的查漏效果...

我有客戶信誓旦旦, 在事前的會議上, 講述她如何如何加密資料, 如何鎖 API, 如何防範 Injection..等等, 狂言沒有人可以穿透他的系統 (顯然他自己先拿工具掃過才敢這樣嗆)....

結果我們送滲透, 不到兩星期查出 7 個漏洞, 其中 1 個可以用來把價格改成 $0 元後結帳, 另外一個可以讓我們繞過身分驗證, 不用密碼就登入後台....(發布報告的會議上, 所有部門的 RD 主管都是嘴巴張得快掉下來, 不相信自己的系統如此脆弱...)

此事證明: 沒有人可以自己評斷自己, 就算你是真的拿冠軍, 那個冠軍盃也該由第三方公證的評斷之後再頒給你, 而不是由你宣稱自己是冠軍...

部署稽核工具: 基本的稽核工具都要預先佈齊, 事後再佈已經抓不到嫌犯了, 現在有能力入侵的都很聰明, 懂得抹除數位足跡, 讓你不知道它的存在, 所以跡證留在本機內一下就消失了; 但是跡證對漏洞的追查很重要, 不只是了解對方從哪裡突破進來, 還能用來了解他所使用的手法, 進而反制.....而且不是只有機房, 辦公室內網也需要:

• 集中式 Log Server
• Host based IDS
• Network based IDS
• 網路行為分析工具
• 網路活動側錄工具
• OS 弱點監測告警
• Root Kit 監測
• 異常行為告警工具
• 檔案異動告警工具
• 情資收集評估工具

這部分有很多開源免費工具, 但是你們要有足夠的專業知識去設定, 和足夠的人力去操作他 (問問公司裡面, 誰可以每天負責看 100GB 的 Log?); 我見過有人架好知名的 IDS 系統, 卻沒有匯入 Rule 和 Pattern, 每天在空轉自己不知道, 還抱怨說甚麼都攔不到...

例如: 在我維運的系統內, 只要有人用最高權限登入, 系統馬上會發一封 Email 通知我 (也可把 Email 轉成即時訊息), 且所有人登入之後, 所下的指令, 都會被傳送到 Log Server 集中封存等待稽核, 每一個指令輸出的畫面, 會有影片錄影存檔. 如果他登入後下了敏感指令, 系統會立刻封鎖他的 IP...這些功能, 通常都不是系統內建的, 需要有專業的人, 根據公司的稽核需求, 自行開發出: 符合公司情境, 又不會干擾正常作業的監視和告警機制....

如果要: 不花大錢+不知道外洩點+蒙著眼做的前提下來防守, 確實也有一些快速解, 可以防止八到九成的外洩事件, 但牽動的是: 人員+流程, 檢視過這兩者沒有問題之後, 再去部署科技的方法來預防.....

舉些防禦縱深的例子來讓大家思考看看:

• 你們家的用戶前台, 和管理後台, 都在同一台主機上嗎?
• 你們家的網站和DB, 都在同一台主機上嗎?
• 你們家每一項機敏資料, 只用一個欄位就能儲存嗎?
• 你們的 DB Query 指令, 都有即時過濾攔阻, 或事後稽核嗎?
• 你們有紀錄每一位登入主機者, 他下的每條指令, 和結果嗎?

表單發送安全性的部份，大約有以下幾種方式

1.基本首推csrf的機制：

可以在表單先生成好對應的安全碼。現在一些框架本身都已經有支援。
這無法防止看到資料。但可以阻擋資料被隨意發送進去。
借此達到不被修改資料的情況。
csrf的生成方式非常多種，其一是隨機碼生成。這種的比較沒意義。
另一種是對應資料生成。其是在生成表單頁的情況下，依據表單的固定參數來生成csrf。
這一種會比較安全點。不過重要的東西還是防不了就是了。
一般來說還會搭配一下域名認証請求。

2.加密方式處理(雙發送機制)：

一般這種大多會分成二次發送。
先將資料發送一個驗証的控制。再將其加密出來後。用其加密碼做正式的請發送。
這在設計起來會比較麻煩。且也容易超主機效能。
也非常看開發人員的安全技術。如果在第一層的規劃沒規劃好。
那將其加密起來的東西也不會有很大的安全意義存在。
但好處是可以將資料先做驗証處理。可以連同配第一種的方式來一起處理。
這樣可以做到資料庫的安全。畢竟你會先做好過濾。才會拿其資料放入資料庫內。
會在安全性上大出許多。

其它安全搭配的機制

1.欄位類型宣告定義：

確定好該控制需要哪些欄位key，並定義其類似是字串還是數字。
這樣可以防止沒必要的值被拿來攻擊處理。或是資料修改處理。

2.ip或是域名的白名單限制：

這個並非是必要的，但可以用在非常重要的請求中做該限制。