駭客攻擊手法快速演化，企業面對的威脅不再只是單點入侵，而是跨系統、跨身分的複合性攻擊。對企業而言，落實「零信任（Zero Trust）」與部署「多因素驗證（MFA）」，已經不再只是加分項，而是最低防護基準。本篇以企業資安服務提供者的角度，盤點十大常見攻擊手法，每一項都搭配可操作的防禦建議，並說明零信任與 MFA 在各情境中的具體角色與落地做法。

 

常見攻擊一：釣魚（Phishing）／網路釣魚信件

攻擊概述：攻擊者偽裝成信任的來源（同事、銀行、廠商）發送郵件或簡訊，引導使用者點擊惡意連結或下載附件，進而竊取認證或植入惡意程式。

(圖片來源)

防禦建議：

• 定期進行員工釣魚演練與資安教育，強化辨識可疑郵件能力。
• 在郵件閘道端部署進階反垃圾與沙箱（sandbox）掃描。
• 強制啟用 DMARC、SPF、DKIM 等郵件驗證機制。
• 零信任 / MFA 的角色：即便使用者帳密被竊，啟用 MFA（尤其是硬體金鑰或行動驗證器）可有效阻止帳戶被即時接管；零信任會對郵件來源與登入情境進行風險評估（例如地理位置、裝置健康狀態），對異常行為自動施加更嚴格的認證或封鎖。

 

常見攻擊二：憑證填充（Credential Stuffing）與密碼重複使用

攻擊概述：攻擊者利用從資料外洩取得的大量帳密，嘗試在其他服務重複登入。

防禦建議：

• 要求員工與使用者使用唯一、長度足夠的密碼並定期檢查（搭配密碼管理工具）。
• 建立異常登入頻率限制與IP封鎖機制。
• 零信任 / MFA 的角色：MFA 是對抗憑證填充最有效的防線之一。零信任會根據設備信任程度與會話風險自動要求步驟式驗證，降低單憑密碼就能入侵的風險。

 

常見攻擊三：網路針對性攻擊（Spear Phishing / BEC）

攻擊概述：針對高階管理或財務人員的定向社交工程（例如假扮董事長要求匯款）。

防禦建議：

• 對高風險角色採高度驗證流程（例如匯款需雙重簽核、電話二次確認）。
• 強化對高階人員的定向訓練與模擬攻擊演練。
• 零信任 / MFA 的角色：對高權限帳號啟用強制型 MFA（如硬體金鑰、FIDO2），若發現不尋常登入或敏感操作，零信任會觸發多因素再驗證或暫停操作，並要求更高強度的身份驗證。

 

常見攻擊四：勒索軟體（Ransomware）

攻擊概述：駭客入侵後在內部橫向移動並加密關鍵資料，要求贖金。
防禦建議：

• 實施分層備份（離線備份 + 快照），定期驗證還原流程。
• 對內網採取網段隔離與最小權限原則（least privilege）。
• 零信任 / MFA 的角色：零信任限制了橫向移動的權限與通訊路徑；若結合裝置健康檢查（例如終端防護狀態為非健康則禁止存取），可減少惡意程式擴散。MFA 可以阻斷利用被盜憑證進行的進一步擴權。

 

常見攻擊五：中間人攻擊（MITM）與會話劫持

攻擊概述：攔截或偽造通訊雙方資料以竊取資料或注入惡意內容。

防禦建議：

• 全站採用 TLS，使用最新安全協議與憑證管理。
• 對內部服務採用 mTLS（雙向 TLS）與 API 網關控管。
• 零信任 / MFA 的角色：零信任推動“網路微分段”與雙向認證；當偵測到非預期的網路跳躍或憑證錯誤時，系統應拒絕連線並要求再驗證。

 

常見攻擊六：弱密碼或未修復漏洞的系統被利用（Exploit）

攻擊概述：利用已知漏洞或預設弱密碼入侵內部系統或 IoT 裝置。

防禦建議：

• 建立自動化漏洞管理流程並進行資產盤點。
• 禁用預設帳號，強制採用密碼政策與 MFA。
• 零信任 / MFA 的角色：零信任要求裝置評分，若裝置未修補漏洞或更新或不符安全基準，會被標記為不信任並限制訪問；對管理介面強制 MFA 以防止惡意登入。

 

常見攻擊七：供應鏈攻擊（Third-party / Software Supply Chain）

攻擊概述：攻擊者透過第三方軟體或服務滲透企業，例如供應商的軟體更新包遭植入惡意程式。

防禦建議：

• 實施第三方風險評估、合約義務的安全標準（SLA）。
• 對第三方存取採用最小權限，並監控 API 與應用程式行為。
• 零信任 / MFA 的角色：零信任把「身份」和「權限」分離，以動態授權管理第三方存取；即使第三方帳號被濫用，MFA 與動態風險評估能限制潛在危害。

 

常見攻擊八：內部威脅（Insider Threat）

攻擊概述：不論是惡意或疏失，內部員工或第三方人員濫用權限導致資料外洩或破壞。

防禦建議：

• 採行最小權限、定期權限審查與異常行為監控（UEBA）。
• 建立明確離職/調職流程以移轉或移除權限。
• 零信任 / MFA 的角色：零信任的核心就是「永不信任、持續驗證」，透過持續授權檢查與會話監控可以及早發現異常；MFA 在敏感操作前強制二次或多次驗證，降低內部濫用可能。

 

常見攻擊九：API 被濫用或暴露（API Abuse / Broken Object Level Authorization）

攻擊概述：公開或不當保護的 API 成為資料外洩或權限提升的入口。

防禦建議：

• 對 API 實施嚴格的認證與授權檢查（OAuth、API Gateway、速率限制）。
• 定期做 API 安全掃描與滲透測試。
• 零信任 / MFA 的角色：零信任可為每個 API 呼叫建立最小信任鏈與動態授權，並與身分驗證（含 MFA）整合，對高風險 call 要求額外驗證或拒絕。

 

常見攻擊十：社交工程（Social Engineering）與電話詐騙

攻擊概述：利用人性弱點誘導員工洩露資訊或改變行為（例如假裝 IT 要求修改設定）。

防禦建議：

• 建立資料分享與驗證流程（例如口頭確認、雙重授權）。
• 定期演練社交工程情境並記錄學習成果。
• 零信任 / MFA 的角色：零信任減少了「只靠口頭指令就能完成重要操作」的情境，對於敏感操作會要求的「多重證明」與行為審計，搭配 MFA 可以避免單一人為失誤導致重大損失。

 

如何把零信任與 MFA 具體落地？

1. 資產與身分盤點：先掌握所有使用者、設備、應用與資料流，建立可查核目錄。
   
2. 風險分級與分段隔離：依重要性分層（例如 HR、財務系統更嚴格），並在網路與身份上實施微分段隔離。
   
3. 強制 MFA（分層策略）：對所有高權限與外部登入強制 MFA，對一般使用者採風險基礎的自適應多因素驗證（Adaptive MFA），也就是會根據使用者行為、位置、裝置、時間等情境資訊，判斷每次登入嘗試的風險等級，進而決定是否需要額外的驗證步驟。
   
4. 裝置健康檢查（Device Posture）：僅允許符合安全標準（更新檔、反惡意程式、磁碟加密）的裝置存取敏感資源。
   
5. 持續監控與行為分析：導入 SIEM / UEBA，將異常行為轉化為自動化回應（如要求再驗證、暫停會話）。
   
6. 教育與流程化：把資安規範寫成可操作流程（例如匯款雙簽、第三方接入 SOP），並透過演練強化執行力。

 

為何選擇來毅數位 Keypasco？— 安全又易用的 MFA 與零信任方案

在企業資安防護中，落實 零信任 與 多重驗證（MFA） 是降低帳號被盜、資料外洩風險的關鍵。來毅數位 Keypasco 提供的解決方案，結合公開可查證的專利技術與國際認證，讓企業能安全又靈活地保護關鍵資產：

1. 純軟體雲端 MFA，快速部署無痛上線
   Keypasco 採純軟體雲端架構，不需額外硬體設備即可導入，讓企業快速啟用多因素驗證，降低導入成本並維持順暢使用者體驗。 
2. 專利雙通道技術，強化帳號安全
   透過裝置特徵值與地理位置驗證，搭配雙通道架構，Keypasco 將私鑰分拆存放在伺服端與行動應用程式，減少憑證被竊取的風險。 
3. 國際專利與多國行銷，技術受肯定
   已取得 16 國專利，並行銷至 16 個國家，Keypasco 的技術在全球市場受到認可。 
4. 符合零信任驗證標準
   Keypasco 已通過資安院零信任「身分鑑別」與「設備鑑別」驗證，符合零信任原則的要求，協助企業落實細緻且持續的身份安全管理。

想讓您的企業帳號與資料防護更安全、更符合零信任原則嗎？立即聯絡 Keypasco 專業顧問，了解最適合您的多因素驗證與零信任方案！