在數位化浪潮下，企業的資產範圍日益複雜，然而，許多隱藏在角落的「被忽視的資產」正悄然成為網路安全的最大漏洞。這些資產往往不在主流監控範圍內，卻仍連接到企業網路或持有敏感資料，形成「隱形攻擊面」。美國網路安全與基礎設施安全局（CISA）發布的《CISA’s Cybersecurity Strategic Plan 2023–2025》也明確強調，企業應加強對「影子 IT」與「被遺忘資產」的管理，突顯其風險的急迫性。

在這段 Help Net Security 影片中， Orca Security的技術佈道師 Tim Chase探討了最容易被忽視的網路安全風險之一：被忽視的資產。從被遺忘的雲端資源、過時的 OT 系統，到過期的網域名稱和廢棄的存儲，這些隱藏的漏洞悄無聲息地擴大了攻擊面。Tim Chase 指出，許多企業在資安策略中忽略了「被遺忘的資產」，這些資產成為攻擊者最容易滲透的入口。這些資產包括：
(1)    被遺忘的雲端資源（如未使用的 VM、未關閉的 S3 bucket）
(2)    過時的 OT 系統（操作技術設備）
(3)    過期的網域名稱
(4)    廢棄的儲存空間或備份資料

這些資產的風險在於，它們通常不在企業的常規資安掃描與管理流程中，因此其漏洞與配置錯誤可能長時間未被發現，給予攻擊者充足的利用空間。無論是舊有的備份伺服器、測試環境中遺留的虛擬機，或是已過期但未刪除的網域名稱，都可能成為通往核心系統的後門。

如何辨識與管理這些資產？Tim 提出三大策略，協助企業提升能見度與治理能力：

(1)    全面性資產盤點與可視性提升 使用雲端原生工具或第三方平台（如 Orca Security）進行資產掃描。 建立資產分類與標籤制度，區分活躍與非活躍資源。 整合 OT 與 IT 資產管理，避免孤島式管理。

(2)    資產生命週期管理 為每項資產建立「出生到死亡」的管理流程。 定期審查資產使用狀況，淘汰不必要的資源。 設定自動化機制，清除過期或閒置資源。

(3)    治理與責任歸屬 明確資產擁有者與管理責任人。 建立跨部門協作機制，確保資安與營運目標一致。 將資產風險納入企業風險管理架構。

總結而言，忽視資產管理所帶來的潛在風險遠超乎想像。企業必須正視並將其納入資安策略的核心環節，透過全面的可視性、嚴謹的生命週期管理與明確的治理框架，才能有效堵住這些隱藏的漏洞，從而保護企業免受日益猖獗的網路威脅。

資料來源：https://www.helpnetsecurity.com/2025/09/15/neglected-assets-cybersecurity-risk-video/