一、傳統與雲端並存的「混亂現實」：複雜性挑戰的源頭

隨著數位轉型的浪潮席捲全球，企業正在經歷一場從傳統內部部署（on-premise）系統，過渡到軟體即服務（SaaS）應用程式的巨大變革。這場變革並非一蹴可幾，大多數企業都面臨著一個「混亂的現實」：傳統系統與 SaaS 應用程式同時並存，形成一個複雜且充滿挑戰的混合式IT環境。在過去，IT部門主導著技術創新的步調，能夠嚴格控管每一項軟硬體的部署。然而，現今的商業需求變化迅速，部門主管或「超級使用者」為了滿足業務流程的效率，常常會直接引進各式各樣的 SaaS 應用程式，使得IT部門疲於奔命，既要維護老舊的核心系統，又要跟上雲端應用程式的爆炸性增長。
Bridge IT 技術顧問 Robert Buljevic 在訪談中精確地指出，這種複雜性正是資安的頭號敵人。當資源有限，但IT環境卻變得越來越複雜時，人為疏失或簡單的監督不周就可能導致嚴重的資安事件。這種情況下，企業往往感到進退兩難，一方面要應付不斷攀升的成本壓力，另一方面又要處理數不清的優先事項，最終導致資安防禦出現漏洞，形成巨大的資安風險。

二、沉沒成本謬誤：阻礙轉型的內在障礙

在邁向雲端轉型的道路上，許多企業會陷入一個自我設限的陷阱，即「沉沒成本謬誤」（sunk cost fallacy）。這是一種非理性的決策行為，指企業因為已經在某個舊系統上投入了大量的金錢、時間或資源，即使有更好的解決方案出現，仍不願意放棄或轉變。一個常見的例子是，許多IT主管會說：「我們花費了數百萬美元建造資料中心，現在不可能說搬就搬到雲端去。」然而，長期來看，持續維護這些老舊、低效的系統所花費的成本，可能遠高於全面轉向雲端的費用。
這種謬誤的表現形式包括：

• 對客製化內部工具的執著：許多企業花費巨資開發了內部專用的工具，即便市場上已有更高效、更安全的 SaaS 替代方案，仍固守舊有模式。
• 持續續約過時軟體授權：企業可能為了節省轉換成本，持續續約那些實際利用率低、但授權費用高昂的企業軟體，而非果斷轉向更具成本效益的雲端方案。 這種對舊有技術的過度情感或財務投資，形成了一種強大的內部阻力，阻礙了企業進行必要的技術現代化，從而讓資安風險持續累積。

三、攻擊者的專精領域：傳統基礎設施的弱點

Buljevic 強調，當前的威脅行為者，特別是勒索軟體集團，已經將他們的攻擊重心鎖定在傳統的內部部署基礎設施上。他們主要鎖定兩個領域：

1. 社交工程（Social Engineering）：攻擊者針對缺乏多因素身分驗證（MFA）保護的員工，利用釣魚郵件或其他手段來竊取憑證。
2. 內部部署基礎設施的漏洞：攻擊者專門尋找暴露在網際網路上的系統漏洞，例如防火牆、VPN 閘道、遠端存取工具或自託管的公眾應用程式（如 Sharepoint on-prem 漏洞）。他們利用這些「蠕蟲式漏洞」（wormable vulnerabilities），在無需使用者互動的情況下，即可執行攻擊。

在Buljevic的觀察中，中歐和東歐地區的企業核心基礎設施通常建立在三個關鍵的內部部署技術上：

• Microsoft Active Directory (AD)：用於身分驗證和管理網路資產，但其架構容易產生橫向移動的機會，且通常缺乏全面的 MFA 保護。
• VPN 和防火牆：用於遠端存取，但這些設備通常難以升級，且經常成為攻擊者利用零日漏洞（zero-day vulnerabilities）的目標。
• 自管理的 IaaS 平台（如 VMware）：企業自建的基礎設施即服務平台，增加了管理的複雜性，也為攻擊者提供了更多滲透的機會。 勒索軟體攻擊者正是擅長利用這些系統的弱點，進行自動化探索、滲透和權限提升。事實上，幾乎所有成功的勒索軟體攻擊案例，都或多或少涉及了這些內部部署技術。

四、零信任架構（ZTNA）：轉型過程中的核心戰略

零信任網路存取（ZTNA）被公認為一種最佳的資安實踐，其核心理念是「永不信任，始終驗證」。然而，Buljevic 指出，在傳統的企業環境中實施 ZTNA 原則異常困難。Active Directory 的架構設計允許攻擊者在取得初始立足點後，在內部網路中進行無阻礙的橫向移動，這與零信任原則相悖。同時，傳統的 VPN 和遠端存取方案，也很難在允許使用者存取應用程式前，進行全面的裝置姿態（device posture）和使用者身分驗證，而這些正是 ZTNA 的關鍵要素。
相比之下，向 SaaS 模式的轉變則能有效簡化 ZTNA 的實施。當應用程式的存取入口點轉移到網路應用程式的 URL 時，網路邊界的概念便逐漸消散。這迫使攻擊者將攻擊重心轉向身分驗證層，例如透過釣魚攻擊來竊取憑證。這種轉變使得身分保護、MFA 和防釣魚驗證機制變得至關重要，而這些功能在 SaaS 平台中通常是預設啟用或更容易實施的。英國圖書館（British Library）的勒索軟體攻擊事件報告指出，他們之所以遭受攻擊，部分原因是其傳統內部部署系統難以實施 MFA，而其雲端系統（如 Microsoft 365）因為啟用了 MFA，在攻擊中依然正常運作。這進一步證明了向 SaaS 轉型能大幅降低安全風險。
 

五、人為因素與資安預算：攻擊重心與防禦投資的錯位

在轉向 SaaS 和雲端服務後，攻擊者焦點被迫從技術漏洞轉向人為因素。意味著員工的資安意識、辨識新型釣魚攻擊的能力，成為企業資安防禦中最關鍵的一環。Verizon 的資料外洩調查報告（Data Breach Investigation Report）長期以來都指出，絕大多數的資安事件都源於人為因素，如憑證被竊取或釣魚攻擊。因此，企業資安預算分配也必須做出相應調整。儘管投資於網路和端點偵測與回應（EDR）固然重要，但如果忽略了人為因素和身分安全，這些投資將無法解決攻擊者成功的根本原因：依賴弱密碼或易受釣魚攻擊的舊式身分驗證系統。資安預算應更強調持續性的資安意識培訓與身分安全保護，這才是從根本上提升防禦能力的關鍵。

六、雲端採用落差：風險的擴大與加劇

歐洲各國在雲端服務的採用上存在顯著落差，發達國家更積極地擁抱雲端，而東歐和南歐國家則相對落後。Buljevic 認為，這種落差可能源於文化差異，即社會中普遍存在的對變革與創新的不信任感，特別是對第三方供應商的依賴。然而，正是這種對雲端轉型的抗拒，導致企業繼續使用傳統的內部部署基礎設施，而這恰恰是攻擊者最擅長利用的領域。
SaaS 供應商的優勢在於，任何資安問題都會同時影響所有客戶，對其聲譽和收入造成立即性衝擊，這使得他們有更強的動機去確保其服務的安全性。相較之下，傳統軟體由客戶自行部署，絕大部分的資安責任（包括修補漏洞、監控入侵等）都落在客戶身上。更重要的是，在零日漏洞被發現並廣泛利用時，SaaS 供應商的即時回饋迴路能讓他們更快地偵測並發布修補程式；而客戶自管理的系統，從漏洞被利用到廠商發布補丁，再到客戶安裝補丁，整個過程可能需要數月之久。

七、資源有限企業的智慧防禦策略

對於中型或資源受限的企業而言，如何在維護高風險傳統系統的同時，逐步進行現代化轉型？Buljevic 提出以下幾點實用的策略：

• 優先轉移辦公軟體： 首先將電子郵件、辦公生產力與協作軟體遷移到 SaaS 模式。這是最容易實現的轉變，市場上有豐富的工具與合作夥伴能協助完成。
• 減少 VPN 依賴：透過 SASE（安全存取服務邊緣）或託管遠端存取服務，逐步減少對傳統自管理 VPN 的使用。這不僅能減少攻擊者入侵的入口點，還能更自動地推動 MFA 的廣泛採用。
• 重新思考身分識別基礎設施：企業應考慮將其以 Active Directory 為基礎的身分識別系統，逐步解耦並轉移到雲端身分識別提供商。這將更容易在所有應用程式中全面實施 MFA。
• 優先採用 SaaS 處理新業務需求：任何新的業務需求，都應優先考慮使用 SaaS 應用程式來滿足。在評估時，首要的標準應是該應用程式是否支援 MFA，最好是能夠抵抗釣魚攻擊的類型。
• 持續簡化與維護：透過上述，企業將能更有效地管理和維護 IT 環境，並將有限的資源更集中地投入到其剩餘的傳統系統的安全性維護上。

八、結論：重新定義資安的未來

在數位轉型的時代，傳統與雲端並存的複雜性，正是企業資安面臨的最大挑戰。攻擊者深諳此道，並專門利用這種不對稱性來發動攻擊。然而，這種局面並非無法改變。透過有策略地簡化IT環境、優先採用SaaS、實施零信任架構、並將資安投資重心轉向身分保護與人為因素，企業能夠有效地扭轉劣勢。

資料來源：https://www.helpnetsecurity.com/2025/08/11/robert-buljevic-bridge-it-legacy-saas-security/