你的資安工具，正在幫你，還是拖垮你？

WESTCON TW
2025年12月18日
讀畢需時 4 分鐘

多數企業的資安問題，早就不是「工具不夠」，而是工具太多。

SOC 分析師每天在不同系統之間來回切換，拼湊零散的攻擊線索；告警一波接一波，真正重要的事件卻被雜訊淹沒；人力有限、疲勞累積，結果是——反應變慢，風險升高。

這並不是單一企業的困境，而是整個產業正在面對的結構性問題。也正因如此，「平台化（Platformization）」開始從口號，變成企業不得不正視的資安課題。

當工具開始「反過來」影響防禦

Nate Fitzgerald，現任 Broadcom 資安產品管理主管，長期參與企業資安架構與平台策略的設計與演進。他歷經從早期郵件安全、機器學習導入，到近年平台化架構逐漸成形的各個階段，對資安工具如何實際影響 SOC 運作，有著第一線的觀察。

在近期與 Broadcom 傳播負責人 Dan Mellinger 的對談中，一個問題很快浮現：企業究竟是在追逐最新的資安工具，還是在追求真正有效的防禦？而更現實的是——多數組織其實已經分不清兩者的差異。

Nate 指出，長期以來，企業是依照組織分工來採購資安工具：郵件團隊買郵件安全、端點團隊買防毒與 EDR、網路團隊買 Proxy。在那個時代，這樣的做法完全合理。

直到威脅開始跨越郵件、端點、雲端與資料層，而防禦工具卻仍各自為政，問題就出現了。

工具堆疊帶來的，不只是管理麻煩

在 Nate 的觀察中，工具數量失控所帶來的影響，早已超出「不好管理」的範疇，而是直接削弱防禦能力：

營運摩擦增加：調查事件時，分析師必須在多個 console 間切換，專注力被切碎
可視性出現破洞：遙測資料分散在不同系統，攻擊者正好利用這些縫隙橫向移動
複雜度失控：工具成長速度，遠快於團隊能有效理解與操作的速度
投資價值被稀釋：工具愈多，愈難證明資安投資是否真的改善了防禦成效

這也形成一種矛盾現象：在其他科技領域，使用者早已期待流暢、整合的體驗；唯獨資安，仍要求防禦者在多個系統中自行拼湊全貌。

放到台灣企業現場，問題其實更清楚

如果把這個問題拉回台灣，多數企業的資安架構其實高度相似。

典型配置往往包括：

郵件安全：一套雲端服務
端點防護：防毒加 EDR，來自不同廠商
Web / Proxy：因應遠距工作與 SaaS 再補一套
資料防護：DLP 或檔案控管，政策各自獨立
事件彙整：最後再接一套 SIEM

乍看之下功能齊全，但實際運作時卻經常卡關。

事件一發生，SOC 必須先回答三個問題：攻擊從哪裡進來？現在影響到哪些端點？資料是否外洩？

然而，答案分散在不同系統、不同語言、不同時間軸。分析師不是在調查事件，而是在翻譯工具。

這也是為什麼不少台灣企業出現一個弔詭現象：工具年年增加、稽核項目愈來愈多，但事件回應速度與防禦信心，卻沒有等比例提升。

問題不在於「買錯工具」，而在於整體架構從一開始就不是為了協同運作而設計。

別再把「產品打包」叫做平台

「平台」這個詞，在資安產業被頻繁使用，卻往往名不符實。

在 Nate 看來，真正的平台不是把多個產品放進同一個入口網站，而是從底層就共享身分、政策、威脅情報與原生遙測資料。

真正的平台，必須橫跨端點、網路、資料、防護、偵測與回應，並建立在統一的資料層之上，讓關聯分析成為預設，而不是例外。

你可以把它想像成：一個不需要事後拼接 log、也不靠人工補上下文的 SIEM。

平台化不是包裝，而是一種工程選擇。

真正有用的平台，應該改變什麼？

從實務角度來看，平台的價值不在功能清單，而在於是否真的改變工作方式。

一個成熟的平台，應該讓資安團隊：

身分與政策只需設定一次
威脅情報能在系統間自動流動
調查事件時，不必在腦中補上下文
以資料關聯為核心，而非人工拼湊
幾分鐘內掌握攻擊全貌，而不是耗費數小時
減少工具切換，把時間還給分析與決策

關鍵不在於「更多工具」，而在於——更少摩擦。

從工具堆疊，走向平台化的實際起點

平台化不需要一次到位，但方向必須正確。

對多數正在轉型的企業而言，可以從這幾個務實步驟開始：

盤點調查流程中的摩擦點，找出最浪費時間的切換與交接
優先整合核心控制點，而非再添新工具
選擇原生遙測的平台，而非拼裝式整合
先減少 console 數量，再談能力擴充

當複雜度下降，防禦成果才會真正浮現。

資安成效，不該用工具數量衡量

未來的產業領導者，不會是產品線最多的廠商，而是能清楚證明以下成果的人：

偵測更快
阻斷更早
人工操作更少
SOC 壓力明顯下降

資安的價值，從來不在清單裡，而在於——防禦是否真的變得更好。

重新思考，而不是再多買一套

當工具已經齊全，卻仍覺得防禦吃力，也許問題不在單一產品，而在整體架構是否真的能協同運作。

近年來，包括 Symantec 在內的產業觀察指出，企業開始重新檢視的，不再是某個控制點夠不夠強，而是身分、政策與遙測資料，是否能在同一個架構中被理解與關聯。

如果你也正在思考：

哪些工具其實在做重複的事情？
哪些流程最消耗 SOC 時間，卻最沒有產出？
如果少一半 console，我們的防禦會更差，還是更清楚？

也許，現在正是重新檢視資安架構設計原則的時候。

👉 延伸了解產業第一線如何看待「平台化」的實際影響，可收聽 SECURITY.COM The Podcast，深入探討資安如何從工具堆疊，走向真正能支撐營運的防禦模式。

多數企業的資安問題，早就不是「工具不夠」，而是工具太多。

SOC 分析師每天在不同系統之間來回切換，拼湊零散的攻擊線索；告警一波接一波，真正重要的事件卻被雜訊淹沒；人力有限、疲勞累積，結果是——反應變慢，風險升高。

這並不是單一企業的困境，而是整個產業正在面對的結構性問題。也正因如此，「平台化（Platformization）」開始從口號，變成企業不得不正視的資安課題。

當工具開始「反過來」影響防禦

在近期與 Broadcom 傳播負責人 Dan Mellinger 的對談中，一個問題很快浮現：企業究竟是在追逐最新的資安工具，還是在追求真正有效的防禦？而更現實的是——多數組織其實已經分不清兩者的差異。

Nate 指出，長期以來，企業是依照組織分工來採購資安工具：郵件團隊買郵件安全、端點團隊買防毒與 EDR、網路團隊買 Proxy。在那個時代，這樣的做法完全合理。

直到威脅開始跨越郵件、端點、雲端與資料層，而防禦工具卻仍各自為政，問題就出現了。

工具堆疊帶來的，不只是管理麻煩

在 Nate 的觀察中，工具數量失控所帶來的影響，早已超出「不好管理」的範疇，而是直接削弱防禦能力：

營運摩擦增加：調查事件時，分析師必須在多個 console 間切換，專注力被切碎

可視性出現破洞：遙測資料分散在不同系統，攻擊者正好利用這些縫隙橫向移動

複雜度失控：工具成長速度，遠快於團隊能有效理解與操作的速度

投資價值被稀釋：工具愈多，愈難證明資安投資是否真的改善了防禦成效

這也形成一種矛盾現象：在其他科技領域，使用者早已期待流暢、整合的體驗；唯獨資安，仍要求防禦者在多個系統中自行拼湊全貌。

放到台灣企業現場，問題其實更清楚

如果把這個問題拉回台灣，多數企業的資安架構其實高度相似。

典型配置往往包括：

郵件安全：一套雲端服務

端點防護：防毒加 EDR，來自不同廠商

Web / Proxy：因應遠距工作與 SaaS 再補一套

資料防護：DLP 或檔案控管，政策各自獨立

事件彙整：最後再接一套 SIEM

乍看之下功能齊全，但實際運作時卻經常卡關。

事件一發生，SOC 必須先回答三個問題：攻擊從哪裡進來？現在影響到哪些端點？資料是否外洩？

然而，答案分散在不同系統、不同語言、不同時間軸。分析師不是在調查事件，而是在翻譯工具。

這也是為什麼不少台灣企業出現一個弔詭現象：工具年年增加、稽核項目愈來愈多，但事件回應速度與防禦信心，卻沒有等比例提升。

問題不在於「買錯工具」，而在於整體架構從一開始就不是為了協同運作而設計。

別再把「產品打包」叫做平台

「平台」這個詞，在資安產業被頻繁使用，卻往往名不符實。

在 Nate 看來，真正的平台不是把多個產品放進同一個入口網站，而是從底層就共享身分、政策、威脅情報與原生遙測資料。

真正的平台，必須橫跨端點、網路、資料、防護、偵測與回應，並建立在統一的資料層之上，讓關聯分析成為預設，而不是例外。

你可以把它想像成：一個不需要事後拼接 log、也不靠人工補上下文的 SIEM。

平台化不是包裝，而是一種工程選擇。

真正有用的平台，應該改變什麼？

從實務角度來看，平台的價值不在功能清單，而在於是否真的改變工作方式。

一個成熟的平台，應該讓資安團隊：

身分與政策只需設定一次

威脅情報能在系統間自動流動

調查事件時，不必在腦中補上下文

以資料關聯為核心，而非人工拼湊

幾分鐘內掌握攻擊全貌，而不是耗費數小時

減少工具切換，把時間還給分析與決策

關鍵不在於「更多工具」，而在於——更少摩擦。

從工具堆疊，走向平台化的實際起點

平台化不需要一次到位，但方向必須正確。

對多數正在轉型的企業而言，可以從這幾個務實步驟開始：

盤點調查流程中的摩擦點，找出最浪費時間的切換與交接

優先整合核心控制點，而非再添新工具

選擇原生遙測的平台，而非拼裝式整合

先減少 console 數量，再談能力擴充

當複雜度下降，防禦成果才會真正浮現。

資安成效，不該用工具數量衡量

未來的產業領導者，不會是產品線最多的廠商，而是能清楚證明以下成果的人：

偵測更快

阻斷更早

人工操作更少

SOC 壓力明顯下降

資安的價值，從來不在清單裡，而在於——防禦是否真的變得更好。

重新思考，而不是再多買一套

當工具已經齊全，卻仍覺得防禦吃力，也許問題不在單一產品，而在整體架構是否真的能協同運作。

近年來，包括 Symantec 在內的產業觀察指出，企業開始重新檢視的，不再是某個控制點夠不夠強，而是身分、政策與遙測資料，是否能在同一個架構中被理解與關聯。

如果你也正在思考：

哪些工具其實在做重複的事情？

哪些流程最消耗 SOC 時間，卻最沒有產出？

如果少一半 console，我們的防禦會更差，還是更清楚？

也許，現在正是重新檢視資安架構設計原則的時候。

👉 延伸了解產業第一線如何看待「平台化」的實際影響，可收聽 SECURITY.COM The Podcast，深入探討資安如何從工具堆疊，走向真正能支撐營運的防禦模式。