防禦工具愈買愈多，企業為什麼反而更不安全？

雲端與混合環境下，縱深防禦需要重新思考與設計

防火牆、端點防護、雲端安全服務愈買愈多，資安預算年年增加，但入侵事件與資料外洩卻沒有因此消失。對許多企業而言，問題早已不是「還缺哪一套工具」，而是現有防禦架構是否真的能在攻擊發生時產生作用。

在雲端與混合環境成為常態後，傳統以邊界為核心的防禦思維正逐漸失效。帳號權限、設定錯誤與跨雲存取，讓風險不再集中於單一入口，而是分散在整個組織運作之中。當告警持續出現，卻缺乏即時回應與協作能力，防禦反而成為一種延遲發現問題的假象。

企業或許該重新思考：什麼才是真正有縱深的資安防禦？

縱深防禦的盲點：防禦堆疊，並不等於風險降低

資安架構的基本邏輯從未改變：

預防（Prevention）→ 偵測（Detection）→ 回應（Response）

預防當然重要，但許多企業長期過度依賴預防性控制，例如防火牆與存取控管，期待在邊界就能阻止所有攻擊。一旦攻擊者成功繞過這道防線，內部環境往往缺乏足夠的緩衝與延遲空間，讓風險迅速擴大。

偵測同樣不可或缺，而且越快越好。然而，若企業只是持續堆疊偵測工具，卻沒有相對應的遏止與回應機制，實際風險並不會因此下降。

Symantec Endpoint Security 產品總監 Arjun Narang 曾指出，在各產業中普遍看到一個現象：告警被觸發了，但企業沒有後續可執行的行動。結果是，攻擊者得以橫向移動、調整戰術，最終造成更大規模的資料外洩或營運中斷。這也說明，企業資安失守的關鍵，往往不在於忽略告警，而在於過度依賴偵測，卻缺乏回應能力。

2018 年，萬豪集團（Marriott）曾發生長達四年的未授權資料庫存取事件，約 5 億筆客戶個資外洩。事後回顧，若能更早偵測並即時回應，損害規模將大幅降低。

雲端與混合環境，讓「邊界」不再存在

隨著企業 IT 架構快速轉向雲端與混合環境，傳統內外網邊界的概念已逐漸失效。取而代之的，是帳號過度授權、錯誤設定，以及 SaaS 與 API 帶來的不可視風險。

當身分（Identity）成為新的邊界，企業必須回到幾個根本問題：

多重因素驗證（MFA）、零信任網路存取（ZTNA）、雲端存取安全代理（CASB），已成為雲端存取管理的基本配置，但這些措施僅解決「誰能進來」的問題，並未回答「進來之後發生了什麼」。

真正的縱深防禦，必須從存取管理，延伸到雲端環境中的偵測與回應能力。

偵測不是終點，沒有回應就沒有韌性

雲端環境的偵測挑戰，往往比地端更加複雜。企業同時使用多家雲端服務供應商，不同的日誌格式與來源，讓事件關聯更加困難。更現實的是，雲端日誌並非即時，延遲甚至可能長達一小時，直接影響偵測速度。

因此，集中化的日誌管理成為關鍵。企業需要將雲端與地端的日誌資料，彙整至單一 SIEM（安全資訊與事件管理）平台，建立跨環境的可視性與情境脈絡，協助資安團隊判斷風險，而不是疲於處理零碎告警。

但必須認清一件事：

偵測只能發現問題，無法阻止問題擴大。

要真正建立資安韌性（Resilience），企業必須投入回應性控制措施，包括：

前提只有一個：這些工具必須能彼此協作，而不是各自為政。

偵測性控制 vs 回應性控制

縱深防禦的本質，是風險可控，而不是工具齊全

在實務上，企業常在 Best-of-Breed 與 Best-of-Suite 之間權衡，但真正的關鍵並不在於選擇多少品牌，而在於是否能形成一條可運作、可回應的防禦縱深鏈。

Broadcom 透過整合 Symantec（防護與控制）與 Carbon Black（偵測與回應）的能力，協助企業在預防、偵測與回應之間建立一致且可協作的縱深防禦架構。

縱深防禦的核心目標，並非消滅所有風險，而是將不可預期的資安事件，轉化為可控的營運風險。

重新檢視，你的縱深是否真的存在

如果你的企業已經投資多項資安工具，卻仍對入侵風險感到不安，問題很可能不在工具數量，而在防禦架構是否真正具備縱深與回應能力。

👉 進一步了解 Symantec 如何協助企業在雲端與混合環境中，重新設計縱深防禦架構

👉 與資安顧問對談，檢視現有防禦策略是否存在結構性風險

防禦工具愈買愈多，企業為什麼反而更不安全？

雲端與混合環境下，縱深防禦需要重新思考與設計

防火牆、端點防護、雲端安全服務愈買愈多，資安預算年年增加，但入侵事件與資料外洩卻沒有因此消失。對許多企業而言，問題早已不是「還缺哪一套工具」，而是現有防禦架構是否真的能在攻擊發生時產生作用。

企業或許該重新思考：什麼才是真正有縱深的資安防禦？

縱深防禦的盲點：防禦堆疊，並不等於風險降低

資安架構的基本邏輯從未改變：

預防（Prevention）→ 偵測（Detection）→ 回應（Response）

預防當然重要，但許多企業長期過度依賴預防性控制，例如防火牆與存取控管，期待在邊界就能阻止所有攻擊。一旦攻擊者成功繞過這道防線，內部環境往往缺乏足夠的緩衝與延遲空間，讓風險迅速擴大。

偵測同樣不可或缺，而且越快越好。然而，若企業只是持續堆疊偵測工具，卻沒有相對應的遏止與回應機制，實際風險並不會因此下降。

2018 年，萬豪集團（Marriott）曾發生長達四年的未授權資料庫存取事件，約 5 億筆客戶個資外洩。事後回顧，若能更早偵測並即時回應，損害規模將大幅降低。

雲端與混合環境，讓「邊界」不再存在

隨著企業 IT 架構快速轉向雲端與混合環境，傳統內外網邊界的概念已逐漸失效。取而代之的，是帳號過度授權、錯誤設定，以及 SaaS 與 API 帶來的不可視風險。

當身分（Identity）成為新的邊界，企業必須回到幾個根本問題：

誰可以存取什麼？為什麼？

存取行為是否被完整記錄，且不可被竄改？

是否能掌握 SaaS 與 API 帶來的潛在風險？

哪些安全責任由雲端服務供應商承擔？哪些必須自行負責？

多重因素驗證（MFA）、零信任網路存取（ZTNA）、雲端存取安全代理（CASB），已成為雲端存取管理的基本配置，但這些措施僅解決「誰能進來」的問題，並未回答「進來之後發生了什麼」。

真正的縱深防禦，必須從存取管理，延伸到雲端環境中的偵測與回應能力。

偵測不是終點，沒有回應就沒有韌性

雲端環境的偵測挑戰，往往比地端更加複雜。企業同時使用多家雲端服務供應商，不同的日誌格式與來源，讓事件關聯更加困難。更現實的是，雲端日誌並非即時，延遲甚至可能長達一小時，直接影響偵測速度。

因此，集中化的日誌管理成為關鍵。企業需要將雲端與地端的日誌資料，彙整至單一 SIEM（安全資訊與事件管理）平台，建立跨環境的可視性與情境脈絡，協助資安團隊判斷風險，而不是疲於處理零碎告警。

但必須認清一件事：

偵測只能發現問題，無法阻止問題擴大。

要真正建立資安韌性（Resilience），企業必須投入回應性控制措施，包括：

事件回應劇本，確保在壓力下仍能有效執行

端點偵測與回應（EDR），即時隔離受害端點、防止橫向移動

資安協調、自動化與回應（SOAR），自動化執行關鍵處置流程

前提只有一個：這些工具必須能彼此協作，而不是各自為政。

偵測性控制 vs 回應性控制

縱深防禦的本質，是風險可控，而不是工具齊全

在實務上，企業常在 Best-of-Breed 與 Best-of-Suite 之間權衡，但真正的關鍵並不在於選擇多少品牌，而在於是否能形成一條可運作、可回應的防禦縱深鏈。

Broadcom 透過整合 Symantec（防護與控制）與 Carbon Black（偵測與回應）的能力，協助企業在預防、偵測與回應之間建立一致且可協作的縱深防禦架構。

縱深防禦的核心目標，並非消滅所有風險，而是將不可預期的資安事件，轉化為可控的營運風險。

重新檢視，你的縱深是否真的存在

如果你的企業已經投資多項資安工具，卻仍對入侵風險感到不安，問題很可能不在工具數量，而在防禦架構是否真正具備縱深與回應能力。

👉 進一步了解 Symantec 如何協助企業在雲端與混合環境中，重新設計縱深防禦架構

👉 與資安顧問對談，檢視現有防禦策略是否存在結構性風險

最新文章

留言

雲端與混合環境下，縱深防禦需要重新思考與設計

防火牆、端點防護、雲端安全服務愈買愈多，資安預算年年增加，但入侵事件與資料外洩卻沒有因此消失。對許多企業而言，問題早已不是「還缺哪一套工具」，而是現有防禦架構是否真的能在攻擊發生時產生作用。

企業或許該重新思考：什麼才是真正有縱深的資安防禦？

縱深防禦的盲點：防禦堆疊，並不等於風險降低

資安架構的基本邏輯從未改變：

預防（Prevention）→ 偵測（Detection）→ 回應（Response）

預防當然重要，但許多企業長期過度依賴預防性控制，例如防火牆與存取控管，期待在邊界就能阻止所有攻擊。一旦攻擊者成功繞過這道防線，內部環境往往缺乏足夠的緩衝與延遲空間，讓風險迅速擴大。

偵測同樣不可或缺，而且越快越好。然而，若企業只是持續堆疊偵測工具，卻沒有相對應的遏止與回應機制，實際風險並不會因此下降。

2018 年，萬豪集團（Marriott）曾發生長達四年的未授權資料庫存取事件，約 5 億筆客戶個資外洩。事後回顧，若能更早偵測並即時回應，損害規模將大幅降低。

雲端與混合環境，讓「邊界」不再存在

隨著企業 IT 架構快速轉向雲端與混合環境，傳統內外網邊界的概念已逐漸失效。取而代之的，是帳號過度授權、錯誤設定，以及 SaaS 與 API 帶來的不可視風險。

當身分（Identity）成為新的邊界，企業必須回到幾個根本問題：

誰可以存取什麼？為什麼？

存取行為是否被完整記錄，且不可被竄改？

是否能掌握 SaaS 與 API 帶來的潛在風險？

哪些安全責任由雲端服務供應商承擔？哪些必須自行負責？

多重因素驗證（MFA）、零信任網路存取（ZTNA）、雲端存取安全代理（CASB），已成為雲端存取管理的基本配置，但這些措施僅解決「誰能進來」的問題，並未回答「進來之後發生了什麼」。

真正的縱深防禦，必須從存取管理，延伸到雲端環境中的偵測與回應能力。

偵測不是終點，沒有回應就沒有韌性

雲端環境的偵測挑戰，往往比地端更加複雜。企業同時使用多家雲端服務供應商，不同的日誌格式與來源，讓事件關聯更加困難。更現實的是，雲端日誌並非即時，延遲甚至可能長達一小時，直接影響偵測速度。

因此，集中化的日誌管理成為關鍵。企業需要將雲端與地端的日誌資料，彙整至單一 SIEM（安全資訊與事件管理）平台，建立跨環境的可視性與情境脈絡，協助資安團隊判斷風險，而不是疲於處理零碎告警。

但必須認清一件事：

偵測只能發現問題，無法阻止問題擴大。

要真正建立資安韌性（Resilience），企業必須投入回應性控制措施，包括：

事件回應劇本，確保在壓力下仍能有效執行

端點偵測與回應（EDR），即時隔離受害端點、防止橫向移動

資安協調、自動化與回應（SOAR），自動化執行關鍵處置流程

前提只有一個：這些工具必須能彼此協作，而不是各自為政。

偵測性控制 vs 回應性控制

縱深防禦的本質，是風險可控，而不是工具齊全

在實務上，企業常在 Best-of-Breed 與 Best-of-Suite 之間權衡，但真正的關鍵並不在於選擇多少品牌，而在於是否能形成一條可運作、可回應的防禦縱深鏈。

Broadcom 透過整合 Symantec（防護與控制） 與 Carbon Black（偵測與回應） 的能力，協助企業在預防、偵測與回應之間建立一致且可協作的縱深防禦架構。

縱深防禦的核心目標，並非消滅所有風險，而是將不可預期的資安事件，轉化為可控的營運風險。

重新檢視，你的縱深是否真的存在

如果你的企業已經投資多項資安工具，卻仍對入侵風險感到不安，問題很可能不在工具數量，而在防禦架構是否真正具備縱深與回應能力。

👉 進一步了解 Symantec 如何協助企業在雲端與混合環境中，重新設計縱深防禦架構

👉 與資安顧問對談，檢視現有防禦策略是否存在結構性風險

留言

Broadcom 透過整合 Symantec（防護與控制）與 Carbon Black（偵測與回應）的能力，協助企業在預防、偵測與回應之間建立一致且可協作的縱深防禦架構。