透視數位版圖下的暗影：外部攻擊面管理 (EASM) 風險普查

‍

前言

在東亞複雜的政經局勢下，台灣不僅是全球半導體與高科技製造的核心，更是全球網路攻防的最前線。隨著 AI 應用與雲端技術的爆發成長，企業的資產已不再侷限於實體機房，而是遍佈在全球的「數位版圖」。

這些未經識別、被遺忘的影子資產（Shadow IT），已成為攻擊者發動初始入侵的最佳跳板，尤其是在地緣政治高度緊張的東亞地區。本研究參考 Gartner 提出的 CTEM（Continuous Threat Exposure Management，持續威脅暴露管理） 框架，透過非侵入式檢測，深度剖析台灣 145 個關鍵組織（包含 87 家上市公司與 58 個政府單位）的曝險現況，協助決策者聚焦外部攻擊面管理 (External Attack Surface Management，EASM) 、透視風險，強化供應鏈韌性。

本篇研究你可以了解：

1. 預視企業潛在風險類別
   根據檢測的風險特性聚焦八大風險類別，預視企業潛在外部攻擊面，提供企業識別自身組織風險，進一步制訂因應策略，並持續管理與監測曝險。
2. 盤點台灣產業資安風險
   本研究依據企業特性將其劃分為六大產業 (包含金融業、政府機關、傳統產業、電子上游、電子中遊與電子下游)，透過非侵入檢測方式量化資安衛生 PR 值，點出關鍵風險趨勢與暗網分析結果。
3. 提供資安防禦策略建議
   透過對比受駭組織利用的曝險向量與威脅，提供企業管理層各產業最佳資安防禦建議與規劃，以作為產業強化資安策略之參考指標。

為什麼 EASM 是反偵察的關鍵？

根據 Group-IB 2026 年 3 月的報告，當月亞太區網攻事件較前月增長 107%，其中澳洲與泰國在受攻擊名單中並列首位，隨後是印度與馬來西亞。攻擊者透過 EASM 工具偵測企業遺忘的雲端測試環境或未受管理的端點，獲取初始存取憑證後，直接繞過多因素驗證 (MFA) 入侵企業核心。這份報告反映了 2026 年亞太區資安的一個重大轉變：攻擊者已從「隨機尋找漏洞」轉向「利用身份憑證」，企業那些「不在列管清單中」的外部數位資產，成為相關攻擊的完美切入點。

由於攻擊者在發動攻擊前，會進行長達數月的網路偵察，傳統防禦技術已不足以應對當代威脅：弱點掃描通常針對組織已知並已管理的內部和外部資產，旨在識別特定已知資產的已知弱點，例如作業系統、應用程式和網路設備中的漏洞。入侵與攻擊模擬 (BAS) 聚焦於模擬攻擊者行為，以測試特定存取控制和應對程序，但僅能測試「現有防禦」的強度。

EASM 可以從駭客角度透視企業，不僅能識別和評估已知資產的安全風險，還能揭示組織未知的、未控制的或忽略的資產，並將發現到的威脅，根據其對應資產在企業中的定位而排序，提供更全面的安全風險評估，並讓相關人員在處理風險時更有所適從。此外，EASM 常常依賴自動化工具來持續監控和更新資產的狀態，落實持續的安全監測。全面的外部視角是 EASM 獨特之處，讓資安防禦從「被動補漏洞」提升至「主動反偵察」。

產業資安體質剖析

本次普查涵蓋八大風險類別：EmailSecurity、CertificateHealth、SslTlsStrength、IPDomainReputation、DnsSecurity、DnsHealth、NetworkSecurity、DarkWebLeak，掃描共計 233 項資安風險。掃描的範圍為企業對外攻擊面（External Attack Surface），包含但不限於 Domain、IP、URL，且檢測過程中遵循正常訪問的方式取得相關配置設定，並不包含任何滲透、攻擊過程等侵入式的行為。

針對 145 個組織與企業，奧義研究團隊共檢測到 18704 項資安風險，也就是平均每間公司都會有超過 100 個資安風險。根據這些資訊，我們定義一資安衛生 PR 值，來代表組織/企業的資安衛生排名百分比。資安衛生 PR 值越高，代表企業的資安曝險程度低、整體資安態勢較好。另外，我們也對本次盤點期間曾遭勒索軟體攻擊、以國外為主的 129 家公司進行企業曝險分析，受駭公司資料來源為 https://ransomwatch.telemetry.ltd/ 公開被勒索的公司，資料搜集時間為 2024 年 3 月 26 日至 4 月 15 日。

與台灣各產業平均每間公司風險數量相比，受勒索軟體攻擊的公司相對較高，代表此統計數值具可信度與參考價值。在進一步比較各產業資安衛生 PR 值後，我們發現電子中游產業的資安風險，不論是單就數量，或是加上嚴重性加權後，都是位於危險的範圍、具有較高的風險。

關鍵風險趨勢

• 電子中游的供應鏈危機：其風險數量高出全體平均 50%。中游廠商作為大廠關鍵零組件供應商，專注於生產及加工關鍵零組件。由於這些廠商也自有 IT 技術能力，因此對許多服務會選擇自行建置開發以節省成本，但對資安相關議題卻無足夠知識技能。他們可能沒有終端品牌的市場壓力或能見度，因此對於投入在與品牌形象相關的資訊安全資源（DNS、Certificate、SSL）可能相對較少。在東亞供應鏈中，這類廠商極易成為攻擊者入侵核心大廠的跳板。
• 政府單位的社交工程破口：EmailSecurity PR 值僅 25。身為公眾服務的第一線，政府組織常需要設置郵件服務，獨立的郵件伺服器域名眾多且分散，但卻沒有足夠的資安能源，來確保郵件服務安全設置。SPF 與 DMARC 的缺失使偽冒郵件極易成功，直接威脅國家數位治理的可信度。

暗網曝險分析：電子下游、政府、金融深受地下產業青睞

除了前述的非侵入式檢測，奧義智慧科技研究團隊也進行暗網曝險分析，在不取得機敏資料為前提的狀況下進行本次研究，研究標的為 Infostealer 在暗網上販售的資料。

Infostealer 攻擊自 2021 年逐漸興起，攻擊者將 Infostealer 惡意程式（如：Redline、Raccoon、Vidar）植入受害者端點，並竊取端點資訊，包含：網站的帳號密碼、網站的 Cookie 及其他機敏資訊等。接著，攻擊者可利用取得的資料登入企業內部網站，或進一步散佈後續的惡意程式（如：勒索軟體等），這類攻擊手法被稱為 IAB（Initial Access Broker）。我們透過 IAB 的外洩資料（IAB Logs），可以分析被Infostealer 感染的端點，外洩了哪些網站的資訊。

在這 145 家組織中，我們發現共有 92 家曾發生外洩事件且資料已在暗網上被販賣，外洩比例達 63.45%。普查範圍內共有 3,549 筆資料外洩，平均每間公司風險數量以政府機構（平均 87 筆）、電子業下游（平均 26.98 筆）、金融業（平均 21.95 筆）為前三高。

政府機構、電子業下游與金融業容易淪為暗網兜售資料的主要目標，因為政府機構涉及國家安全、公民個人資料、政策制定的內部溝通，具有高度機敏性；電子業下游富含高科技產品的知識產權和生產機密；金融機構儲存大量的個人和企業財務資料，包括銀行帳戶和交易資訊等，控制了銀行帳戶則可以直接提領帳戶內的現金，是犯罪集團的首要目標之一。

資安曝險普查，四大趨勢與問題

一、雲端資產比例漸增，成為企業新的資安威脅

透過此次普查，奧義智慧科技研究團隊發現了四大趨勢與問題。首先，雲端資產比例大幅提高，成為企業新的資安挑戰。在外部掃描可以接觸到的數位資產中，各產業都有使用雲端資產：電子產業已經使用大量的雲端資產，比例約 40%~50%；政府單位佔 25.86%、傳產 21.62%、金融業較少但也有 5% 的公司正在使用雲端服務。過往金融機構嚴格禁止使用雲端服務、以地端服務為主，但近年來為加強資安韌性、資料異地備份及對外服務不中斷等監管需求，逐漸鬆綁上雲規範，使金融單位的雲端資安需求因而上升。

企業普遍使用的雲端資產目前仍以 AWS、Azure 及 Microsoft 365 為主，各產業依其使用情境有所不同。較多企業優先使用 Azure 及 Microsoft 365 是出於 IT 管理方便，選擇 AWS、GCP 則多是為了使用雲端廠商提供的服務，以及提供雲端服務給使用者。電子產業大多與內部 IT 環境串接，所以大部分傾向使用Azure 與 Microsoft 365；金融單位雖然逐漸上雲，但仍以雲端廠商提供的服務為主，不會將雲端與內部IT 環境相互介接，因此以 AWS 為主。

二、95% 的企業未正確設置 SPF、DKIM、DMARC，易受社交工程影響

一直以來，釣魚信件攻擊都是企業面臨的重大安全挑戰之一。儘管企業常透過釣魚信件教育訓練來提高員工安全意識，但這僅是治標而非治本的解決方法，因為攻擊者仍然能夠利用各種技巧輕易地發動社交工程攻擊，並取得機密資訊。

對此，企業可以透過實施 SPF (Sender Policy Framework)、DKIM (DomainKeys Identified Mail)、DMARC (Domain-based Message Authentication, Reporting, and Conformance) 等機制來提升釣魚信件攻擊的防護能力。這些機制可以有效防止攻擊者偽冒企業網域，減少釣魚信件的產生。企業不僅要加強自身安全防護措施，還需要確保供應商、合作廠商等相關單位也正確設置了這些安全機制。在整體產業生態圈裡建造良好的資安衛生習慣，才能有效降低社交工程的風險。

然而，普查結果顯示許多企業仍未意識到前述設定的重要性。在 145 個單位中，有 138 個組織未設置SPF、137 個組織未設置 DMARC，以及各種其他錯誤的設定。我們認為這代表在台灣，幾乎沒有人設定此類安全機制，間接使釣魚信件攻擊愈演愈烈。因此，我們呼籲企業應該重視 SPF、DKIM、DMARC 等安全機制的設置，並加強監督與培訓產業生態鏈裡的各級單位，共構更加安全的電子郵件生態系統。

三、SSL/TLS 版本過舊仍是常見問題

如今，網站連線的安全性已成為企業資安保護不可或缺的一部分， SSL/TLS 協議則成為保障網路通訊安全的重要工具。然而 TLS 1.2 之前的協議版本皆有已知安全問題，而其使用的加密演算法也難以滿足現今日益提升的資訊安全需求。為了應對這些安全威脅，大型瀏覽器業者於 2020 年陸續終止支援 TLS 1.0/1.1 ，IETF 也在 2021 年正式棄用了這些舊版協議。同時，美國國家安全局（NSA）亦在 2021 年呼籲所有使用者升級至更安全的 TLS 1.2 或 TLS 1.3 版本。

雖然 TLS 1.2 自 2008 年推出以來已有長達 16 年的歷史，並受到多種攻擊手法的挑戰，但相對於 TLS 1.1，它依然具有較高的安全性。2018 年，TLS 1.3 正式發佈、逐漸取代 TLS 1.2 成為網站連線的首選協議。TLS 1.3 不僅提供更強大的加密算法和安全特性，還通過簡化交握階段和減少輪次來提高傳輸效率。總的來說，當前使用 TLS 1.2 或 TLS 1.3 是維護網路通訊安全較為可靠的選擇。在本次普查中，仍檢測到 40 次使用 TLS 1.1 甚至更舊的版本，我們建議企業應該積極升級協議版本，以確保資料的機密性和完整性，並保護用戶的隱私安全。

四、12 個機構具高風險的 DNS IXFR 設置錯誤

IXFR 是 DNS 中一種用於傳輸 DNS 區域更改的機制，它允許 DNS 伺服器之間僅傳輸區域中已更改的部分，而不是整個區域資料。當 DNS 中的資料發生更改（例如新增、修改或刪除 DNS 記錄時），DNS 伺服器需要向其他伺服器同步這些變動，以保持資料的一致性。因為 IXFR 請求僅傳輸部分被修改的資料，可以更快速地同步資料。

若 DNS 伺服器回應全球 IXFR 請求，將導致區域資訊外洩。攻擊者可向目標 DNS 伺服器發送 IXFR 請求，請求傳輸目標區域的增量更新資料，取得該區域的敏感資訊，包括主機名、IP 地址和其他 DNS 記錄等。為了減輕 DNS 區域轉移攻擊的風險，必須在 DNS 伺服器上實施適當的存取控制和安全設定，例如：將區域轉移請求限制為授權的 IP 地址、實施防火牆規則來阻止未授權的請求、定期監控 DNS 伺服器日誌以檢測可疑活動等。在我們分析中，這是一項可能直接造成資安問題的高風險檢測項目，共有 12 個組織在 DNS 的設置上有問題，需要儘速修正。

改善策略：建立持續性的曝險管理機制

資安防禦不應是單次掃描，而應納入企業營運生命週期。

短期策略 (1-3個月)：修補漏洞

• 完成現有配置和政策的全面審核。
• 進行初步的技術評估和風險評估報告，並計畫各階段的執行詳情。
• 初步實施各項改善建議，測試可行性以及擴展性。

中期策略 (3-6個月)：架構優化

• 實施技術更新，完成改善建議。
• 更新公司安全策略，並進行員工安全培訓。
• IT 部門和第三方安全顧問合作，確保配置和部署的正確性。

長期策略 (6個月以上)：長期韌性

• 持續監測、評估與調整安全措施，持續實施員工教育。
• 建立持續的安全文化和快速回應的安全事件處理機制。

結論

為什麼駭客能夠看穿攻擊目標、規劃攻擊，但企業卻難以掌握自身環境，提前設想應對措施？多數網路犯罪組織在攻擊前會進行網路偵察，鎖定疏於外部攻擊面管理的企業。此次盤點我們發現最嚴重的三大問題為：

一、95% 的企業未正確配置電子郵件安全設定，易受社交工程威脅

釣魚信件攻擊一直以來都是企業的重大安全挑戰，儘管可以透過教育訓練提高員工安全意識，這仍是治標的解決方法。企業可以採取更為治本的措施，如啟用 SPF (Sender Policy Framework)、DKIM (DomainKeys Identified Mail)、DMARC (Domain-based Message Authentication, Reporting, and Conformance) 等機制有效防止攻擊者偽冒其網域，以減少釣魚信件。但本次普查結果顯示：145 個企業組織中，有 138 個組織未正確設置 SPF、137 個組織未正確設置 DMARC，意即在此普查範圍中大部分的企業都沒有正確設定電子郵件安全機制。

二、63.5% 的企業曾被外洩，並於暗網上被販賣

普查範圍內共有 3,549 筆資料外洩，以政府機構（平均 87 筆）、電子業下游（平均 26.98 筆）、金融業（平均 21.95 筆）為前三高。政府機構涉及國家安全、公民個人資料、政策制定與其他敏感資訊、電子業富含高科技產品的知識產權，金融業掌握大量個人和企業財務資料，容易淪為勒索軟體犯罪集團的首要目標。

三、50.8% 遭勒索的企業對外網站憑證有瑕疵

我們將近期遭勒索的國外企業與台灣企業交叉比對後，一如預估，受駭公司的資安管理敏捷度的確與正常公司有別，以數位憑證相關的類別為例，超過半數遭勒索的企業對外網站憑證有明顯瑕疵，差異極為顯著。

在東亞這場無聲的數位戰爭中，掌握外部曝險即是預視攻擊路徑。企業無法保護看不見的資產，唯有持續監控、逐一攻破曝險因子，才能在變局中加速前行。

本篇文章改寫自【資安曝險調查白皮書】，此份白皮書針對六大產業（政府機關、傳產企業、電子上中下游等）的常見風險、技術解決方案與管理策略等建議，根據曝險概況採取對應的解決方法、訂定改善時間表，具體且全面地逐一攻破。

‍