如何管理邊緣端點與資安防禦，應對網路滲透威脅

根據杜浦數位安全公司與國內資安專家們警示，邊緣裝置漏洞成為中國駭客積極利用的目標。駭客的攻擊對象不僅限於臺灣，而是遍及全球，例如 2024 年美國就有 9 家電信業者遭受中國駭客 Salt Typhoon 入侵。其他還有活躍中的私人或中國政府資助的駭客組織，如：EtherBei (Flax Typhoon)、Amoeba (APT41)、成都肆零肆、安洵信息、北京永信至誠科技、以及鎖定無人機與軍工產業的 TIDrone……等。

駭客組織發動的網路間諜攻擊方法中，鎖定從邊緣網路（Edge Network）的裝置漏洞、連結漏洞攻擊、滲透至各國政府及一般企業，進行長期潛伏與竊取重要資訊，例如金流平台的付款人個資與信件；此舉對駭客來說省力省時、可同時大量進行，因此已經是中國的主要滲透管道。

補充資料 - 《趨勢科技》&《杜浦數位安全》監測報導：

• 揭露鎖定臺灣在內，長期網路滲透政府機關、科技業者的 APT 攻擊集團: Earth Estries

• TIDRONE 攻擊台灣軍工與衛星產業

• Earth Lusca 使用地緣政治議題為誘餌在大選前夕攻擊台灣

• 2024年威脅態勢回顧: 網路攻擊的模糊地帶【英文威脅情資報告】 - TeamT5

邊緣網路面臨的安全挑戰

邊緣網路是現代人隨時隨地使用的網路管道，常用邊緣網路裝置例如：智慧家居設備、個人電腦與手機、VR/AR 設備、Wi-Fi 路由器、NAS、智慧監控系統、行車紀錄器、導航系統……等皆是。人們一旦上網，不可避免地連接到邊緣網路，例如日常中搜尋引擎、購物、社群網等。

以下為邊緣網路的共通弱點，容易成為被攻擊的切入點：

• Headless System (or IoT)、OT（Operational Technology）及其他未受管理的資產大量增加，使得企業/個人難以全面掌握與保護所有連接端點。

• 眾多邊緣網路、邊緣裝置缺乏傳統 IT 安全機制，更容易成為惡意攻擊者的跳板，例如成為 DDoS 攻擊的殭屍節點。

• 邊緣設備通常會透過 Wi-Fi、5G、Mesh Network、衛星網路連接，這些連線端點的安全性各不相同，且難以統一監控。

• 端點之間連接缺乏加密或適當的身份驗證機制，容易成為攻擊者攔截或偽造的漏洞（例如 TIDRONE 利用惡意中繼站入侵）。

• 網路架構複雜度提高，由於邊緣運算架構涵蓋了許多不同類型的設備（如 IoT 裝置、邊緣伺服器、行動設備等），網路拓撲結構比傳統 IT 環境更加複雜。

• 設備之間的配置可能存在相容性問題，影響網路穩定性，導致安全風險。

維護邊緣網路安全：建立端點管理與零信任架構

一般企業組織在建立內網時，會部署邊緣網路的端點管理（Edge Endpoint Management）架構，以確保連線設備的安全、網路穩定和資料完整性。

建立邊緣端點管理的基本功：

建立內部資產管理系統、設備識別與可視性

• 使用 IoT 設備管理平台（如 AWS IoT Device Management、Azure IoT Central、Google Cloud IoT）來追蹤所有連接的設備。

• 設定自動發現並註冊新設備的機制，以防止未經授權的裝置接入網路。

• 為每個設備分配唯一識別碼（如 MAC 地址、UUID），並根據設備類型（如 IoT 設備、使用者端點、邊緣伺服器、關鍵基礎設施）進行分類、設定相對應的安全措施。

• 部署端點偵測與回應（EDR）工具，如 CrowdStrike、SentinelOne、Microsoft Defender for Endpoint，即時監測端點活動。亦加入 AI 驅動的分析技術，檢測異常流量模式與潛在安全威脅。

確保端點之間通訊安全

• 強制資料加密，例如使用 TLS 1.3、IPsec 或 WPA3 等安全加密協議所有連線的電腦、手機等通訊設備。

• 部署雲端金鑰管理服務（Cloud Key Management Services, KMS） 來保護加密特定資料。

• 監測網路流量變化，部署網路流量分析工具，如 NetAlly 網路監測工具、Cisco Secure Network Analytics 等，即時偵測異常行為。並與安全資訊與事件管理（SIEM）平台（如 Splunk、IBM QRadar）整合，以獲取即時的威脅情報。

• 防範 DDoS 攻擊；部屬自動威脅隔離系統，在偵測到惡意活動時立即阻擋惡意設備。

建立即時的自動化端點管理

• 使用 Auto Test 功能自動連接裝置到驗證測試機制，確保所有新設備在加入網路時自動被監控。

• 定期查找所有 Wi-Fi 端點、BT/BLE 端點、​乙太網端點、連接路徑；輸出拓撲圖報告，並移除過時或未授權的設備。

• 使用 Path Analysis​，分析端點對端點網路路徑； ​驗證網段以防止橫向移動。

• 部署行動裝置管理（MDM） 解決方案，如 VMware Workspace ONE、Microsoft Intune，自動推送安全更新至所有邊緣端點。

• 建立 CIS Benchmarks，確保所有設備符合企業安全與合規要求。

零信任架構（ZTA）

零信任架構是常見的「網路五大安全架構」其中之一，核心概念為「永不信任，始終驗證」的原則；與依賴外圍防禦的傳統安全模型不同，ZTA 假設威脅可能來自內部和外部來源。以使用者體感來說，最明顯的就是「多重身分驗證、且每次使用都需驗證」的機制，雖然使用上很麻煩，但能隔絕不明帳號在企業內網和邊緣網路之間遊走；這尤其對有大量遠端工作、雲端連線需求的企業組織來說相當實用。

零信任架構（ZTA）的防護措施包括：

• 持續強制身份驗證和最小特權存取

• 微分段以限制橫向移動

• 多因素身份驗證（MFA）和身份和存取管理（IAM）

• 即時監控和分析以檢測異常，使用端點安全平台（如 Cisco AMP、CrowdStrike Falcon）隨時自動偵測並修補漏洞。

參考資料：What is Network Security Architecture? | NetAlly CyberScope

邊緣網路偵測：確保安全與可視性的關鍵

隨著邊緣運算與 IoT 設備的大量普及，邊緣網路已成為網路安全防護的關鍵環節。然而端點數量激增、設備類型多樣化，以及網路架構的複雜性，使得邊緣端點的管理與保護更加困難。

有效的邊緣網路偵測需要涵蓋：設備識別、漏洞掃描、連線驗證與滲透測試，確保所有資產皆被清點，並能及時發現潛在威脅。透過自動化安全工具，例如 NetAlly - CyberScope，能夠快速檢測網路邊緣的設備狀況，發現異常流量，並驗證安全策略的執行效果。

全面落實端點管理與資安防護，不僅能強化企業的整體網路韌性，更能降低攻擊風險，確保數據與基礎設施的安全無虞。在網路邊緣，偵測能力決定安全防護的成敗，唯有建立完整的可視性與管理機制，才能真正守護數位環境的穩定運行。

〈CyberScope 完整說明〉

2025 資安大會，翔宇科技首推 CyberScope 邊緣網路安全漏洞掃描分析儀

CyberScope 單機即整合多種網路安全掃描、Nmap 網路滲透測試等功能；且可透過雲端，進行測試與管理分析；讓資安、網路部署人員高效監測與除錯，保障穩定的網路環境。

今年資安大會於 4/15 - 4/17，南港展覽館二館舉行；期間《翔宇科技》與《一休資訊》共用展攤 1F-209；展示《NetAlly》的各種手持式網路安全測試設備，包括 CyberScope、AirCheck G3 Pro、Link Runner AT 4000 等；歡迎至 209 展攤與我們交流！

資安大會 - 活動資訊：

• 時間：2025/04/15~17，08AM~5PM

• 地點：台北南港展覽館二館 1F - 209 攤位

• 免費入場，請至 活動官網登記

• 更多活動及講座詳情，請至官網公告

延伸閱讀：

• NetAlly 滲透測試及網路測試總覽 >

• NetAlly 產品規格比較表 >

• 瀏覽 NetAlly 所有技術文章 >

• NMAP 函式庫與腳本 > 為加速資安人員透過 NMAP 進行各種漏洞管理，翔宇科技特別針對 NMAP 函式庫與各種腳本以及用法進行翻譯整理，並持續更新。

參考資料：

• 網路安全協定類型說明

• Cyberscope Interactive Brochure.pdf

• 揭秘邊緣安全性- 電子技術設計

• 你的生活和邊緣運算有關嗎？邊緣運算需要安全性的原因

• 滲透測試及網路測試解決方案