過去業界奉為圭臬的「向左轉移」(Shift Left)策略,雖提升了程式碼品質,卻也留下了被稱為「影子政策」的授權盲區,使得破碎的「工匠式安全」難以應對雲端時代的擴展需求。本文將深入探討 CIO 與 CISO 如何透過戰略性的「向下轉移」(Shift Down),將資安控制權從分散的應用層,收斂至統一管理的基礎架構核心。這不僅是一場技術架構的重塑,更是將資安從「成本中心」轉化為「商業賦能引擎」的關鍵路徑。
編譯/Frances
身處 2025 年及未來,資訊長(CIO)和資安長(CISO)的角色正經歷前所未有的高壓狀態。隨著全球法規持續收緊(如 NIS2 指令和 EU AI Act),加上大規模雲端部署帶來的複雜性,以及自主 AI 代理的快速崛起,傳統的資安模式已難以為繼。
我們的當前挑戰在於,資安已不能再被視為一項後勤工作,它必須轉變為業務的賦能者。這種轉變需要一場深刻的戰略進化:告別過去不斷追趕漏洞的「修補模式」,轉向建立一套自動化、內建於基礎架構的防禦系統。只有當組織能確保數據和身份的完全可信賴性時,安全性才能從成本中心轉變為推動企業創新的引擎。
舊模式的終結 ─ 「影子政策」與「工匠的困境」
所謂「影子政策」(shadow policies)指的是那些隱藏在應用程式程式碼深處,且因團隊而異的零散授權規則。
安全策略的演變,是一場在軟體開發生命週期(SDLC)時間軸上的移動。過去幾年,業界大力推廣的「向左轉移」(Shift Left)策略,旨在將安全檢查提早到開發週期的左側,即在工程師編寫程式碼時就進行測試和反饋。這種做法的價值無庸置疑,它就像在建築設計圖上就發現錯誤,能更快、更便宜地修復程式碼中的漏洞。
然而,單靠「向左轉移」已經不足以應對雲端時代的挑戰。它主要聚焦於程式碼的品質,卻難以解決許多發生在部署之後的風險,尤其是配置錯誤和存取控制邏輯的混亂。
揭開「影子政策」的風險面紗
當企業有機成長時,危機便開始滋生。在傳統的「工匠式安全」(artisanal security)模式中,每個獨立的工程團隊必須手工打造或客製化自己的安全控制措施,例如自行編寫身份驗證或存取控制邏輯。
這種碎片化的手動模式是無法擴展的。它直接催生了「影子政策」。
[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 LinkedIn,與全球CIO同步獲取精華見解 ]
從風險管理的角度來看,如果 CISO 無法統一回答「誰可以存取我們的關鍵數據或功能?」,組織就存在嚴重的控制缺陷。這種混亂的分散管理是不可接受的。事實證明,這不是小問題:一項研究發現,近七成的雲端安全漏洞都可追溯到錯誤配置的存取設定。這表明許多安全事件並非來自高超的零日攻擊,而是來自簡單的錯誤配置,例如忘記關閉儲存空間的公開存取權限。
此外,這種模式造成了安全保護措施不一致,並給熟練的開發人員帶來了大量的額外工作量(developer toil),使他們無法專注於核心業務邏輯。
策略性樞紐 ─ 建立「企業安全決策核心」
解決上述結構性危機的唯一出路,就是 ─ 將資安策略進化到「向下轉移」(Shift Down)。這項策略的本質是將安全控制措施深度嵌入平臺和框架中,確保安全性成為基礎架構不可或缺的一部分。
建立統一的「法律體系」
「向下轉移」的核心實踐,在於建立一個統一的存取決策系統,我們將其稱為「企業安全決策核心」(Centrally Managed Control Plane)。
你可以將其想像成一套統一的法律體系,取代了分散且容易出錯的「地方法規」(影子政策):
- 政策外部化:關鍵的存取邏輯(授權)被從個別應用程式的程式碼中移除,轉移到這個中央服務。
- 集中決策:所有應用程式或服務在需要做出存取決策時(例如,使用者 X 是否可以對資源 Z 執行動作 Y),都必須向這個「決策核心」發出查詢。
- 技術實現:這項核心服務由政策引擎(Policy Decision Point,PDP)提供支持。業界領先者如 Cerbos 就提供了這種授權系統,它包括了政策管理點(Policy Administration Point,PAP),作為一個受管理的控制平面,用於大規模地撰寫、測試、部署和稽核授權政策。
透過這種方式,安全性從每個應用程式內的「黑盒子」轉變為透明且集中管理的控制平面。這使得 CISO 能夠查詢單一系統或政策儲存庫,來回答稽核員或內部團隊提出的「誰可以存取敏感客戶記錄 X?」等問題,這極大地提升了稽核能力和合規性。
應對 AI 時代的雙重威脅
「向下轉移」策略對於應對 2026 年的兩大關鍵威脅至關重要:
威脅 1:自主 AI 代理的身份危機
隨著 AI 和自動化系統的部署,企業中的機器身份(Non-Human Identities,NHIs)數量已遠超人類員工,比例高達驚人的 82:1,根據 CyberArk 於 2025 年 4 月 23 日發布的一份名為《機器身份數量超過人類 80:1:新報告揭露碎片化身份安全的指數級威脅》指出。
- 新的內部威脅:Palo Alto Networks 預測,這些自主 AI 代理一旦配置不當,將成為具有高度特權的「內部威脅」(insider threat),能夠以機器速度進行權限提升和攻擊。Webflow 的資安長 Ty Sbano 提醒,企業領導者正在成為這些代理的管理者,必須對其行為進行負責任的治理。
- 治理策略:唯一的解決方案是採用「自主與控制」(autonomy with control)的平臺。CISO 必須嚴格執行最小權限原則(principle of least privilege),並利用集中的授權服務來評估這些代理執行的每一個行動。
威脅 2:不可忽視的技術債與工具蔓延
儘管企業正在向前發展,但舊的風險仍在累積。根據 Orca Security 的調查《2025 State of Cloud Security Report》:
- 數據暴露:目前,95% 的組織至少有一個雲端資產可以被攻擊者用於橫向移動。超過三分之一的組織(38%)在資料庫中存有敏感數據,且這些資料庫暴露於公共網路。
- 漏洞的積累:雲端資產平均擁有 115 個漏洞,而且有近八成(76%)的組織至少有一個公開可存取且允許橫向移動的雲端資產。這些風險促使企業必須將安全控制措施內建到基礎設施中,以避免人為錯誤和碎片化。
向董事會溝通價值 ─ 將網路風險轉化為業務指標
CISO 必須與 CIO 緊密合作,將網路風險轉化為高階主管能理解的業務語言。董事會不期望零風險,但他們要求資安長知道風險何在,並備妥計劃。
我們必須用影響聲明(impact statements)來取代技術術語。「影響聲明」這個說法,是資安長(CISO)用來與非技術出身的高階主管或董事會溝通時,將複雜技術風險轉化為業務層面後果的一種溝通策略與工具。簡單地說,就是:將技術風險「翻譯」成業務價值、量化風險的財務後果,並證明投資的成效。
財務風險的量化
將網路安全投資的價值與企業的 OKR/KPIs 直接掛鉤:
- 可用性(Availability)風險:將平均每小時銷售額乘以系統不可用時長(復原時間目標,RTO),即可估算出預計損失的銷售收入。
- 機密性(Confidentiality)風險:將敏感數據記錄(例如個人健康資訊,PHI)數量乘以潛在的合規性罰款和訴訟成本來量化風險。例如,HIPAA 違規行為可能導致高達 150 萬美元的罰款。
- 攻擊路徑的可見性:高階主管需要了解「防禦者悖論」(Defender’s Paradox):攻擊者只需要對一次,而防禦者必須每次都正確。集中式安全工具能識別攻擊路徑,幫助安全團隊優先處理那些威脅高價值資產的風險。例如,有 13% 的組織擁有單一雲端資產,卻能創造出超過 1,000 條攻擊路徑。
人力資源與韌性的提升
「向下轉移」策略也是應對全球網路安全人才短缺的關鍵。
- 減少人力負擔:全球有數百萬網路安全職位空缺。透過實施自動化和編排(automation and orchestration),組織可以將重複性任務(如日誌拉取或存取權限配置)卸載,從而有效地增強(augment)現有安全分析師的能力。
- 提高開發者效率:這項策略使開發人員能夠專注於核心業務邏輯,而不是將時間浪費在重新實作安全原語上。這也緩解了開發人員對「假 Shift Left」的厭惡,因為安全性被內建於他們使用的平臺中,並非額外增加的負擔。
- 危機計畫:溝通準備情況非常重要,例如「我們有事件回應計畫,我們進行季度網路演習,並且我們有網路保險來應對殘餘風險」。
從成本中心到信任資產
「向下轉移」策略的核心,在於將安全性轉變為一項可持續的工程學。
企業不是在購買新的安全補丁,而是在投資於一個更堅固、更智慧、更高效的基礎設施。這就好比企業決定將其所有貴重資產集中到一座擁有自動化防禦系統的保險庫(企業安全決策核心)。一旦這個系統建立起來,所有員工和機器(AI 代理)都能在規定範圍內快速、安全地提取或存入資料,而無需擔心自己是否忘記鎖門。從根本上,我們消除了影子政策帶來的風險,同時也為企業在 AI 時代中,以可信賴的基礎加速創新奠定了堅實的基礎。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
