中間人攻擊

中間人攻擊（Man-in-the-Middle, MITM）是一種網路竊聽攻擊，攻擊者在兩個通訊端點之間建立獨立的連接，並秘密地中繼、攔截、甚至竄改雙方之間的流量。攻擊者讓受害者誤以為他們正在與合法的端點直接通訊，從而竊取帳號密碼、個人資訊或金融數據。此概念在美國國家標準暨技術研究院（NIST）的數位身份指南 **NIST SP 800-63-3** 中被明確定義為對認證過程的主要威脅。在風險管理體系中，MITM攻擊直接挑戰 **ISO/IEC 27001** 的控制目標，特別是 A.13.1.1（網路控制）和 A.14.2.1（安全開發政策）中關於保護傳輸中資料完整性與機密性的要求。與單純的「竊聽」（Eavesdropping）不同，MITM攻擊不僅是被動監聽，更具備主動竄改通訊內容的能力，例如將加密連線降級為未加密連線（SSL Stripping），使其威脅性遠高於前者。

在企業風險管理（ERM）中，防禦中間人攻擊需整合技術控制與管理流程。具體導入步驟如下： 1. **風險識別與資產盤點**：首先，需依據威脅模型（如 STRIDE）識別企業中易受MITM攻擊的關鍵流程與系統，例如客戶登入頁面、API介接、內部系統通訊等。對這些通訊管道進行風險評估，確定潛在衝擊。 2. **部署縱深防禦控制**：強制所有內外部網路通訊採用強加密協定，如 TLS 1.3。在行動應用程式與客戶端軟體中導入「憑證綁定」（Certificate Pinning），強制客戶端只信任特定的伺服器憑證，有效防禦偽冒憑證攻擊。此舉符合 **ISO/IEC 27001:2022** 附錄 A.8.24「使用密碼學」的要求。 3. **持續監控與應變演練**：部署網路入侵偵測系統（NIDS）與安全資訊與事件管理（SIEM）平台，監控異常的憑證活動、ARP欺騙或 DNS劫持跡象。定期舉行應變演練，確保資安團隊能迅速處理MITM事件。某金融機構導入憑證綁定後，其行動銀行App因偽冒憑證導致的登入失敗告警率下降了98%，顯著提升了交易安全性。

台灣企業在防禦中間人攻擊時，主要面臨三大挑戰： 1. **中小企業資源有限**：多數中小企業缺乏專職資安人才與預算來建置及維護公開金鑰基礎設施（PKI）或進階監控系統。 2. **工業物聯網（IIoT）與老舊系統整合困難**：製造業普遍存在的老舊營運技術（OT）設備，其設計初衷未考慮網路安全，大多不支援現代加密協定，成為防禦的死角。 3. **供應鏈安全管理複雜**：台灣企業供應鏈緊密，攻擊者可能從資安較弱的供應商下手，對供應鏈發動MITM攻擊，進而滲透核心企業。 **對策**： - **資源限制**：採用雲端安全服務（如 Cloudflare、Akamai）提供的WAF與DDoS防護，以訂閱制模式獲取企業級防護，降低初期建置成本。 - **老舊系統**：透過部署網路分段與安全閘道器，將OT環境與IT網路隔離，並在閘道器上強制執行流量加密與檢查，作為補償性控制措施。 - **供應鏈風險**：依據 **NIST SP 800-161**（供應鏈風險管理實踐）框架，建立供應商安全評估機制，要求關鍵供應商提供資安合規證明。優先行動項目為盤點所有對外連線的應用程式，在6個月內為關鍵應用導入憑證綁定，並完成供應商風險評估。

積穗科研股份有限公司專注台灣企業中間人攻擊相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact