金融業零信任架構(Zero Trust Architecture)已成為資安考試的熱門考點,但許多人在作答時屢屢栽在同一類型的題目上——明明讀懂了四個等級的定義,一遇到「即時告警」、「動態撤銷」、「自動隔離」這幾個關鍵字,就開始猶豫:這到底是 Level Ⅱ 還是 Level Ⅲ?
問題的根源在於:這些動詞本身沒有等級,觸發來源才有。同樣是「即時隔離」,依據「設備不合規」觸發是 Level Ⅱ,依據「偵測到 IOC」觸發卻是 Level Ⅲ。出題者就是利用這個模糊地帶設計混淆選項。
本文整理了 8 道高頻陷阱題,逐一拆解易錯選項、說明判斷原因,並附上記憶口訣,幫你在考場上遇到模糊題型時,能夠快速抓住核心邏輯、不再失分。
判斷邏輯總覽
Level Ⅰ 傳統
「有沒有建置」
靜態基礎機制到位即可,不需動態判斷
MFA
網段隔離
DLP
資料加密
備份
HTTPS
Level Ⅱ 起始
「條件卡關」
屬性不符合設定條件就自動撤銷/限縮
ABAC
Session動態屬性
時間/地點
設備合規
JIT
Level Ⅲ 進階
「事件偵測」
先偵測到威脅/異常事件,才即時回應
IOC
ATT&CK TTP
SIEM
SOC
EDR
NDR
SOAR
Level Ⅳ 最佳化
「全自動治理」
依政策快速調適,確保生命週期合規
自動化
生命週期
一致性
快速調適
陷阱題逐題解析
1
陷阱:「即時」不等於 Level Ⅲ
將「時間、地點、設備合規狀態」等動態屬性納入授權審核條件,可對異常樣態進行即時告警,此屬零信任哪個等級?
✗ 易錯選項
Level Ⅲ(進階)— 看到「即時告警」以為是偵測回應機制
✓ 正確答案
Level Ⅱ(起始)— 對應 1.5 權限存取、2.4 資源存取、5.5 資料存取
為什麼?
關鍵在於觸發來源:這裡的「即時」是指「屬性條件不符就立刻撤銷」,觸發來源是預先設定的規則(時間、地點、設備合規),而非偵測到入侵事件。Level Ⅲ 的即時,前提是「先偵測到 IOC 或攻擊樣態」,兩者流程截然不同。
記憶口訣
Ⅱ = 規則觸發(條件不對就擋)
Ⅲ = 事件觸發(偵測到威脅才動)
看到「時間/地點/合規」→ 先想 Ⅱ;看到「IOC/ATT&CK/EDR/NDR」→ 才是 Ⅲ
2
陷阱:「持續監控 + 強制隔離」看起來像 Ⅲ,其實是 Ⅱ
「持續監控設備合規狀態,對未更新或具已知漏洞之設備,即時強制隔離」,此屬哪個等級?
✗ 易錯選項
Level Ⅲ — 看到「持續監控、即時隔離」以為是進階偵測回應
✓ 正確答案
Level Ⅱ(起始)— 對應 2.2 設備合規
為什麼?
「未更新、有已知漏洞」是合規條件判斷,不是入侵事件偵測。隔離的依據是「設備狀態不符合規定」,而非偵測到攻擊行為。Level Ⅲ 的隔離(如 EDR 2.5)是在偵測到威脅指標 IOC 之後才觸發,概念層次不同。
記憶口訣
合規狀態不好 → 隔離 = Ⅱ
偵測到入侵行為 → 隔離 = Ⅲ(EDR)
問自己:隔離的理由是「不合規」還是「被攻擊」?
3
陷阱:「行為異常 + 動態撤銷」看起來像 Ⅱ,其實是 Ⅲ
「可依據使用者使用模式或行為等因素評估風險,對雖屬授權範圍但不符作業常規之行為,動態撤銷存取授權」,此屬哪個等級?
✗ 易錯選項
Level Ⅱ — 看到「動態撤銷授權」以為是 ABAC 授權機制
✓ 正確答案
Level Ⅲ(進階)— 對應 4.3 威脅防護、5.2 外洩防護
為什麼?
Level Ⅱ 的動態撤銷基於預設屬性條件(時間/地點/合規),是「規則明確可預設」的判斷。這題觸發的是「不符作業常規的行為模式分析」,需要分析異常行為才能判斷,屬於威脅偵測邏輯。關鍵字「使用模式、行為分析、作業常規」都是 Ⅲ 的信號。
記憶口訣
屬性條件(時間/地點/合規)→ Ⅱ
行為模式分析(使用常規/異常樣態)→ Ⅲ
「屬性」是靜態可預設的;「行為模式」需要動態學習分析
4
陷阱:只提 EDR 沒提 SIEM/SOC,還是 Level Ⅲ
「對設備活動紀錄具有即時偵測及回應機制(EDR),在偵測到威脅指標時,可自動隔離設備」,此屬哪個等級?
✗ 易錯選項
Level Ⅱ — 因為沒提到 SIEM/SOC,誤以為不算進階
✓ 正確答案
Level Ⅲ(進階)— 對應 2.5 威脅防護
為什麼?
SIEM/SOC 是 Level Ⅲ 可視性分析(x.6)的標誌,但各支柱的威脅防護(x.5)同樣是 Level Ⅲ,不需提到 SIEM/SOC。只要出現「EDR、NDR、偵測到 IOC/威脅指標後回應」,就是 Level Ⅲ。
記憶口訣
EDR / NDR 出現 → 直接判 Ⅲ
SIEM/SOC 出現 → 也是 Ⅲ(可視性分析)
只要是「偵測威脅後回應」的邏輯,無論工具名稱,都是 Ⅲ
5
陷阱:「日誌收容 + 定期審查」沒提 IOC,還是 Level Ⅲ
「整合或收容事件日誌,建立定期審查及異常行為偵測告警機制,集中收容於 SIEM 平台」,此屬哪個等級?
✗ 易錯選項
Level Ⅱ — 「定期審查」聽起來像基礎管理,沒提 IOC 就以為不是進階
✓ 正確答案
Level Ⅲ(進階)— 五大支柱的可視性分析(1.6、2.6、3.6、4.6、5.7)全部是 Level Ⅲ
為什麼?
只要出現「整合/收容事件日誌 + SIEM」的組合,就固定是 Level Ⅲ。這是一條鐵律:五大支柱各有一個可視性分析項目,全數歸屬 Ⅲ,不必個別判斷。
記憶口訣
事件日誌 + SIEM → 固定是 Ⅲ(可視性分析)
五大支柱的 x.6 全部是 Ⅲ,直接背起來不用判斷
6
陷阱:「抗釣魚 MFA」vs「一般 MFA」的等級差異
「採用綁定實體載具(如 FIDO、晶片卡)之多因子驗證,排除簡訊/語音 OTP」,此屬哪個等級?
✗ 易錯選項
Level Ⅰ — MFA 就是基礎,應該是第一級
✓ 正確答案
Level Ⅱ(起始)— 對應 1.2 身分認證
為什麼?
Level Ⅰ(1.1)只需「採用 MFA」。Level Ⅱ(1.2)要求可抗網路釣魚的 MFA,必須綁定實體載具,且明確排除簡訊、語音、電子郵件 OTP。關鍵區別:有無「排除簡訊OTP」和「抗釣魚」兩個條件。
記憶口訣
MFA(任何形式)= Ⅰ
MFA(抗釣魚 + 排除簡訊OTP)= Ⅱ
看到「FIDO」或「排除簡訊OTP」→ 升級為 Ⅱ
7
陷阱:「自動化」不一定是 Level Ⅳ
「採自動化機制減少人員介入誤失,建立 CI/CD 通道分階段採最小授權原則,落實權責分離」,此屬哪個等級?
✗ 易錯選項
Level Ⅳ — 看到「自動化」直接判為最高等級
✓ 正確答案
Level Ⅱ(起始)— 對應 4.5 程式部署
為什麼?
Level Ⅳ 的「自動化治理」是指「依資安政策快速調適、確保整個生命週期合規」的全面治理機制。CI/CD + 最小授權是程式部署安全實踐,自動化是手段而非目的。判斷 Ⅳ 的關鍵字:「生命週期、快速調適、一致性且自動化管理機制」同時出現。
記憶口訣
「自動化」單字出現 → 不一定是 Ⅳ
「生命週期 + 自動化治理」同時出現 → 才是 Ⅳ
Ⅳ 的標誌是「治理整個生命週期」,不只是某個步驟自動化
8
陷阱:「微分段 + 動態調整邊界」像 Level Ⅲ,其實是 Level Ⅱ
「具 SDN 或微分段機制,可依據人員身分、設備樣態、連線時間等動態屬性調整網路防護邊界」,此屬哪個等級?
✗ 易錯選項
Level Ⅲ — 「動態調整」聽起來很進階
✓ 正確答案
Level Ⅱ(起始)— 對應 3.2 網路區隔
為什麼?
這裡的動態調整依據是「人員身分、設備樣態、連線時間」等屬性條件,本質是 ABAC 邏輯應用在網路層,屬 Level Ⅱ。Level Ⅲ 的網路動態調整(3.5)是在「偵測到 IOC 或遭受攻擊時」才觸發,觸發來源是威脅事件。
記憶口訣
依「身分/設備/時間」調整網路 = Ⅱ(屬性條件)
依「偵測到 IOC/攻擊」調整網路 = Ⅲ(威脅事件)
看觸發原因是「屬性」還是「攻擊」
快速判斷速查表
時間/地點/設備合規 → 即時撤銷
Level Ⅲ(有「即時」)
Level Ⅱ
屬性條件觸發
設備未更新/有漏洞 → 強制隔離
Level Ⅲ(有「隔離」)
Level Ⅱ
合規條件判斷
行為模式/使用常規 → 動態撤銷
Level Ⅱ(有「動態撤銷」)
Level Ⅲ
行為異常偵測
EDR 偵測 IOC → 自動隔離
Level Ⅱ(無 SIEM/SOC)
Level Ⅲ
EDR = Ⅲ
事件日誌 + SIEM 收容
Level Ⅱ(無提 IOC)
Level Ⅲ
可視性分析固定是 Ⅲ
FIDO + 排除簡訊 OTP
Level Ⅰ(MFA是基礎)
Level Ⅱ
抗釣魚 MFA
CI/CD + 自動化部署
Level Ⅳ(有「自動化」)
Level Ⅱ
程式部署安全實踐
SDN/微分段 + 依屬性調整
Level Ⅲ(有「動態調整」)
Level Ⅱ
屬性條件驅動的網路區隔
生命週期 + 一致性自動化治理
Level Ⅲ(有「即時/自動」)
Level Ⅳ
治理整個生命週期
沒有留言:
張貼留言