3. 2023 年發現某國際知名汽車大廠於將近 10 年期間，將超過200 萬輛車子位置資訊公開在網路上，車上攝影機拍攝的影 像也曝險了將近 7 年。經其內部分析，事件主要原因在於對 員工的資料處理政策說明不夠徹底，導致雲端環境錯誤設定 所致。請問下列何項措施，最「不」能防止類似事件再次發 生？
(A) 強化員工教育訓練
(B) 定訂更明確之雲端資安政策
(C) 執行雲端弱點掃描
(D) 備份雲端環境設定

總結

雲端環境錯誤設定（Cloud Misconfiguration）往往源自人為疏失或政策不足，會導致資料長期曝露或服務中斷。事前的預防措施包括：強化員工教育訓練、訂定清晰的雲端資安政策，以及執行自動化的弱點掃描／配置檢測；這些手段可及早發現並修正設定錯誤。相較之下，「備份雲端環境設定」屬於事後的恢復機制，無法阻止錯誤設定或資料公開的初次發生，故最無法防止類似事件再次發生。

各選項解析

(A) 強化員工教育訓練

• 訓練可讓員工熟悉正確的雲端資源存取原則與最佳設定流程，降低因操作不當或誤點而造成公開存取的風險。

• 根據 Intrinsec 報告，持續的團隊訓練可有效預防至少五大常見雲端錯誤配置，包括開放式儲存桶與過度授權等問題。 (Intrinsec Security)

(B) 定訂更明確之雲端資安政策

• 明確的政策可界定「誰能對哪些資源做何種操作」、設定審核流程與稽核機制，作為後續所有雲端配置的基準。

• Zscaler 建議，企業應持續監控並稽核儲存桶與存取權限，並配合自動化的政策執行與事件回應，以減少人為誤配置。 (zscaler.com)

(C) 執行雲端弱點掃描

• 雲端弱點掃描工具不僅能檢測已知漏洞，也能揭露錯誤的存取控制與公開端點，並在設定異動時即時發出警示。

• 例如，CloudScale365 指出雲端弱點掃描可同時識別弱點與錯誤設定，並自動針對新暴露的資源觸發掃描與通報。 (CloudScale365)

(D) 備份雲端環境設定

• 備份機制主要聚焦在資料或設定遭意外刪除、破壞後的恢復，屬於事後回復手段。

• 根據 Cyber Protection Magazine，雖然備份對抗勒索軟體等威脅至關重要，但對於「防止初次設定錯誤導致資料曝露」並無幫助。 (Cyber Protection Magazine)

結論

四項措施中，唯有 (D) 備份雲端環境設定 屬於事後的恢復機制，無法阻止雲端設定錯誤或資料公開的初次發生，因此最「不」能防止類似事件再次發生。