6. 若要在網路層面降低駭客橫向移動風險，最適合的設計是下列何項？
(A) 啟用 VPN(Virtual Private Network)加密流量
(B) 增加 DMZ(Demilitarized Zone)伺服器數量
(C) 使用 IDS(Intrusion Detection System)偵測可疑封包
(D) 採用網路分段(Network Segmentation)將整體網路劃分為多個較小的子網路或區域

答案：登入後查看
統計： A(6), B(7), C(10), D(62), E(0) #3671642

hiiii

B2 · 2025/12/06

#7204201

這道題目的正確答案是 (D) 採用網路分段 (Network Segmentation) 將整體網路劃分為多個較小的子網路或區域。

以下是針對各選項在「降低橫向移動（Lateral Movement）」效果上的詳細分析：

駭客入侵成功後，通常不會只停留在第一台受駭主機（例如某位員工的電腦），而是會以此為跳板，在內網中四處探索，尋找更高價值的目標（如資料庫、AD 伺服器）。這就是橫向移動。

(D) 採用網路分段 (Network Segmentation)：

* 原理：將一個大平面的網路（Flat Network）切分成許多獨立的小區塊（VLANs / Subnets），並在區塊之間設置防火牆或存取控制清單（ACL）。

* 效果：這就像船艙的水密隔艙設計。當駭客攻陷其中一個網段（例如員工 Wi-Fi 區），他會發現通往其他關鍵網段（例如財務伺服器區）的連線是被防火牆阻擋的。這能物理性地限制攻擊範圍，是防禦橫向移動最有效且基礎的架構設計。

(A) 啟用 VPN (Virtual Private Network) 加密流量：
- 效果：VPN 主要用於保護「傳輸過程」不被竊聽，以及驗證遠端使用者的身分（南北向流量）。對於駭客已經進入內網後的「東西向」移動，單純的 VPN 加密並無法起到阻擋作用。
(B) 增加 DMZ (Demilitarized Zone) 伺服器數量：
- 效果：DMZ 是用來隔離「對外服務」與「內部網路」的區域。單純增加 DMZ 裡的伺服器數量並不會提升安全性，反而可能增加攻擊面。重點在於 DMZ 與內網之間的隔離策略（這其實也是一種分段），而非數量。
(C) 使用 IDS (Intrusion Detection System) 偵測可疑封包：
- 效果：IDS 的功能是「偵測」與「告警」，就像裝了監視器。它能告訴你有人在移動，但它本身通常不具備「阻擋」功能（那是 IPS 的工作）。且若駭客使用正常的管理工具（如 PowerShell, RDP）進行移動（Living off the Land 攻擊），傳統 IDS 很容易被繞過。相比之下，網路分段是結構性的阻擋。

結論：

要從架構上限制駭客在內網亂竄，最直接的解法就是透過 (D) 網路分段 建立隔離邊界。