8. 在零信任架構下，若一個帳號憑證遭竊，下列何項機制最能降低駭客利用該憑證進行橫向移動？
(A) 使用靜態防火牆(Static Packet Filtering Firewall)規則
(B) 增加 DMZ(Demilitarized Zone)伺服器數量
(C) 啟用多因素驗證(Multi-factor authentication)
(D) 啟用 NAT(Network Address Translation)對應

答案：登入後查看
統計： A(3), B(8), C(79), D(4), E(0) #3671644

hiiii

B2 · 2025/12/06

#7204210

%E6%8A%95%E5%BD%B1%E7%89%877-1024x576.jpg

%E6%8A%95%E5%BD%B1%E7%89%876-1024x576.jpg 這道題目的正確答案是 (C) 啟用多因素驗證 (Multi-factor authentication)。

以下是針對 零信任架構 (Zero Trust Architecture, ZTA) 與 憑證遭竊 情境的詳細分析：

零信任架構的核心原則是**「永不信任，始終驗證 (Never Trust, Always Verify)」**。在零信任模型中，身分（Identity）是新的邊界。

當駭客已經竊取了使用者的帳號密碼（憑證）時，傳統的邊界防護（如防火牆）通常會將其視為「合法使用者」而放行。此時，最有效的防線就是要求額外的驗證。

(C) 啟用多因素驗證 (MFA)：
- 最有效。 即使駭客擁有了帳號和密碼（第一因子，Something you know），MFA 會強制要求第二種驗證因子（例如手機推播、硬體 Token、指紋等，Something you have/are）。
- 在零信任架構下，當使用者試圖存取不同資源（進行橫向移動）時，系統會持續進行身分驗證。駭客因為無法取得第二因子，即便手握密碼也無法通過驗證，從而無法登入其他系統進行移動。
(A) 使用靜態防火牆 (Static Packet Filtering Firewall) 規則：
- 效果有限。 靜態防火牆主要依賴 IP 和 Port 進行過濾。如果駭客使用的是合法使用者的憑證，並且是從允許的網段連線（例如透過 VPN 或已感染的內網電腦），防火牆會認為這是正常的業務流量而予以放行，無法識別出背後的操作者其實是攻擊者。
(B) 增加 DMZ (Demilitarized Zone) 伺服器數量：
- 無關。 DMZ 是用來隔離對外服務的區域。增加伺服器數量只是擴充規模，與防止內部憑證被濫用或橫向移動毫無關係。
(D) 啟用 NAT (Network Address Translation) 對應：
- 無關。 NAT 的主要功能是轉換 IP 位址，雖然能隱藏內部網路拓樸，但對於已經取得合法憑證且可能已經進入內網的攻擊者來說，NAT 並不具備阻擋能力。

結論：

針對「憑證遭竊」這一特定威脅，MFA 是阻斷攻擊鏈、防止駭客利用該憑證進一步滲透（橫向移動）的最關鍵控制措施。

正確答案：(C)