2020年重大資訊安全案例解析，包含企業資料外洩與勒索病毒事件，並提供防護措施、政策制定與漏洞修補的完整指南，協助企業建立有效的資安防護機制。

2020 年重大資訊安全案例回顧

SolarWinds 供應鏈攻擊事件

2020 年最具影響力的資訊安全案例莫過於 SolarWinds 供應鏈攻擊。俄羅斯駭客組織 APT29（Cozy Bear）成功入侵 SolarWinds Orion 平台，植入惡意後門程式 Sunburst，透過合法的軟體更新管道滲透全球數千家企業與政府機構，包含美國多個聯邦機構。這起事件揭示了供應鏈安全的嚴重盲點，促使各國政府與企業重新審視第三方軟體的安全管控機制。

Twitter 名人帳號遭駭事件

2020 年 7 月，Twitter 遭受有史以來規模最大的社交平台攻擊：多位知名人士（包含比爾蓋茲、馬斯克、歐巴馬等）的帳號同時被駭客接管，發布詐騙比特幣內容。調查顯示此事件源於攻擊者透過社交工程手法說服 Twitter 員工提供管理工具存取權，暴露了企業內部存取控制的管理漏洞，以及員工教育訓練的重要性。

企業資料外洩的常見原因與防護

內部威脅與存取控制不當

資訊安全案例 2020 中，內部威脅仍是資料外洩的重要成因之一。員工疏失、惡意內部人員、或離職員工的帳號未及時停用，都可能造成嚴重的資料外洩。企業應實施最小權限原則（Principle of Least Privilege），定期審查存取權限，並部署使用者行為分析（UEBA）工具，即時偵測異常存取行為。

外部攻擊與漏洞利用

SQL 注入、XSS 跨站腳本攻擊、未修補的系統漏洞等，仍是 2020 年資訊安全案例中外部攻擊的主要管道。企業應建立定期漏洞掃描與滲透測試機制，採用 WAF（Web 應用防火牆）過濾惡意請求，並確保所有系統與第三方套件保持最新版本。DevSecOps 的導入能讓安全測試融入開發流程，從源頭降低漏洞風險。

資安政策制定與事件應變

建立完善的資安政策框架

從 2020 年資訊安全案例可以看出，缺乏完善資安政策的企業在面對攻擊時往往措手不及。建議企業參考 ISO 27001 或 NIST CSF 等國際框架，制定涵蓋資料分類、存取控制、事件應變、員工教育等面向的全面資安政策。政策需定期審查並隨威脅演進更新，以確保其時效性與有效性。

資安事件應變計畫（CSIRP）

面對日益複雜的資安威脅，企業必須預先制定詳細的資安事件應變計畫（Computer Security Incident Response Plan）。完善的 CSIRP 應包含：事件識別與分級、遏制（Containment）與根除（Eradication）策略、證據保全程序、對外通報機制（包含監管機關通報要求），以及事後復原與改善計畫。定期演練確保計畫的可執行性。

常見問題 Q&A

Q1：2020 年最嚴重的資料外洩事件是哪些？

2020 年重大資料外洩事件包含：SolarWinds 供應鏈攻擊（影響數千個組織）、Marriott 國際酒店 520 萬筆客戶資料外洩、CAM4 成人平台 108 億筆記錄外洩，以及 Twitter 名人帳號遭駭事件。

Q2：企業應如何預防類似 SolarWinds 的供應鏈攻擊？

應強化第三方供應商安全評估、要求軟體物料清單（SBOM）、導入零信任架構、對所有網路流量進行深度檢測，以及建立軟體更新的完整性驗證機制。

Q3：發現資料外洩後企業應採取哪些立即行動？

立即隔離受影響系統、啟動 CSIRP、保全證據、通知高階管理層與法律顧問，並依相關法規（如 GDPR）的時限要求向監管機關通報，同時評估是否需通知受影響的當事人。