Cloudflare 與 Mastercard 聯手防駭

Cloudflare 和 Mastercard 最近宣布合作。重點很直白：先找出暴露在網路上的資產，再評分風險，最後把防護動作接上去。說真的，這比很多安全簡報實際多了。

這件事會被關注，不是因為兩個大品牌站在一起。真正麻煩的是，很多組織根本不知道自己有哪些服務對外開著。等到攻擊者掃到漏洞，事情才開始痛。這次合作想把這個時間差縮短。

合作目標很明確。它鎖定中小企業、政府、還有關鍵基礎設施。這三類單位有個共同點：預算常常不夠，出事後卻很難補救。Cloudflare 會拿出它的 Application Security 能力和 Security Insights。Mastercard 則帶入 Recorded Future 與 RiskRecon 的風險情報與供應鏈視角。

這次合作要解什麼痛點

資安團隊最怕的，不是只有已知漏洞。更麻煩的是影子 IT、忘記下線的子網域、外包系統、舊主機。這些東西一個一個看起來不大，但加總起來就是攻擊面。攻擊者最愛這種地方，因為通常沒人盯。

講白了，很多公司不是沒有工具，是工具太散。掃描器掃到一個問題，威脅情報看到另一個訊號，真正負責修補的人卻在別的系統裡找半天。時間就這樣被吃掉。這次合作想把發現、評分、處置放到同一條流程裡。

這種設計對小團隊特別重要。很多公司沒有 24 小時 SOC，也沒有一整排分析師。你可以想像，一個 IT 人員同時管郵件、VPN、雲端、端點，還要處理主管臨時丟來的需求。這時候如果系統能先把高風險項目排好，真的省很多命。

• 先找出對外暴露的網域和軟體堆疊。
• 再把風險分數做成 A 到 F。
• 把漏洞、驗證弱點、第三方風險一起納入。
• 依資產重要性排序，先處理最危險的。

我覺得 A 到 F 這種分級很聰明。資安不是考試，不需要一堆原始數據把人淹死。很多主管只想知道，現在先救哪個。用簡單分數呈現，至少能讓非技術決策者看懂。

另外，這次合作也有商業上的味道。Cloudflare 想把安全控制放在邊緣網路上。Mastercard 則想把風險情報接得更近。兩邊其實都在賭一件事：安全產品如果能少一點摩擦，採用率就會高很多。

為什麼政府和關鍵基礎設施會在意

這次不是只做企業市場。政府、醫療、電力、交通、金融這些領域都在範圍內。原因很簡單，這些系統一旦出事，影響的不是單一公司，而是整個社會。停電、停水、服務中斷、民眾資料外洩，後果都很直接。

羅馬尼亞國家網路安全局局長 Dan Cimpean 的話很到位。他說，改善關鍵基礎設施的資安，是一項持續而艱難的任務。他也強調，公私部門和跨國合作都很重要，因為韌性不是單靠一家廠商就能做出來。

“Improving critical infrastructure cybersecurity and reducing cyber risk is an ongoing, challenging mission,” said Dan Cimpean, Director of the Romanian National Cyber Security Directorate. “As society and global economies increasingly rely on digital networks, we must combine our efforts across the public and private sectors, across nations and international organizations, to build resilience and prevent cyber incidents. The protection of critical infrastructure is and must be a joint effort.”

這段話不是官腔而已。政府機關常見的問題，是系統老、採購慢、權責切得很碎。你就算找到風險，也不一定能馬上修。這也是為什麼「先看見，再排序，再處置」會有吸引力。

Cloudflare 的 Stephanie Cohen 也講得很直白。她說，中小企業、關鍵基礎設施和政府，常常是 target rich but resource poor。這句話很毒，但很準。攻擊者不需要每個目標都脆弱，只要夠多目標沒有被好好管住就行。

和現有資安堆疊比起來差在哪

多數公司現在都有掃描器、防火牆、端點防護、雲端安全平台。問題是，這些工具通常各做各的。掃描器找到了暴露面，威脅情報知道有攻擊活動，修補團隊卻還在另一套工單系統裡等通知。這種斷點很常見。

Cloudflare 和 Mastercard 想做的，是把這條鏈接起來。先發現資產，再做風險評估，最後直接帶到防護控制。這種流程如果順，會少掉很多手動轉資料的時間。對資安團隊來說，少一個匯出 CSV 的步驟，都是好事。

更現實一點說，很多公司其實不缺報表，缺的是能立刻做事的介面。你可以掃出 500 個風險，但如果沒辦法知道哪 20 個最急，那報表就只是報表。這次合作把重點放在優先順序，方向是對的。

• 傳統做法：掃描器發現問題，分析師再驗證，另一隊最後修補。
• 這次做法：發現、評分、控制，盡量放在同一流程。
• 傳統做法：報表很多，但很難看出先後順序。
• 這次做法：用 A 到 F 和資產重要性來排序。
• 傳統做法：工具各自為政，資料常常對不起來。
• 這次做法：威脅情報、攻擊面監控、應用防護盡量串在一起。

不過我也會保留一點懷疑。自動化聽起來很帥，但資安裡最怕誤判。把錯的服務擋掉，業務就會來找你。把真的漏洞漏掉，攻擊者就會來找你。這種系統如果要好用，還是得保留人工覆核。

從市場角度看，這種合作也反映一個趨勢。廠商不再只賣單點工具，而是想把偵測、分析、控制包成一條線。對客戶來說，這代表整合壓力可能下降；對廠商來說，代表綁得更深。雙方都不傻。

這件事放在產業脈絡裡怎麼看

這類合作其實不是憑空冒出來。過去幾年，攻擊面管理、供應鏈風險、雲端安全、零信任，這些名詞一直在疊。原因很簡單，企業的系統越分散，管理就越難。遠端工作、SaaS、混合雲、外包服務，全部都在把邊界打散。

另一個背景是人力。資安人才缺口一直存在。很多公司不是不想做，而是做不動。你要有人看告警、有人管政策、有人修補、有人跟法遵溝通。當人手少到一個程度，工具就得幫忙做更多前置整理。

這也是為什麼「先看見暴露面」這件事很值錢。很多入侵不是靠高深技巧，而是靠你忘了關一個入口、忘了更新一個服務、或忘了下線一個測試環境。講白了，很多事故都不是電影級攻擊，而是管理失誤加上時間拖太久。

如果你在台灣做企業 IT，這個方向其實很有感。很多中型公司已經上雲，但資安流程還停在傳統時代。人不夠、系統多、分公司多、外包多，這些都會讓攻擊面膨脹。能把盤點、評分、修補縮成一個工作流，實用性就高。

接下來要看什麼

我會先看三件事。第一，這套能力會先落在哪些客戶。第二，A 到 F 的分數會不會真的被信任。第三，修補動作能不能真的跟現有環境接上，不要只是漂亮介面。

如果最後只是多一個儀表板，那意義有限。可如果它真的能幫一間銀行、一家醫院、或一個市政府，少花幾天找漏洞、少拖幾天修補，那就有價值了。資安很多時候拼的不是技術炫不炫，而是誰先把麻煩收斂。

我覺得這次合作最值得注意的地方，是它把「看見風險」和「處理風險」拉近了。這很務實，也很符合現在的市場需求。接下來就看產品化做得好不好。你如果在管雲端或資安，不妨先問自己一句：我們現在到底有多少對外暴露資產，是真的說得清楚嗎？