<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>7.R7 事故案例庫（可引用） on Tarragon</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/</link><description>Recent content in 7.R7 事故案例庫（可引用） on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Fri, 24 Apr 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/index.xml" rel="self" type="application/rss+xml"/><item><title>7.R7.M 案例引用地圖（服務主題 -> 案例 -> workflow）</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/case-reference-map/</link><pubDate>Fri, 24 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/case-reference-map/</guid><description>&lt;p>這份地圖的責任是提供雙向引用路由：服務設計可以從主題找到案例，incident workflow 可以從流程步驟回查案例證據。&lt;/p>
&lt;h2 id="認證與權限邊界">認證與權限邊界&lt;/h2>
&lt;p>這個主題處理身分入口、憑證信任鏈與高權限操作隔離。優先案例是 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/identity-access/uber-2022-mfa-fatigue/" data-link-title="7.R7.1.1 Uber 2022：MFA 疲勞與內部工具擴散" data-link-desc="從社交工程到內部工具存取，拆解身分流程與權限邊界的失效點">Uber 2022&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/identity-access/twilio-2022-social-engineering/" data-link-title="7.R7.1.3 Twilio 2022：社交工程與員工帳號路徑" data-link-desc="社交工程如何穿透員工身分流程，並影響下游客戶與供應鏈">Twilio 2022&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/identity-access/mgm-2023-identity-lateral-impact/" data-link-title="7.R7.1.4 MGM 2023：身分流程被打穿後的營運中斷" data-link-desc="社交工程造成身分邊界失守後，如何演變成可用性與營運衝擊">MGM 2023&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/identity-access/microsoft-storm-0558-2023-signing-key-chain/" data-link-title="7.R7.1.5 Microsoft Storm-0558 2023：簽章金鑰鏈與郵件存取" data-link-desc="從簽章金鑰保護失效到雲端郵件存取，拆解身分信任鏈的關鍵控制點">Storm-0558 2023&lt;/a>。&lt;/p>
&lt;p>workflow 檢查點：高風險操作 step-up、異常身分即時隔離、跨租戶權杖異常升級。對應流程章節：&lt;a href="https://tarrragon.github.io/blog/backend/08-incident-response/incident-report-to-workflow/" data-link-title="8.8 事故報告轉 workflow：從案例到日常流程" data-link-desc="把事故報告拆成可執行流程，並與 red-team 案例庫建立雙向引用">incident-report-to-workflow&lt;/a>。&lt;/p>
&lt;h2 id="第三方整合與-token">第三方整合與 token&lt;/h2>
&lt;p>這個主題處理供應商事件傳導與 token 收斂速度。優先案例是 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/supply-chain/github-oauth-2022-token-supply-chain/" data-link-title="7.R7.2.2 GitHub OAuth 2022：第三方 token 供應鏈風險" data-link-desc="第三方整合 token 被竊後，如何形成跨組織存取風險">GitHub OAuth 2022&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/identity-access/okta-cloudflare-2023-support-supply-chain/" data-link-title="7.R7.1.2 Okta &amp;#43; Cloudflare 2023：支援流程與身分供應鏈" data-link-desc="支援工單與第三方身份供應商路徑如何變成入侵鏈的一部分">Okta + Cloudflare 2023&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/identity-access/cloudflare-2023-okta-token-follow-through/" data-link-title="7.R7.1.6 Cloudflare 2023：供應商事件後的身分收斂" data-link-desc="同一條供應商事件鏈，如何在客戶端變成 session 與 token 的收斂壓力">Cloudflare 2023&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/identity-access/slack-2022-token-compromise/" data-link-title="7.R7.1.7 Slack 2022：企業 token 與程式碼資產路徑" data-link-desc="員工帳號被社交工程利用後，企業 token 與私有程式碼資產的防線如何運作">Slack 2022&lt;/a>。&lt;/p>
&lt;p>workflow 檢查點：第三方事件觸發全域 token 盤點、分域撤銷與輪替、供應商事件 playbook。對應流程章節：&lt;a href="https://tarrragon.github.io/blog/backend/08-incident-response/incident-report-to-workflow/" data-link-title="8.8 事故報告轉 workflow：從案例到日常流程" data-link-desc="把事故報告拆成可執行流程，並與 red-team 案例庫建立雙向引用">incident-report-to-workflow&lt;/a>。&lt;/p>
&lt;h2 id="cicd-與更新供應鏈">CI/CD 與更新供應鏈&lt;/h2>
&lt;p>這個主題處理 build 與更新信任鏈在事件中的凍結與恢復節奏。優先案例是 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/supply-chain/solarwinds-2020-sunburst/" data-link-title="7.R7.2.1 SolarWinds 2020：更新鏈被濫用" data-link-desc="合法更新流程遭植入後，攻擊者如何長期潛伏與橫向擴散">SolarWinds 2020&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/supply-chain/teamcity-cve-2023-42793-ci-entrypoint/" data-link-title="7.R7.2.5 TeamCity 2023：CI 入口漏洞與交付鏈風險" data-link-desc="CI 平台入口被利用後，如何沿著建置與發佈流程擴散供應鏈風險">TeamCity 2023&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/supply-chain/teamcity-2024-cve-27198-27199-auth-path-traversal/" data-link-title="7.R7.2.10 TeamCity 2024：CVE-2024-27198/27199 入口鏈" data-link-desc="TeamCity 連續漏洞揭示 CI 平台入口繞過與路徑穿越的供應鏈風險">TeamCity 2024&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/supply-chain/circleci-2023-secrets-rotation/" data-link-title="7.R7.2.3 CircleCI 2023：CI secrets 輪替壓力" data-link-desc="工程端點入侵後，CI 平台 secrets 如何成為高風險擴散點">CircleCI 2023&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/supply-chain/3cx-2023-desktopapp-supply-chain/" data-link-title="7.R7.2.8 3CX 2023：桌面軟體更新鏈攻擊" data-link-desc="合法更新流程被植入後，桌面端供應鏈事件如何傳到企業端點">3CX 2023&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/supply-chain/xz-backdoor-2024-open-source-supply-chain/" data-link-title="7.R7.2.4 XZ Backdoor 2024：開源供應鏈長期滲透" data-link-desc="開源維護鏈遭滲透後，為何會直接影響廣泛 Linux 發行流程">XZ 2024&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/supply-chain/log4shell-cve-2021-44228-component-chain/" data-link-title="7.R7.2.7 Log4Shell 2021：共用元件風險與修補鏈" data-link-desc="共用元件漏洞如何同步影響多服務，並迫使團隊建立依賴治理 workflow">Log4Shell 2021&lt;/a>。&lt;/p>
&lt;p>workflow 檢查點：部署凍結、artifact 驗證、分批輪替 secrets、版本回退與復測。對應流程章節：&lt;a href="https://tarrragon.github.io/blog/backend/08-incident-response/incident-report-to-workflow/" data-link-title="8.8 事故報告轉 workflow：從案例到日常流程" data-link-desc="把事故報告拆成可執行流程，並與 red-team 案例庫建立雙向引用">incident-report-to-workflow&lt;/a>。&lt;/p>
&lt;h2 id="workload-identity-與聯邦信任">Workload identity 與聯邦信任&lt;/h2>
&lt;p>這個主題處理非人類身份、跨平台 token 交換與短時憑證收斂。優先案例是 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/identity-access/okta-cloudflare-2023-support-supply-chain/" data-link-title="7.R7.1.2 Okta &amp;#43; Cloudflare 2023：支援流程與身分供應鏈" data-link-desc="支援工單與第三方身份供應商路徑如何變成入侵鏈的一部分">Okta + Cloudflare 2023&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/identity-access/cloudflare-2023-okta-token-follow-through/" data-link-title="7.R7.1.6 Cloudflare 2023：供應商事件後的身分收斂" data-link-desc="同一條供應商事件鏈，如何在客戶端變成 session 與 token 的收斂壓力">Cloudflare 2023&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/snowflake-2024-credential-abuse/" data-link-title="7.R7.4.2 Snowflake 2024：憑證濫用與資料竊取" data-link-desc="外洩憑證與 MFA 缺口如何在資料平台形成高風險外送事件">Snowflake 2024&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/supply-chain/github-oauth-2022-token-supply-chain/" data-link-title="7.R7.2.2 GitHub OAuth 2022：第三方 token 供應鏈風險" data-link-desc="第三方整合 token 被竊後，如何形成跨組織存取風險">GitHub OAuth 2022&lt;/a>。&lt;/p>
&lt;p>workflow 檢查點：workload 身份來源回查、federation trust 重評估、短時憑證撤銷、跨平台 token scope 收斂。對應流程章節：&lt;a href="https://tarrragon.github.io/blog/backend/08-incident-response/incident-report-to-workflow/" data-link-title="8.8 事故報告轉 workflow：從案例到日常流程" data-link-desc="把事故報告拆成可執行流程，並與 red-team 案例庫建立雙向引用">incident-report-to-workflow&lt;/a>。&lt;/p></description><content:encoded><![CDATA[<p>這份地圖的責任是提供雙向引用路由：服務設計可以從主題找到案例，incident workflow 可以從流程步驟回查案例證據。</p>
<h2 id="認證與權限邊界">認證與權限邊界</h2>
<p>這個主題處理身分入口、憑證信任鏈與高權限操作隔離。優先案例是 <a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/uber-2022-mfa-fatigue/" data-link-title="7.R7.1.1 Uber 2022：MFA 疲勞與內部工具擴散" data-link-desc="從社交工程到內部工具存取，拆解身分流程與權限邊界的失效點">Uber 2022</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/twilio-2022-social-engineering/" data-link-title="7.R7.1.3 Twilio 2022：社交工程與員工帳號路徑" data-link-desc="社交工程如何穿透員工身分流程，並影響下游客戶與供應鏈">Twilio 2022</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/mgm-2023-identity-lateral-impact/" data-link-title="7.R7.1.4 MGM 2023：身分流程被打穿後的營運中斷" data-link-desc="社交工程造成身分邊界失守後，如何演變成可用性與營運衝擊">MGM 2023</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/microsoft-storm-0558-2023-signing-key-chain/" data-link-title="7.R7.1.5 Microsoft Storm-0558 2023：簽章金鑰鏈與郵件存取" data-link-desc="從簽章金鑰保護失效到雲端郵件存取，拆解身分信任鏈的關鍵控制點">Storm-0558 2023</a>。</p>
<p>workflow 檢查點：高風險操作 step-up、異常身分即時隔離、跨租戶權杖異常升級。對應流程章節：<a href="/blog/backend/08-incident-response/incident-report-to-workflow/" data-link-title="8.8 事故報告轉 workflow：從案例到日常流程" data-link-desc="把事故報告拆成可執行流程，並與 red-team 案例庫建立雙向引用">incident-report-to-workflow</a>。</p>
<h2 id="第三方整合與-token">第三方整合與 token</h2>
<p>這個主題處理供應商事件傳導與 token 收斂速度。優先案例是 <a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/github-oauth-2022-token-supply-chain/" data-link-title="7.R7.2.2 GitHub OAuth 2022：第三方 token 供應鏈風險" data-link-desc="第三方整合 token 被竊後，如何形成跨組織存取風險">GitHub OAuth 2022</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/okta-cloudflare-2023-support-supply-chain/" data-link-title="7.R7.1.2 Okta &#43; Cloudflare 2023：支援流程與身分供應鏈" data-link-desc="支援工單與第三方身份供應商路徑如何變成入侵鏈的一部分">Okta + Cloudflare 2023</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/cloudflare-2023-okta-token-follow-through/" data-link-title="7.R7.1.6 Cloudflare 2023：供應商事件後的身分收斂" data-link-desc="同一條供應商事件鏈，如何在客戶端變成 session 與 token 的收斂壓力">Cloudflare 2023</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/slack-2022-token-compromise/" data-link-title="7.R7.1.7 Slack 2022：企業 token 與程式碼資產路徑" data-link-desc="員工帳號被社交工程利用後，企業 token 與私有程式碼資產的防線如何運作">Slack 2022</a>。</p>
<p>workflow 檢查點：第三方事件觸發全域 token 盤點、分域撤銷與輪替、供應商事件 playbook。對應流程章節：<a href="/blog/backend/08-incident-response/incident-report-to-workflow/" data-link-title="8.8 事故報告轉 workflow：從案例到日常流程" data-link-desc="把事故報告拆成可執行流程，並與 red-team 案例庫建立雙向引用">incident-report-to-workflow</a>。</p>
<h2 id="cicd-與更新供應鏈">CI/CD 與更新供應鏈</h2>
<p>這個主題處理 build 與更新信任鏈在事件中的凍結與恢復節奏。優先案例是 <a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/solarwinds-2020-sunburst/" data-link-title="7.R7.2.1 SolarWinds 2020：更新鏈被濫用" data-link-desc="合法更新流程遭植入後，攻擊者如何長期潛伏與橫向擴散">SolarWinds 2020</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/teamcity-cve-2023-42793-ci-entrypoint/" data-link-title="7.R7.2.5 TeamCity 2023：CI 入口漏洞與交付鏈風險" data-link-desc="CI 平台入口被利用後，如何沿著建置與發佈流程擴散供應鏈風險">TeamCity 2023</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/teamcity-2024-cve-27198-27199-auth-path-traversal/" data-link-title="7.R7.2.10 TeamCity 2024：CVE-2024-27198/27199 入口鏈" data-link-desc="TeamCity 連續漏洞揭示 CI 平台入口繞過與路徑穿越的供應鏈風險">TeamCity 2024</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/circleci-2023-secrets-rotation/" data-link-title="7.R7.2.3 CircleCI 2023：CI secrets 輪替壓力" data-link-desc="工程端點入侵後，CI 平台 secrets 如何成為高風險擴散點">CircleCI 2023</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/3cx-2023-desktopapp-supply-chain/" data-link-title="7.R7.2.8 3CX 2023：桌面軟體更新鏈攻擊" data-link-desc="合法更新流程被植入後，桌面端供應鏈事件如何傳到企業端點">3CX 2023</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/xz-backdoor-2024-open-source-supply-chain/" data-link-title="7.R7.2.4 XZ Backdoor 2024：開源供應鏈長期滲透" data-link-desc="開源維護鏈遭滲透後，為何會直接影響廣泛 Linux 發行流程">XZ 2024</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/log4shell-cve-2021-44228-component-chain/" data-link-title="7.R7.2.7 Log4Shell 2021：共用元件風險與修補鏈" data-link-desc="共用元件漏洞如何同步影響多服務，並迫使團隊建立依賴治理 workflow">Log4Shell 2021</a>。</p>
<p>workflow 檢查點：部署凍結、artifact 驗證、分批輪替 secrets、版本回退與復測。對應流程章節：<a href="/blog/backend/08-incident-response/incident-report-to-workflow/" data-link-title="8.8 事故報告轉 workflow：從案例到日常流程" data-link-desc="把事故報告拆成可執行流程，並與 red-team 案例庫建立雙向引用">incident-report-to-workflow</a>。</p>
<h2 id="workload-identity-與聯邦信任">Workload identity 與聯邦信任</h2>
<p>這個主題處理非人類身份、跨平台 token 交換與短時憑證收斂。優先案例是 <a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/okta-cloudflare-2023-support-supply-chain/" data-link-title="7.R7.1.2 Okta &#43; Cloudflare 2023：支援流程與身分供應鏈" data-link-desc="支援工單與第三方身份供應商路徑如何變成入侵鏈的一部分">Okta + Cloudflare 2023</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/cloudflare-2023-okta-token-follow-through/" data-link-title="7.R7.1.6 Cloudflare 2023：供應商事件後的身分收斂" data-link-desc="同一條供應商事件鏈，如何在客戶端變成 session 與 token 的收斂壓力">Cloudflare 2023</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/snowflake-2024-credential-abuse/" data-link-title="7.R7.4.2 Snowflake 2024：憑證濫用與資料竊取" data-link-desc="外洩憑證與 MFA 缺口如何在資料平台形成高風險外送事件">Snowflake 2024</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/github-oauth-2022-token-supply-chain/" data-link-title="7.R7.2.2 GitHub OAuth 2022：第三方 token 供應鏈風險" data-link-desc="第三方整合 token 被竊後，如何形成跨組織存取風險">GitHub OAuth 2022</a>。</p>
<p>workflow 檢查點：workload 身份來源回查、federation trust 重評估、短時憑證撤銷、跨平台 token scope 收斂。對應流程章節：<a href="/blog/backend/08-incident-response/incident-report-to-workflow/" data-link-title="8.8 事故報告轉 workflow：從案例到日常流程" data-link-desc="把事故報告拆成可執行流程，並與 red-team 案例庫建立雙向引用">incident-report-to-workflow</a>。</p>
<h2 id="邊界設備與外網入口">邊界設備與外網入口</h2>
<p>這個主題處理暴露面高與修補窗口短的組合風險。優先案例是 <a href="/blog/backend/07-security-data-protection/red-team/cases/edge-exposure/moveit-2023-mass-exfiltration/" data-link-title="7.R7.3.1 MOVEit 2023：外網檔案服務批量外送" data-link-desc="MFT 對外入口在零時差事件中如何被批量利用">MOVEit 2023</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/edge-exposure/ivanti-2024-vpn-chain/" data-link-title="7.R7.3.2 Ivanti 2024：CVE-2023-46805/2024-21887 VPN 邊界漏洞鏈" data-link-desc="多漏洞串接下，邊界設備事件如何轉為持續控制風險">Ivanti 2024</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/edge-exposure/panos-cve-2024-3400-edge-rce/" data-link-title="7.R7.3.4 PAN-OS 2024：邊界設備遠端命令執行" data-link-desc="邊界設備 RCE 事件如何迫使團隊在修補與營運可用性間快速取捨">PAN-OS 2024</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/edge-exposure/fortinet-ssl-vpn-cve-2024-21762/" data-link-title="7.R7.3.8 Fortinet SSL-VPN 2024：邊界 VPN 高風險窗口" data-link-desc="VPN 邊界漏洞發生時，入口隔離與修補節奏需要同時啟動">Fortinet SSL-VPN 2024</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/edge-exposure/fortinet-cve-2023-27997-sslvpn-overflow/" data-link-title="7.R7.3.21 Fortinet 2023：CVE-2023-27997 SSL-VPN 溢位" data-link-desc="SSL-VPN 漏洞在邊界設備上會放大大規模掃描與利用速度">Fortinet 2023（27997）</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/edge-exposure/citrix-cve-2023-3519-code-injection/" data-link-title="7.R7.3.18 Citrix 2023：CVE-2023-3519 邊界代碼注入" data-link-desc="NetScaler 邊界入口代碼注入事件揭示管理平面快速失守風險">Citrix 2023（3519）</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/edge-exposure/f5-bigip-cve-2023-46747-auth-bypass/" data-link-title="7.R7.3.19 F5 BIG-IP 2023：CVE-2023-46747 認證繞過" data-link-desc="BIG-IP 組態管理入口認證繞過如何放大邊界設備治理壓力">F5 BIG-IP 2023</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/edge-exposure/proxylogon-2021-exchange-entry-chain/" data-link-title="7.R7.3.13 ProxyLogon 2021：CVE-2021-26855/27065 入口鏈式失效" data-link-desc="郵件系統入口漏洞被串接利用時，事件會迅速擴大到內部服務邊界">ProxyLogon 2021</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/edge-exposure/proxyshell-2021-exchange-post-auth-chain/" data-link-title="7.R7.3.14 ProxyShell 2021：CVE-2021-34473/34523/31207 後續鏈式攻擊" data-link-desc="同類入口平台在後續漏洞波次中，如何建立持續修補與驗證機制">ProxyShell 2021</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/edge-exposure/citrix-adc-2023-follow-on-session-risk/" data-link-title="7.R7.3.16 Citrix ADC 後續事件：Session 重放延伸" data-link-desc="同一波邊界事件在後續通報階段，重點轉為會話與憑證收斂">Citrix 後續事件</a>。</p>
<p>workflow 檢查點：漏洞公告即隔離、分區修補、修補後狀態驗證、session 或憑證全域收斂。對應流程章節：<a href="/blog/backend/08-incident-response/incident-report-to-workflow/" data-link-title="8.8 事故報告轉 workflow：從案例到日常流程" data-link-desc="把事故報告拆成可執行流程，並與 red-team 案例庫建立雙向引用">incident-report-to-workflow</a>。</p>
<h2 id="資料外送與營運回復">資料外送與營運回復</h2>
<p>這個主題處理資料外送與營運停擺同步發生時的決策順序。優先案例是 <a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/snowflake-2024-credential-abuse/" data-link-title="7.R7.4.2 Snowflake 2024：憑證濫用與資料竊取" data-link-desc="外洩憑證與 MFA 缺口如何在資料平台形成高風險外送事件">Snowflake 2024</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/lastpass-2022-backup-chain/" data-link-title="7.R7.4.1 LastPass 2022：備份路徑與鏈式入侵" data-link-desc="開發環境資訊外流如何沿著備份路徑擴大成資料風險">LastPass 2022</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/progress-wsftp-2023-file-service-breach/" data-link-title="7.R7.4.6 Progress WS_FTP 2023：檔案服務入口與資料外送" data-link-desc="對外檔案服務漏洞在企業環境常直接轉為資料外送風險">WS_FTP 2023</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/goanywhere-mft-2023-exfiltration-chain/" data-link-title="7.R7.4.7 GoAnywhere MFT 2023：傳輸中樞被利用的外送鏈" data-link-desc="MFT 中樞服務漏洞會把檔案交換流程直接轉成資料外送風險">GoAnywhere 2023</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/vmware-esxiargs-2023-ransomware-recovery-pressure/" data-link-title="7.R7.4.5 VMware ESXiArgs 2023：虛擬化平台勒索回復壓力" data-link-desc="虛擬化平台漏洞被利用後，回復策略與營運連續性會面臨同步壓力">VMware ESXiArgs 2023</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/change-healthcare-2024-ops-impact/" data-link-title="7.R7.4.3 Change Healthcare 2024：資料事件轉為營運中斷" data-link-desc="醫療支付中樞事件如何同時衝擊資料安全與業務連續性">Change Healthcare 2024</a>。</p>
<p>workflow 檢查點：外送封鎖、受影響清單盤點、RTO/RPO 路由、回復優先級排序與跨組織通報。對應流程章節：<a href="/blog/backend/08-incident-response/incident-report-to-workflow/" data-link-title="8.8 事故報告轉 workflow：從案例到日常流程" data-link-desc="把事故報告拆成可執行流程，並與 red-team 案例庫建立雙向引用">incident-report-to-workflow</a>。</p>
<h2 id="資料駐留刪除與證據鏈">資料駐留、刪除與證據鏈</h2>
<p>這個主題處理資料位置、刪除閉環、備份長尾與可驗證證據。優先案例是 <a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/lastpass-2022-backup-chain/" data-link-title="7.R7.4.1 LastPass 2022：備份路徑與鏈式入侵" data-link-desc="開發環境資訊外流如何沿著備份路徑擴大成資料風險">LastPass 2022</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/snowflake-2024-credential-abuse/" data-link-title="7.R7.4.2 Snowflake 2024：憑證濫用與資料竊取" data-link-desc="外洩憑證與 MFA 缺口如何在資料平台形成高風險外送事件">Snowflake 2024</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/progress-wsftp-2023-file-service-breach/" data-link-title="7.R7.4.6 Progress WS_FTP 2023：檔案服務入口與資料外送" data-link-desc="對外檔案服務漏洞在企業環境常直接轉為資料外送風險">WS_FTP 2023</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/change-healthcare-2024-ops-impact/" data-link-title="7.R7.4.3 Change Healthcare 2024：資料事件轉為營運中斷" data-link-desc="醫療支付中樞事件如何同時衝擊資料安全與業務連續性">Change Healthcare 2024</a>。</p>
<p>workflow 檢查點：資料位置清單、衍生資料刪除驗證、備份保留例外、刪除證據與通報證據對齊。對應流程章節：<a href="/blog/backend/08-incident-response/incident-report-to-workflow/" data-link-title="8.8 事故報告轉 workflow：從案例到日常流程" data-link-desc="把事故報告拆成可執行流程，並與 red-team 案例庫建立雙向引用">incident-report-to-workflow</a>。</p>
<h2 id="偵測治理與例外-tripwire">偵測治理與例外 tripwire</h2>
<p>這個主題處理偵測覆蓋、訊號關聯、例外期限與重新評估觸發器。優先案例是 <a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/uber-2022-mfa-fatigue/" data-link-title="7.R7.1.1 Uber 2022：MFA 疲勞與內部工具擴散" data-link-desc="從社交工程到內部工具存取，拆解身分流程與權限邊界的失效點">Uber 2022</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/snowflake-2024-credential-abuse/" data-link-title="7.R7.4.2 Snowflake 2024：憑證濫用與資料竊取" data-link-desc="外洩憑證與 MFA 缺口如何在資料平台形成高風險外送事件">Snowflake 2024</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/edge-exposure/panos-cve-2024-3400-edge-rce/" data-link-title="7.R7.3.4 PAN-OS 2024：邊界設備遠端命令執行" data-link-desc="邊界設備 RCE 事件如何迫使團隊在修補與營運可用性間快速取捨">PAN-OS 2024</a>、<a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/xz-backdoor-2024-open-source-supply-chain/" data-link-title="7.R7.2.4 XZ Backdoor 2024：開源供應鏈長期滲透" data-link-desc="開源維護鏈遭滲透後，為何會直接影響廣泛 Linux 發行流程">XZ 2024</a>。</p>
<p>workflow 檢查點：高風險訊號關聯、例外到期重審、重大事件 tripwire、復盤後偵測覆蓋率修正。對應流程章節：<a href="/blog/backend/08-incident-response/incident-report-to-workflow/" data-link-title="8.8 事故報告轉 workflow：從案例到日常流程" data-link-desc="把事故報告拆成可執行流程，並與 red-team 案例庫建立雙向引用">incident-report-to-workflow</a>。</p>
<h2 id="使用規則">使用規則</h2>
<ol>
<li>每個服務主題至少引用一篇同類型案例。</li>
<li>每次引用至少帶出一個可操作 workflow 檢查點。</li>
<li>每個 runbook 變更都回寫到對應案例與 workflow 章節，維持雙向可追溯。</li>
</ol>
]]></content:encoded></item></channel></rss>