客戶遭駭後僅更換密碼與重建 Instance 的傳統做法，在缺乏完整IR流程時完全失效。駭客透過原始漏洞快速奪回控制權，直至客戶發現資料庫遭竊取後啟動全面調查，才驚覺所有關鍵主機早已被植入後門。這究竟如何發生？該如何從架構設計降低風險？更發現高權限帳號竟出現 MFA 異常登入紀錄，又該如何強化防護？

本場次將以真實 AWS IR 案例切入，示範如何運用日誌分析與雲端原生資安服務：

攻擊軌跡重建：透過 CloudTrail/GuardDuty 及 Cloud Forensics 追蹤橫移路徑

權限管控盲點：解析 IAM 角色過度授權如何形成持久攻擊

MFA 防護實戰：剖析 MFA 繞過手法

零信任架構實踐：如何設計利用零信任的概念：What you know，來防禦更高級的 APT 雲端駭客