網絡保險續保要求「全面 MFA」，但舊伺服器不支援怎麼辦？

隨著勒索軟件攻擊日益頻繁，保險公司在處理網絡保險（Cyber Insurance）續保時，審核條件變得極其嚴苛。現在，「全面實施多因素認證（MFA on Everything）」幾乎已成為保費報價的底線要求。然而，對於許多 IT 管理者來說，現實環境中總有一兩台運行關鍵業務的「舊伺服器（Legacy Server）」，其作業系統或軟件架構根本無法原生支援 MFA。

面對續保問卷上那題必答的「是否所有存取都已實施 MFA？」，IT 經理往往陷入兩難：勾選「否」可能導致保費飆升甚至被拒保，但勾選「是」若日後發生事故，保險公司可能以欺詐為由拒絕賠償。本文將解析如何透過「補償性控制措施」，在不更換舊系統的情況下滿足保險公司的安全要求。

保險公司的底線：為什麼他們對 MFA 如此執著

從保險公司的角度來看，超過 80% 的網絡入侵都與身份憑證被盜有關。如果你的環境中存在任何一個不需要 MFA 就能登入的入口，黑客就能以此為跳板，在你的內網中橫向移動並發動大規模攻擊。

因此，保險公司關心的不僅僅是你的雲端郵件或 VPN，他們更在意那些擁有高權限的伺服器存取。即便那只是一台運行了十幾年、無法更新的 Windows Server 2008，只要它連接著網絡，它就是整個企業防線中的一個致命破口。這就是為什麼續保問卷會將「全面 MFA」列為關鍵指標的原因。

千萬不要在問卷上撒謊：誠實申報的重要性

在壓力之下，有些企業可能會選擇在問卷上含糊其辭，或者將未實施 MFA 的舊伺服器隱藏不報。這是一個極其危險的決定。網絡保險的本質是建立在「最大誠信原則」之上。

如果在理賠調查過程中，保險公司的資安專家發現黑客是透過一個你聲稱「已受 MFA 保護」但實際上卻沒有的舊系統入侵的，保險公司完全有權宣布保單無效，並拒絕支付任何賠償金。對於 IT 管理者而言，誠實填寫並提供「補償性方案」說明，才是最專業且最安全的做法。

補償性控制：無法直接實施 MFA 時的技術替代方案

當舊伺服器無法直接安裝 MFA 軟件時，保險公司通常接受「補償性控制（Compensating Controls）」。這意味著你雖然沒有在該伺服器上安裝 MFA，但你在其前端或周邊建立了一層同等強度的保護。

第一個常用的方案是「堡壘機或跳板機（Jump Server）」。你可以將舊伺服器移入一個完全隔離的網絡網段（VLAN），並規定任何人都不能直接登入該伺服器。所有管理員必須先登入一個支援強效 MFA 的跳板機，通過驗證後才能遠端操作舊系統。這在邏輯上達到了「存取行為受 MFA 保護」的效果。

第二個方案是實施「微隔離與網絡存取控制（NAC）」。透過嚴格的防火牆規則，將存取舊伺服器的權限限制在極少數特定的 IP 地址上，並且要求這些來源裝置本身必須經過嚴格的身份驗證。如果能配合虛擬補丁（Virtual Patching）來防範該舊系統已知漏洞，保險公司通常會認可這種組合方案的有效性。

引入第三方 MFA 代理解決方案

如果保險公司堅持要看到伺服器層級的保護，IT 團隊可以考慮採用一些專門為舊系統設計的第三方 MFA 代理解決方案（如 Silverfort 或 Duo 的特定組件）。

這些方案的特點在於，它們不需要在每一台舊伺服器上安裝繁重的軟件。相反，它們攔截底層的身份認證協定（如 NTLM 或 Kerberos），在驗證過程中加入一個 MFA 確認步驟。這種方式可以讓原本不支持 MFA 的 Windows 舊版本或特定工業控制系統，在不改動代碼或系統架構的情況下，瞬間具備多因素認證的能力。

制定清晰的系統退役或更新計劃

除了技術補救措施，保險公司也非常看重企業的「安全改進承諾」。在續保文件中，如果你能附上一份清晰的「舊系統退役或遷移計劃（Decommissioning Plan）」，說明公司預計在未來 12 到 18 個月內如何逐步淘汰這些無法合規的設備，這將極大地增加你的說服力。

網絡安全是一個持續改進的過程。保險公司更願意承保那些了解自身短板並有積極計劃去改善的企業。結合補償性控制措施與清晰的更新路線圖，你不僅能順利通過續保審核，還能將保費維持在一個合理的水平，同時真正提升企業的抗風險能力。

強化企業安全 ????️ 立即行動

UD 是值得信賴的託管安全服務供應商（MSSP）
擁有 20+ 年經驗，已為超過 50,000 家企業提供解決方案
涵蓋滲透測試、漏洞掃描、SRAA 等全方位網絡安全服務，全面保護現代企業。