NIST

主動關心資安議題的企業主增加了,即使是過往不受約束的產業也能感受迫切性,原因在於更多的重大事件發生、更嚴峻的法規、更精實的稽查標準所致。2023年10月公布「數位經濟相關產業個人資料檔案安全維護管理辦法」即引發數位黏著度高的產業族群關注,究竟資安該怎麼做才好?

孫子兵法提到:「善戰者,先為不可勝,以待敵之可勝」,意思是說真正善於作戰的人,會先懂得規畫自己,讓自己成為不可被戰勝(立於不敗)的狀態。不過,資安是個涵蓋層面廣且專業複雜的綜合科學,加上迭代更新的速度快,造成資安門檻極高,而「資安框架」就是依據如此概念所發展而成的解法,是由一群有經驗的專家們有共識設計出的成功指南。這就像你如果想挑戰喜馬拉雅山攻頂,沒有比參照成功攻頂的一群專家所提出的方法更可靠。

許多成熟好用的資安框架,其實都是屬於通用型態的好方法,而且不限於特定產業、單位規模、環境類型,像是NIST CSF、ISO 27001、CIS、CDM、TaSM、MITRE ATT&CK等,企業更可以評量自身狀態,設計不同階段的資安成長規畫,並且透過資安框架幫助,使企業將複雜的資安防護與管理機制變成清楚有條理的「設計藍圖」,從而完成可成功推展執行的資安戰略。

以下我們將從企業該如何規畫資安策略、選擇需要的資安技術方案、以及建立攻擊向量等觀點,說明「謀定」而「後動」的具體做法。

企業資安的建構可利用各個不同特性的資安框架,並且搭配PDCA循環式管理,持續精進企業資安,如此一來,將有助於企業資安的成熟度不斷提升。圖片來源/黃繼民

Lesson One:打造企業資安基礎的最佳藍圖

NIST CSF是目前世界各國使用率最高的資安框架,由美國國家標準暨技術研究院(NIST)設計提出的資安框架Cybersecurity Framework(CSF),於2014年發布。NIST這個單位在資安領域有許多的貢獻,包括CSF資安框架,以及知名的SP 800系列各種規範指南,世界各國政府制定資安政策時,也依據NIST CSF及SP 800系列來規畫。

NIST CSF資安框架的設計,是參考多種主要的資安標準與方法、集大成的最佳結果,因此CSF所提出的方法不只脈絡清楚、內容也更容易理解,加上能與其他的國際網路安全標準及資安框架彼此相容,例如:ISO 27001、CIS、COBIT,以及工控系統安全標準ISA 62443等,這點也是NIST CSF資安框架是最被推薦的資安藍圖的原因。

目前NIST CSF 1.1是最普遍的版本,將資安任務分成五大主要功能:識別、保護、偵測、響應、復原,再往下展開各個功能的任務項目。而透過這五大功能,可以設計能幫助企業資安策略的規畫,促使其更有邏輯脈絡,並且可以進一步參照ISO 27001、ISO 27002、或是CIS的規範來設定資安政策辦法,套用PDCA持續性的管理及精進,從而能夠不斷提升企業資安成熟度。

在2024年3月正式公布最新版的NIST CSF 2.0當中,額外新增了「治理」成為六大主要功能,強調企業組織的管理層參與資安治理,以及資安策略的重要性,而且ISO國際標準組織也正式將此NIST CSF五大功能的防禦概念,放入ISO/IEC 27002:2022資訊安全、網路安全及隱私保護的控制措施中,使企業組織能夠有更具體的規範描述可依循。

SANS Institute發布的一項研究發現,採用安全框架的組織中有近74%使用NIST CSF,幾乎是其他框架的兩倍。圖片來源/Expel

善選資安防護技術方案,建立有效的佈防設計

在建構資安的做法上,許多企業經常先想到採買資安設備或取得資安證照,但往往造成資安幻覺(就像目前生成式AI給出的內容經常被質疑的AI幻覺),而透過有方法的構思部署,能夠將幻覺變成更實際的幫助,根據我的觀察與研究,OWASP CDM及TaSM這二個資安防護矩陣,就是最佳的方法。

企業在藉由NIST CSF規畫出資安藍圖後,當然需要資安裝備跟執行控制來施作實踐,不過在面對資安攻擊威脅的多樣化及複雜性,加上市場上琳琅滿目的各種資安防護技術方案,即使是內行的資安人員也會產生選擇障礙。有鑒於此,OWASP CDM及TaSM的設計產生,便是為了幫助評估思索的資安框架,這二個資安框架都隸屬OWASP組織,也是基於NIST CSF為基底所衍生的5x5矩陣框架,目的接為幫助使用者快速建立有系統脈絡、能化繁為簡的思索方法,幫助使用者從不同的需求層面,思索有哪些資安技術方案能滿足需要,並且可發揮適當防護效果,也能作為檢視需補強缺口的部分。

OWASP CDM(Cyber Defense Matrix)

OWASP CDM網絡防禦矩陣,是2016年在美國銀行擔任首席安全科學家Sounil Yu提出的5x5的網格矩陣,在第一維度橫軸,是以涵蓋NIST CSF的五大功能為基礎,而在第二維度的縱軸項目,則是以設備裝置、應用程式、網路、資料、及人員等五個資產類別。

在這個由二維結構組成的矩陣圖中,能幫助我們將所想要保護的資產類別先定義出來,再逐一從識別、保護、偵測、響應,以及復原等五大資安框架進行盤點,思考各項資產需要的資安技術方案;CDM方法的操作方式不只可以從資產層面的需求出發,也可以反過來從各位所研擬出的各種資安政策、須遵循的規範,或針對市場上的資安技術方案層面思索。

OWASP TaSM(Threat and Safeguard Matrix)

OWASP TaSM威脅與保護矩陣,是以「行動」面向的檢視方法,由資安專家G Mark Hardy和Ross Young發起,目的是幫助CISO對於企業商務營運擬定合適、需要的縱深防禦計畫。

基本上,TaSM也是同樣採用NIST CSF的五大功能為基礎所設計出來的5x5網格矩陣,但更是從面對威脅(Threat)所需的安全保護(Safeguard)而構建出的二維矩陣方法。

在第一維度的橫軸,TaSM以涵蓋了NIST CSF的五大功能以及安全防護為主;第二維度的橫軸則是從資安威脅為面向,例如企業最常遭遇的Web應用程式攻擊、網路釣魚、第三資料遺失、供應鏈攻擊、以及DDoS阻斷服務攻擊等。

有鑒於任何一種保護技術方案的選擇與導入都需要付出成本(包括經費、時間、人力、資源),因此,如何將寶貴、有限的資源,以有效率的方式,依據企業的狀態及資安策略進行合適的防護建立,並且發揮效果;最重要的是,避免「聽說、跟風、不知所以然」的瞎選方式。

在2024年3月正式公布NIST CSF 2.0新版本,從之前CSF 1.1的五大功能重新定義發展成CSF 2.0的六大功能,而且在原本的五大功能:識別(Identify)、保護(Protect)、偵測(Detect)、響應(Respond)、復原(Recover),再新增第六功能:治理(Govern),藉此強調企業資安治理與策略的重要性。圖片來源/NIST

面對攻擊來襲,你更需要攻擊向量視角

前面我們提到分別從設計企業資安策略的NIST CSF開始,以及如何選取合適企業資安防護方案的OWASP CDM與TaSM,都是屬於為了建構企業資安的準備,而且,這一切的準備都是為了面對攻擊來犯。

企業必須先建立「遭受資安攻擊是不可避免」的心態概念,因此,如何趕緊察覺攻擊來犯的蛛絲馬跡,是防範未然跟避免災損的最佳方法,但是困擾大家的問題是:看不出、也看不懂發生什麼資安攻擊?雖然資安攻擊的手法複雜,但是仍然有施展的過程與跡象可以被觀察出來,例如,早年有「網絡攻擊鏈(Cyber Kill Chain)」可用來描繪關於企業遭遇攻擊入侵的過程階段,到了近幾年以來,資安領域最為推崇MITRE ATT&CK Framework提出的方法。

MITRE ATT&CK全名為MITRE Adversarial Tactics Techniques and Common Knowledge,是由非營利組織MITRE所提出、持續維護的資安框架,它主要是從駭客角度針對網絡攻擊入侵進行分類和說明的指南,ATT&CK框架發布於2015年,是現今最主要作為檢視資安攻擊活動的攻擊戰術、攻擊技術以及攻擊模式的知識庫,並且不斷地被持續更新。

我們可以將MITRE ATT&CK視為一種描繪資安攻擊活動的共通語言,有助於入侵手法的描述、分類和理解威脅行為上,能有一套共通標準。MITRE ATT&CK將入侵流程定義成14個戰術(Tactic),包括:偵查、資源開發、初步訪問、執行惡意程式碼、持續性控制、權限提升、防禦規避、憑證存取、探查環境、橫向移動、資料收集,以及事件發生(命令與控制、洩漏及影響)等,並且描述每個戰術所採取的技術(Technique)及程序(Procedure),提供結構化的方法,有助於資安專業人員更好理解與判讀威脅行為。

順道一提,MITRE ATT&CK可以與NIST CSF的偵測與響應之間,進行相互策略應用搭配,企業以NIST CSF制訂資安策略需要的具體評量指標,便可利用MITRE ATT&CK來設定。

此外,企業在利用OWASP CDM或TaSM,進行所需資安防護技術方案的評選時,也可以檢視該項防護技術方案是否具備或支援MITRE ATT&CK的情報內容,例如,現今的XDR技術技術方案便是一種,有助於企業面臨資安威脅時,能夠快速展開攻擊視角來掌握整體情況,並且可以迅速展開準確的防禦行動應變。

目前隸屬於OWASP的 CDM及TaSM,都是幫助評估資安策略所需的保護方案,大家可將不同威脅套用到這兩種框架中,思索相關保護方法。圖片來源/OWASP

資安威脅是無限賽局,善用方法才是破解之道

資安威脅是場無限賽局,隨著各種新型的數位科技問世,往往都是攻擊方會取得先機,而防守方的企業則經常處於被動應對的狀態,因此,企業的資安防護想要搶佔先機,就必須採取更睿智聰明的方法。對此,我想再次引用孫子兵法所提到的「上兵伐謀」,企業資安策略與防護的重點在於:能夠有效率地破除駭客攻擊的計謀與手段,最不需要的是跟駭客團體進行軍武競賽,因為,將寶貴資源用在企業競爭力更值得。

隨著數位化的爆發式發展,「數位信任(Digital Trust)」勢必將成為數位世代的重要指標,我們無法預期未來的數位是否能發展出電影第一玩家,或駭客任務的模式,然而,已知與未知型態的資安攻擊卻對數位信任造成衝擊。

借用BSI數位信任專家Mark Brown在<數位信任新紀元>一文所言,「數位信任」並非網路安全的新鮮詞,但其內容涵蓋會影響客戶、使用者,以及和利害關係人對於企業信任的諸多因素,企業唯有仰賴資安才能順利運作並獲得完善保護。資安是建立數位信任的關鍵要素,更是刻不容緩的任務,懂得善用方法,才是建立企業資安最睿智聰明的上上策。文⊙懷生數位處長黃繼民

 本文出自《CYBERSEC 2024 臺灣資安年鑑》

熱門新聞

Advertisement