謀定而後動，善用資安框架是上上策

主動關心資安議題的企業主增加了，即使是過往不受約束的產業也能感受迫切性，原因在於更多的重大事件發生、更嚴峻的法規、更精實的稽查標準所致。2023年10月公布「數位經濟相關產業個人資料檔案安全維護管理辦法」即引發數位黏著度高的產業族群關注，究竟資安該怎麼做才好？

孫子兵法提到：「善戰者，先為不可勝，以待敵之可勝」，意思是說真正善於作戰的人，會先懂得規畫自己，讓自己成為不可被戰勝（立於不敗）的狀態。不過，資安是個涵蓋層面廣且專業複雜的綜合科學，加上迭代更新的速度快，造成資安門檻極高，而「資安框架」就是依據如此概念所發展而成的解法，是由一群有經驗的專家們有共識設計出的成功指南。這就像你如果想挑戰喜馬拉雅山攻頂，沒有比參照成功攻頂的一群專家所提出的方法更可靠。

許多成熟好用的資安框架，其實都是屬於通用型態的好方法，而且不限於特定產業、單位規模、環境類型，像是NIST CSF、ISO 27001、CIS、CDM、TaSM、MITRE ATT&CK等，企業更可以評量自身狀態，設計不同階段的資安成長規畫，並且透過資安框架幫助，使企業將複雜的資安防護與管理機制變成清楚有條理的「設計藍圖」，從而完成可成功推展執行的資安戰略。

以下我們將從企業該如何規畫資安策略、選擇需要的資安技術方案、以及建立攻擊向量等觀點，說明「謀定」而「後動」的具體做法。

企業資安的建構可利用各個不同特性的資安框架，並且搭配PDCA循環式管理，持續精進企業資安，如此一來，將有助於企業資安的成熟度不斷提升。圖片來源／黃繼民

Lesson One：打造企業資安基礎的最佳藍圖

NIST CSF是目前世界各國使用率最高的資安框架，由美國國家標準暨技術研究院（NIST）設計提出的資安框架Cybersecurity Framework（CSF），於2014年發布。NIST這個單位在資安領域有許多的貢獻，包括CSF資安框架，以及知名的SP 800系列各種規範指南，世界各國政府制定資安政策時，也依據NIST CSF及SP 800系列來規畫。

NIST CSF資安框架的設計，是參考多種主要的資安標準與方法、集大成的最佳結果，因此CSF所提出的方法不只脈絡清楚、內容也更容易理解，加上能與其他的國際網路安全標準及資安框架彼此相容，例如：ISO 27001、CIS、COBIT，以及工控系統安全標準ISA 62443等，這點也是NIST CSF資安框架是最被推薦的資安藍圖的原因。

目前NIST CSF 1.1是最普遍的版本，將資安任務分成五大主要功能：識別、保護、偵測、響應、復原，再往下展開各個功能的任務項目。而透過這五大功能，可以設計能幫助企業資安策略的規畫，促使其更有邏輯脈絡，並且可以進一步參照ISO 27001、ISO 27002、或是CIS的規範來設定資安政策辦法，套用PDCA持續性的管理及精進，從而能夠不斷提升企業資安成熟度。

在2024年3月正式公布最新版的NIST CSF 2.0當中，額外新增了「治理」成為六大主要功能，強調企業組織的管理層參與資安治理，以及資安策略的重要性，而且ISO國際標準組織也正式將此NIST CSF五大功能的防禦概念，放入ISO/IEC 27002:2022資訊安全、網路安全及隱私保護的控制措施中，使企業組織能夠有更具體的規範描述可依循。

SANS Institute發布的一項研究發現，採用安全框架的組織中有近74%使用NIST CSF，幾乎是其他框架的兩倍。圖片來源／Expel

善選資安防護技術方案，建立有效的佈防設計

在建構資安的做法上，許多企業經常先想到採買資安設備或取得資安證照，但往往造成資安幻覺（就像目前生成式AI給出的內容經常被質疑的AI幻覺），而透過有方法的構思部署，能夠將幻覺變成更實際的幫助，根據我的觀察與研究，OWASP CDM及TaSM這二個資安防護矩陣，就是最佳的方法。

企業在藉由NIST CSF規畫出資安藍圖後，當然需要資安裝備跟執行控制來施作實踐，不過在面對資安攻擊威脅的多樣化及複雜性，加上市場上琳琅滿目的各種資安防護技術方案，即使是內行的資安人員也會產生選擇障礙。有鑒於此，OWASP CDM及TaSM的設計產生，便是為了幫助評估思索的資安框架，這二個資安框架都隸屬OWASP組織，也是基於NIST CSF為基底所衍生的5x5矩陣框架，目的接為幫助使用者快速建立有系統脈絡、能化繁為簡的思索方法，幫助使用者從不同的需求層面，思索有哪些資安技術方案能滿足需要，並且可發揮適當防護效果，也能作為檢視需補強缺口的部分。

OWASP CDM（Cyber Defense Matrix）

OWASP CDM網絡防禦矩陣，是2016年在美國銀行擔任首席安全科學家Sounil Yu提出的5x5的網格矩陣，在第一維度橫軸，是以涵蓋NIST CSF的五大功能為基礎，而在第二維度的縱軸項目，則是以設備裝置、應用程式、網路、資料、及人員等五個資產類別。

在這個由二維結構組成的矩陣圖中，能幫助我們將所想要保護的資產類別先定義出來，再逐一從識別、保護、偵測、響應，以及復原等五大資安框架進行盤點，思考各項資產需要的資安技術方案；CDM方法的操作方式不只可以從資產層面的需求出發，也可以反過來從各位所研擬出的各種資安政策、須遵循的規範，或針對市場上的資安技術方案層面思索。

OWASP TaSM（Threat and Safeguard Matrix）

OWASP TaSM威脅與保護矩陣，是以「行動」面向的檢視方法，由資安專家G Mark Hardy和Ross Young發起，目的是幫助CISO對於企業商務營運擬定合適、需要的縱深防禦計畫。

基本上，TaSM也是同樣採用NIST CSF的五大功能為基礎所設計出來的5x5網格矩陣，但更是從面對威脅（Threat）所需的安全保護（Safeguard）而構建出的二維矩陣方法。

在第一維度的橫軸，TaSM以涵蓋了NIST CSF的五大功能以及安全防護為主；第二維度的橫軸則是從資安威脅為面向，例如企業最常遭遇的Web應用程式攻擊、網路釣魚、第三資料遺失、供應鏈攻擊、以及DDoS阻斷服務攻擊等。

有鑒於任何一種保護技術方案的選擇與導入都需要付出成本（包括經費、時間、人力、資源），因此，如何將寶貴、有限的資源，以有效率的方式，依據企業的狀態及資安策略進行合適的防護建立，並且發揮效果；最重要的是，避免「聽說、跟風、不知所以然」的瞎選方式。

在2024年3月正式公布NIST CSF 2.0新版本，從之前CSF 1.1的五大功能重新定義發展成CSF 2.0的六大功能，而且在原本的五大功能：識別（Identify）、保護（Protect）、偵測（Detect）、響應（Respond）、復原（Recover），再新增第六功能：治理（Govern），藉此強調企業資安治理與策略的重要性。圖片來源／NIST

面對攻擊來襲，你更需要攻擊向量視角

前面我們提到分別從設計企業資安策略的NIST CSF開始，以及如何選取合適企業資安防護方案的OWASP CDM與TaSM，都是屬於為了建構企業資安的準備，而且，這一切的準備都是為了面對攻擊來犯。

企業必須先建立「遭受資安攻擊是不可避免」的心態概念，因此，如何趕緊察覺攻擊來犯的蛛絲馬跡，是防範未然跟避免災損的最佳方法，但是困擾大家的問題是：看不出、也看不懂發生什麼資安攻擊？雖然資安攻擊的手法複雜，但是仍然有施展的過程與跡象可以被觀察出來，例如，早年有「網絡攻擊鏈（Cyber Kill Chain）」可用來描繪關於企業遭遇攻擊入侵的過程階段，到了近幾年以來，資安領域最為推崇MITRE ATT&CK Framework提出的方法。

MITRE ATT&CK全名為MITRE Adversarial Tactics Techniques and Common Knowledge，是由非營利組織MITRE所提出、持續維護的資安框架，它主要是從駭客角度針對網絡攻擊入侵進行分類和說明的指南，ATT&CK框架發布於2015年，是現今最主要作為檢視資安攻擊活動的攻擊戰術、攻擊技術以及攻擊模式的知識庫，並且不斷地被持續更新。

我們可以將MITRE ATT&CK視為一種描繪資安攻擊活動的共通語言，有助於入侵手法的描述、分類和理解威脅行為上，能有一套共通標準。MITRE ATT&CK將入侵流程定義成14個戰術（Tactic），包括：偵查、資源開發、初步訪問、執行惡意程式碼、持續性控制、權限提升、防禦規避、憑證存取、探查環境、橫向移動、資料收集，以及事件發生（命令與控制、洩漏及影響）等，並且描述每個戰術所採取的技術（Technique）及程序（Procedure），提供結構化的方法，有助於資安專業人員更好理解與判讀威脅行為。

順道一提，MITRE ATT&CK可以與NIST CSF的偵測與響應之間，進行相互策略應用搭配，企業以NIST CSF制訂資安策略需要的具體評量指標，便可利用MITRE ATT&CK來設定。

此外，企業在利用OWASP CDM或TaSM，進行所需資安防護技術方案的評選時，也可以檢視該項防護技術方案是否具備或支援MITRE ATT&CK的情報內容，例如，現今的XDR技術技術方案便是一種，有助於企業面臨資安威脅時，能夠快速展開攻擊視角來掌握整體情況，並且可以迅速展開準確的防禦行動應變。

目前隸屬於OWASP的 CDM及TaSM，都是幫助評估資安策略所需的保護方案，大家可將不同威脅套用到這兩種框架中，思索相關保護方法。圖片來源／OWASP

資安威脅是無限賽局，善用方法才是破解之道

資安威脅是場無限賽局，隨著各種新型的數位科技問世，往往都是攻擊方會取得先機，而防守方的企業則經常處於被動應對的狀態，因此，企業的資安防護想要搶佔先機，就必須採取更睿智聰明的方法。對此，我想再次引用孫子兵法所提到的「上兵伐謀」，企業資安策略與防護的重點在於：能夠有效率地破除駭客攻擊的計謀與手段，最不需要的是跟駭客團體進行軍武競賽，因為，將寶貴資源用在企業競爭力更值得。

隨著數位化的爆發式發展，「數位信任（Digital Trust）」勢必將成為數位世代的重要指標，我們無法預期未來的數位是否能發展出電影第一玩家，或駭客任務的模式，然而，已知與未知型態的資安攻擊卻對數位信任造成衝擊。

借用BSI數位信任專家Mark Brown在<數位信任新紀元>一文所言，「數位信任」並非網路安全的新鮮詞，但其內容涵蓋會影響客戶、使用者，以及和利害關係人對於企業信任的諸多因素，企業唯有仰賴資安才能順利運作並獲得完善保護。資安是建立數位信任的關鍵要素，更是刻不容緩的任務，懂得善用方法，才是建立企業資安最睿智聰明的上上策。文⊙懷生數位處長黃繼民

 本文出自《CYBERSEC 2024 臺灣資安年鑑》