【用Cyber Defense Matrix搭配資安框架改善資安弱點】資安策略成效要靠真實威脅調整

企業在擬定資安策略後，如何驗證，以及要讓資安框架更有效果，仍要靠真實威脅調整。戴夫寇爾執行長兼共同創辦人翁浩正表示，他們從自身幫助客戶進行紅隊演練的經驗，來說明在面對真實威脅時，可以如何透過活用資安框架，去緩解一連串的脆弱環節。

在先前的部分，他們已經說明了各管理階層的考量，包含：資安長、資安官（資安高階主管）、資安主管，與第一線資安人員，由上而下分別對應風險、程序、控制與技術的層面，各自有可以參考的資安框架，視為資安策略的基礎。但不僅於此，從攻擊角度來看，這樣的4層架構，其實也能有助於做好資安的驗證與精進。

戴夫寇爾事業發展經理鍾澤華表示，當發生資安事件或進行攻防演練，也可透過由下而上的方式，來檢視每一層是否能做好管控。

以最下一層的資安設備及服務而言，他舉例，當廠商聲稱有一個100%防禦無敵的解決方案，企業該如何搞懂實際該解決方案的適用範疇？對此，他談到了一個安全模型Cyber Defense Matrix（CDM）。

這是2016年美國銀行擔任首席安全科學家的Sounil Yu所提出，並納入OWASP，或稱之為OWASP CDM，目前臺灣較少人提及。

簡單來說，這個CDM其實就是一個5乘5的矩陣，橫軸分別是NIST CSF的五大類別，項目包括：識別、保護、偵測、回應、復原，並且加入了以資產類別畫分的縱軸，項目分別是：設備（Devices）、（Application）、應用程式（Application）、網路（Network），資料（Data）與人員（User）。

透過這樣的CDM矩陣，企業要知道每個解決方案所涵蓋的面向，就能有較容易的方式，去看待與盤點這些產品。換言之，用CDM矩陣將能有更直觀的方式，掌握到企業本身的資安缺口。而且，這種衡量方式，可以更簡單去理解，一個解決方案無法解決一切問題。

不過，翁浩正也強調，這並不是要企業拼命買設備與解決方案，以填補資安缺口。若將先前所提的4層架構立體化，這個CDM矩陣，不只是可以應用在最下方的技術層，他們也提出可將不同層串接在一起的概念，如此一來，企業將可知道攻擊由下而上穿透時，有那些部分還沒有顧到。他舉例，企業除了從最下層的方案面來著手，往上也能藉由流程面的資安框架來因應，補足設備面的不足，但也不能全靠流程面來解決就是，因此需要平衡。

對於資安策略規畫與精進，可從真實威脅來驗證

為了讓大家更好理解上述概念，翁浩正與鍾澤華也特別從他們紅隊演練的經驗，透過實際的案例來說明。企業除了由上而下做到資安策略規畫，也能利用上述資安框架與模型，透過演練結果由下而上去回顧與精進。

利用紅隊演練結果案例找出實際威脅

翁浩正以一場實際紅隊演練來說明。他指出，在攻擊過程中，他們先是找出了該企業對外網站上的漏洞，這是企業率先遭攻擊的防禦弱點。

值得注意的是，該網站是一個網站管理後臺系統，但因疏於管理，所以被他們找到了任意上傳檔案漏洞，因此可以上傳Webshell後門，之後透過記憶體分析得到管理者密碼的雜湊，經破解密碼，進而取得一個管理者的關鍵帳號，而這個帳號能夠登入另外30多臺主機，他們在這些主機上蒐集帳密後，又找到一個主機的網站程式碼，因此取得關鍵連線資料庫的IP位址與帳號密碼，取得了企業的申請業務的敏感個資資料。

接下來，紅隊進一步瞄準目標內網的控制權，由於他們先前入侵的網站管理後臺系統，本身也有串連到內部網路，因此紅隊循此路徑，就進入了企業的內部網路。他們先是透過WMI取得內網一臺主機的管理者帳號，仿效先前的攻擊手法，從記憶體分析出更多的帳號與密碼，包括取得了可登入RDP服務的子管理者帳密，可控制21臺主機並且持續蒐集帳密。

特別的是，他們還得到了另一臺主機的PMPweb帳號密碼，以及從這些主機中得到一個備份的帳號密碼，最終，他們藉由取得的一個網域／目錄（AD）伺服器的備份檔，找出AD內的密碼雜湊，破解後進而得到大量使用者的資料。翁浩正提醒，現在許多的備份方案，都希望企業的備份帳號具有最高權限，等同於管理者帳號，由於這個備份帳號可以取得全部的資料，一旦被竊取，後果相當嚴重。

從上述攻擊結果來看，企業會發現防禦有那些問題？從一般簡單的推想來看，鍾澤華說明，首先就是程式寫不好，所以該網站管理後臺系統可以被上傳Webshell，還有就是在偵測機制上的不足，回應時間不夠即時，以及帳號密碼或網路管理的問題，但是，問題就只有這樣嗎？

對此，鍾澤華特別強調，這也是企業為何需要框架或標準的原因，因為這些內容其實已經設想了多數常犯的錯誤，而透過將資安標準結合前述CDM矩陣的使用方式，將讓企業可以更精確的盤點出完整防護能力，例如，在防禦縱深的哪一階段沒有做好，才能知道要挑選何種設備、增加什麼樣的程序，以及需要強化的控制措施。

如果沒有這樣的架構，鍾澤華強調，企業將無法知道問題，也就是看出風險或安全問題的全貌，而且，只要這些問題有一小部分沒有解決，這意謂著這個風險其實是持續存在的。

該如何依據攻擊演練結果修正資安問題？

對於企業待補強的防禦縱深機制，鍾澤華表示，在使用方法上，CDM矩陣不只適用於技術層，具體而言，往上也能對應到控制層與程序層，透過資安框架的活用，並要能夠瞭解不同層之間如何串接在一起。

在控制層依循CIS CSC來管控

他以控制層為例，透過資安框架CIS CSC控制項搭配CDM矩陣，說明上述紅隊演練結果所對應的內容。

在上述紅隊演練結果中，可以先整理出可對應的相關CSC控制項，總共包含21項，例如：4.2的變更預設密碼，6.3的開啟更詳盡的日誌記錄，12.1的維護網路邊界清單等。

而這些項目，將可對應到CDM矩陣中的不同位置，讓企業更具體知道其涵蓋範圍。例如，4.2的變更預設密碼，是在設備與保護的面向：6.3的開啟更詳盡的日誌記錄，是在網路與偵測的面向；以及12.1的維護網路邊界清單，是在網路與識別的面向。

同時，鍾澤華還說明了一個重要的觀念，就是要制定優先順序（優先權），才能夠一步步解決問題。簡單而言，CIS CSC可分成基本型、基礎型與組織型，並依據企業規模（Implementation Group）分成IG1、IG2與IG3，他表示，最優先要做的項目是基本型IG1，接著是基礎型IG1、組織型IG1，再來才是基本型IG2，以此類推。

例如，在使用者與保護面向的4.2變更預設密碼，就是該次紅隊演練後首要做到的控制項，然後再陸續達到其他20個控制項的要求。

從程序面借助ISO 27001來補強

進一步來看，在控制面之外，還有另一個重要關鍵，是在程序面是否能與控制面做結合，例如，這些控制項是否對應到ISO 27001的項目。鍾澤華表示，當控制措施對應程序層，才能夠更完整思考企業防禦策略的問題在哪裡，例如，套用到Cyber Defense Matrix矩陣後，像是在網路與偵測面向的6.3開啟更詳盡的日誌記錄，從ISO 27001來看將是A16.1.5對資訊安全事故的回應，但此一程序面其實不只是包含於偵測，還有回應、復原。綜合來說，可藉此發現待補強的防禦縱深機制。綜合來看，透過設備、程序與流程面的搭配，才能夠降低弱點被利用的可能性，而上述例子，也就是說明了要從更完整的角度，以檢視面對真實威脅的緩解方式。

另外，鍾澤華提醒，標準跟框架其實都是一個輔助工具，畢竟框架本身有些要求相當高標，即便國內大企業都不一定是有預算，就能做到，例如，一些控制項要以自動化來完成，因此，企業最好將它們當成思考方針來看待，並依據資源決定要做到什麼程度。

何謂Cyber Defense Matrix？

關於Cyber Defense Matrix的發展，這是2016年美國銀行擔任首席安全科學家的Sounil Yu提出，目前他任職SCVX Corp和FAIR Institute的董事會，並以兼職教授身分教授資訊安全。這個矩陣的橫軸，是NIST CSF的五大類別，而縱軸則是資產類別，可幫助企業理解供應商產品的用途面，並讓整體資安綜合防護的評估更有邏輯與結構。特別的是，這樣的矩陣也漸漸受到業界關注，例如，這個矩陣也納入OWASP當中，而近年RSAC大會上，Sounil Yu也多次在發表相關內容，特別的是，在今年RSAC大會2020現場，會中也提供了Cyber Defense Matrix（CDM）Learning Lab的活動，讓與會者能以互動形式，實際體驗這項矩陣的用法。資料來源：Sounil Yu，iThome整理，2020年9月

對於Cyber Defense Matrix的應用，Sounil Yu提到幾個實例。例如，可藉由矩陣幫助資安防護產品分類，以盤點產品類型對應在矩陣上的範疇，也有類型是跨區塊。以Network Security而言，涵蓋面是網路的保護，而以DDoS Mitigation類型而言，涵蓋是網路的偵測與回應，兩者都是部分的網路面，不能涵蓋到裝置、應用程式、資料與使用者。

另一個應用實例，Sounil Yu在2019年也以當年RSAC新創業者來舉例，用Cyber Defense Matrix將這些業者分類，可以看出該年資安新創的發展趨勢，是聚焦在那個面向。

可借助將CIS CSC融入Cyber Defense Matrix的應用方式，做好控制層的資安管控與規畫

以資安主管負責的控制層為例，將資安框架CIS CSC控制項對應到Cyber Defense Matrix來檢視，例如，圖中淺藍色是基本型控制項、灰色是基礎型控制項，深藍色則是組織型控制項，可讓企業更具體知道各控制項的涵蓋範圍，並能用於制定資安改善優先順序。資料來源：戴夫寇爾，iThome整理，2020年9月

如何透過演練結果調整資安策略？可將發現問題套用到與CDM結合的CIS CSC，再依最低實施要求依序強化

對應攻擊演練結果，企業能夠將資安標準與Cyber Defense Matrix結合使用，以盤點需要強化的設備、控制措施與程序。以上述紅隊演練結果為例，就控制面而言，企業在此案例中，可以利用CIS CSC，先找出需強化的21個控制項，接著標示3大控制群組類型，再依據各控制項的最低實施要求，來決定這項風險企業該補強的先後順序。值得注意的是，這裡建議的順序排列，是從基本型IG1、基礎型IG1、組織型IG1，再來才是基本型IG2、基礎型IG2、組織型IG2，循序做到補強。在此例中，企業第一個動作就是針對「4.2變更預設密碼」先做改善，有順序性的達到目標。資料來源：戴夫寇爾，iThome整理，2020年9月

 相關報導  資安框架活用新思維