正視資安框架的價值

去年初，我們看到有資安廠商正式在臺介紹一套資安框架，名為NIST Cybersecurity Framework（CSF），接著，在3月下半的臺灣資安大會上，也有會計師事務所高層前來主講NIST CSF。後續舉辦的Cybersec 101系列研討會當中，更是以此為題，根據CSF當中的五大資安防禦功能（Identify、Protect、Detect、Respond、Recover），逐一進行探討。

而在今年臺灣資安大會，就有多場演講以CSF為主題，例如，〈前進NIST資安架構 – 以鐵山公司為例〉〈強化後疫情時代資安韌性的新架構：NIST CSF應用實務〉；有些則是介紹CSF與其他資安框架，像是〈你的資安策略夠明確嗎？透過框架優先緩解真實威脅〉，以及〈工業控制系統資訊安全架構介紹〉，同時，〈迎擊封閉網路的維運挑戰〉也提及兩套資安框架，也就是CSF與CIS Critical Security Controls（CSC）。

值得注意的是，目前資安框架的選擇相當多，除了NIST CSF、CSC，以及大家先前較熟悉的ISO 27001，我們也曾報導過MITRE ATT&CK，在去年資安年鑑裡面，也介紹了CIS Controls V7，以及澳洲政府實施的八大減緩策略ACSC Essential Eight。

而這些資安框架的崛起，也影響公務機關與企業的資安策略制定。

以臺灣而言，行政院資通安全辦公室已依據「安全控制措施參考指引」，以及美國NIST 「加強關鍵基礎設施網路安全框架」，來明定資安防護基準，而在2019年底所發布的《國土及公共治理季刊》，也刊登了一篇〈政府機關資安治理成熟度評估機制〉，當中提及我國政府資安治理成熟度評估架構，已經參考了多種法規與國際標準而設計，而NIST CSF正是其中之一。

可惜的是，在其他資安活動與資安廠商舉行的研討會當中，我們還是鮮少看到大家討論他們本身如何協助企業來進行資安框架的運用，以及規畫。

甚至，大多數時候，每當我們一談到資安威脅的防護，仍然是以問題導向來思考解決之道，諸如勒索軟體、APT攻擊、DDoS攻擊、網路釣魚郵件／商業郵件詐騙，或是內部威脅（Insider Threat）、大量（機敏或隱私）資料外洩。但這些威脅之所以發生，往往不是出於單一因素或條件，而是日積月累的管理與控制失當所致。

因此，若要降低這些資安風險，公務機關與企業不能只懂得救急、亡羊補牢，處於被動因應的狀態，平常也必須做好基本功，設法提高自家的資安防護「成熟度」，此時，資安框架就提供了相當值得參考的指引方向，讓組織的相關防護與反應機制，盡可能地「面面俱到」。

不過，資安框架在實務上到底該怎麼推動、執行？我們需要先導入一個框架之後，接下來，再換另一個框架來施行嗎？有些專家認為，不同的資安框架彼此之間有許多共通之處，我們可以將當中的控制要求項目進行對應與整合，再考量自身的資安策略來規畫，設計出統一的管理制度，以符合要求。

關於如何同時遵循不同的標準，「一以貫之」是最有效率的方法。這讓我想到在佛教當中，據說有多達8萬4千個法門，人卻只有短短一生數十年的時間，有辦法全部修行這些法門嗎？面對這樣的難題，有位佛法的大譯師說：「應遵照各宗派所說而修持吧」，但另一位大師的回答卻更發人深省，也與我們上述討論的作法，相當類似，他說：「應將一切法歸納為一要訣而修持」。廣大無邊的佛法修行是如此，或許我們也可依此教言來思考資安策略的規畫與施行。