【提升國家資安人人有責，企業、民間須共同合作】公私協力！美國白宮公布全面強化資安最新戰略

隨著俄國攻入烏克蘭後戰事膠著，即使面臨美方等經濟制裁施壓也不願退兵，先前美國總統拜登曾警告，俄羅斯為了報復經濟制裁，可能針對美國發動網路攻擊活動，最近在3月21日，美國白宮發布總統拜登對於國家網路安全的聲明，再度引發關注，當中不只呼籲民間企業與關鍵基礎設施，對於資安防護強化的腳步也必須加快，同時還特別彙整了緊急強化資安的方針，而這樣的作法，除了影響美國本身，也引起全球政府與企業的關注，可視為當今各國推動整體資安防護的一大借鏡。

保護國民仰賴的關鍵基礎設施及服務，所有企業均有責

在美國總統拜登的這份最新聲明中，一開始就針對該國資安現狀，說明幾件事情，我們將這些內容歸納成3大重點。

首先，是近期美方有情報顯示，俄國可能為了報復美歐的經濟制裁，正探索對美發動網路攻擊的各種可能，事實上，之前拜登對此不只提出一次警告，指出俄羅斯可能對美國進行惡意網路攻擊，但這次的呼籲顯然更具急迫性。

第二，對於現在的網路攻擊威脅，光靠美國聯邦政府是難以抵禦，儘管聯邦政府將會使用各種工具，來阻止、破壞各種網路威脅，並在必要時針對關鍵基礎設施的網路攻擊做出積極因應，然而，單單仰賴聯邦政府，並無法抵禦國家面對的各式網路威脅，畢竟，大多數的關鍵基礎設施都是民間企業經營，因此，這些業者也要加快角度來提升資安防護，同時，美國國土安全部網路安全暨基礎安全局（CISA）也將積極協助這些機構，保護其系統與網路的運作。

第三，白宮不只是呼籲當地企業及組織與關鍵基礎設施的經營者，需立即採取行動，防範潛在攻擊，同時還提供如何做好資安防護的相關指引。這當中提及CISA建立的「Shields Up」資安指引專區，可作為當地企業組織的參考，而對於不夠了解資安的企業，白宮也特別彙整出一份清單，當中條列8項企業應立即採取的資安防護工作。

從上述的聲明來看，美國政府最新公布的安全指引，國內企業與組織也值得參考，視為現今首當著重的基本資安防護面向與工作。

另一引發外界關注的焦點是，上述這些資安防護的宣導內容，是由美國行政體系最高領導人總統頒布，相較之下，過往美國政府大多透過CISA與FBI等機構發布相關安全指引，具有不同意義。

簡而言之，這次美國白宮最新發布的資安聲明，不僅顯示現今國際衝突下，網路威脅將變得非常劇烈，對於全球及我國政府而言，他們的推動方式也將成為新的典範，那就是：由最高行政首長帶頭，宣導企業與組織的資安策略。

還沒準備好的企業組織，可從8個重點開始落實資安防護

在美國白宮本次公布的資安指引中，有那些重點？

基本上，本次宣導的資安防護工作相關資訊，主要就是提供給未做好準備的的民間企業，以及關鍵基礎設施業者，最重要的就是希望更多的民間企業與關鍵基礎設施業者，都能了解與重視這些基本防護之道，並要採取行動、落實相關要求，因此，這個資安指引的內容，其實是更為普遍與實用的做法，而非過去所談的網路安全框架那樣抽象。

另一特別之處在於，白宮也特別針對軟體與技術商提出資安建議，其目的是因應長期的網路安全威脅。

具體而言，對於企業組織與關鍵CI來說，美國白宮認為，即刻需採取下列8項資安防護工作。

首先，最值得關注的是，導入多因素驗證（MFA）現成為第一要務，是最優先強調的防護策略。

其次，要部署現代化資安工具，還要做到持續偵測威脅與緩解威脅；第三項工作在於，漏洞儘速更新修補已經不斷被強調，同時也要注意變更密碼。

同時，企業必須知道資安事件難以避免，因此，第四到第六項工作，就是要妥善的備份、資安事件演練，以及妥善的資料加密。

最後兩項工作，是關於員工資安意識，以及公私聯防。

以前者而言，不論是員工或民眾，若欠缺資安意識，是企業與政府頭痛的問題，應盡量幫使用者認識攻擊者常用手法，例如，了解歹徒如何利用電子郵件或網站，來發動網路攻擊或網路釣魚詐騙，讓使用者更有警覺，並鼓勵員工在發現異常時，能夠及早通報；至於所謂的公私聯防，是要企業、組織與各個地方政府、執法單位積極合作，平時應建立聯繫管道，才能讓整個國家能夠更快因應新出現的威脅。

綜觀上述8項資安防護工作，最特別項目的是多因素驗證的導入，現在已經被視為必須的強化面，甚至提升到國家資安政策的最優先實施項目。白宮也指出，現下更強調需具備持續威脅偵測與緩解的資安解決方案。

至於其他項目多為資安界常年不斷宣導的重點，看似老生常談，但這些要求其實也點出過往我們容易忽略的關鍵。

例如，在備份方面，白宮提醒大家要注意離線備份的落實，對於資料加密的安全程度也要重視，才能在資料即便遭竊的狀況下，也無法被外人破解。

這裡也說明了公私聯防要積極推動，平時就應建立聯繫管道，而不是發生事件後才開始建立聯繫。

向科技與軟體業者喊話，推動產品安全可聚焦5大層面

除了從許多層面提出強化資安的重要工作項目，不僅如此，在這次白宮的聲明中，也針對科技與軟體商倡議產品安全，鼓勵廠商開始行動。

例如，近年一再強調的幾個概念，都納入白宮本次聲明，成為國家級資安政策。譬如，從產品設計就要考量資安，確保開發人員在撰寫程式碼時考量安全性，以及須推動開發流程安全的要求。

值得注意的是，這當中提到要讓開發人員知曉使用自動化安全測試工具，此舉至少能讓大多數的錯誤與漏洞，在軟體發布之前就被解決。

基本上，這裡並未一一列舉各種程式碼與應用系統安全檢測的作法，像是：程式碼審查、靜態分析、動態分析、模糊測試、威脅模型分析、滲透測試，以及紅隊測試與漏洞獎勵計畫等，但美國政府將相關要求聚焦於借助相關自動化工具之力，仍有很大意義，因為這至少能大幅縮減，或避免基本的軟體開發安全問題，使其不再發生。

另外一點，在產品安全漏洞修補之外，近年更是強調建立軟體物料清單（SBOM），這主要是因應開源程式碼的安全問題。這也是近年資安界最熱門的議題之一，同樣成為當前軟體廠商應該具備的安全防護意識。

另可參考Shields Up資安指引，建立現今基礎資安觀念

關於推動資安防護，白宮建議是參考CISA的「Shields Up」資安防護指引。

這裡的規範其實不像一般資安標準或技術文件那樣複雜，主要分成4大部分，包括：所有企業組織的通用指引，給企業高階主管與執行長（CEO）的建議，遭遇勒索軟體的應變，個人與家庭自保資安觀念。後續我們會再逐一介紹。

針對俄羅斯威脅有關的最新資訊，美國CISA提供了「Shields Up技術指南」的專區，當中彙整的情資包括攻擊參與者資訊，以及勒索軟體、破壞性惡意軟體、DDoS攻擊等，同時建立Shields Up防護指引的網站內容，讓民間企業與關鍵基礎設施業者都能借助其資源來做好防護。

___________________________________________

剖析8大即刻防護重點，導入多因素驗證成第一要務

面對潛在網路攻擊威脅攀升的可能性，美國總統拜登於3月21日示警，要求需加快改善網路安全，尤其是民間企業與關鍵基礎設施業者。

為了讓那些還沒準備好的企業，能快速理解基本資安防護重點，因此，在白宮對於該國網路安全的聲明中，特別簡要彙整出8大基本防護之道，希望督促企業能從這些面向著手行動，以保護該國關鍵基礎設施，以及人民所仰賴的關鍵服務。

特別的是，由於白宮條列的8個項目，都是以簡單幾句話來描述，為了幫助大家快速了解，因此我們在他們列出的各項要點之前，加入簡短說明。

1. 導入多因素驗證（MFA）
在組織系統上使用多因素驗證，現在必須是強制執行，才能讓攻擊者入侵系統更加困難。

2. 部署現代化資安工具
需在電腦與裝置上部署現代化的資安工具，以持續尋找威脅與緩解威脅。

3. 漏洞儘速更新修補，變更密碼
漏洞請諮詢網路安全人員，確保系統是否做好漏洞修補，並針對所有已知漏洞做出防護，同時也應變更整個網路的密碼，這可使之前遭攻擊者竊取的用戶帳密變得無用。

4. 妥善備份資料
不只是備份資料，並要確保離線備份不會在惡意行為者的攻擊範圍。

5. 資安事件演練
制定應急應變計畫並實際演練，當事件發生時就能預先做好準備，可以做到快速回應，在遭遇任何攻擊後所造成的影響都能最小化。

6. 資料加密
需將資料妥善加密，才能在不幸遭遇資料竊取時，對方無法利用這些資料。

7. 培養員工資安意識
需教育員工認識攻擊者常用的手法與策略，像是攻擊者是如何利用電子郵件或網站來發動攻擊或網路釣魚，並鼓勵員工發現異常及早通報，一旦發現電腦或手機出現不尋常的行為、系統當機，或是電腦的執行速度嚴重變慢，應儘速通報公司負責單位或人員。

8. 與當地政府及執法單位積極合作
美國的企業與組織應與在地的FBI或CISA區域單位積極合作，在任何網路安全事件發生之前就要建立聯繫。並鼓勵公司的IT人員與資安負責人多利用CISA與FBI的網站，當中將有許多技術相關資訊，以及可以利用的資源。

整體而言，最受關注的就是多因素驗證導入已成必要，事實上，去年Google就有相關行動，將分階段強制用戶Google帳號啟用兩步驟驗證，而其餘老生常談的防護要點，也應該有效落實，並注意不該忽略一些細節，像是要注意離線備份，以及與政府、執法單位的聯繫，平時就該建立。

___________________________________________

5大產品安全建議，擁抱安全軟體開發生命週期概念

強化國家的網路安全，除了企業組織要改善其資安，從長遠面向來看，還有一個重要的面向，就是必須聚焦於技術與軟體公司的通力合作。而在美國白宮於3月21日發布的聲明中，除了督促企業強化資安，同時也鼓勵技術與軟體公司，要從傳統的產品開發設計，轉變為安全的產品開發設計，以及重視產品安全性。

以下是白宮所條列出5大重點項目，而我們在他們的各項要點之後，同樣加入簡短說明，幫助大家理解：

1. 產品設計開發就要考量安全
從產品設計一開始就要建立安全要求，過去有句口號：bake it in, don't bolt it on，意指將資安融入產品或服務，而不是將資安當成額外附加品，以保護業者的知識產權與客戶的隱私。

2. 開發軟體流程與環境的安全
在開發軟體時，僅在高安全性的系統進行，並只允許實際從事特定計畫的人可存取。這麼一來，將使入侵者難以從一個系統滲透到另一系統，並且難以攻破產品或竊取智慧財產。

3. 自動化安全測試
應使用現代化工具檢查已知與未知潛在漏洞，對於公司內的產品開發人員而言，其實有一些自動化的安全測試工具，可以幫助他們在軟體發布之前，或是惡意攻擊者利用之前，找出多數程式碼的錯誤或不安全之處。如果開發人員知道這件事，至少可以修復大多數漏洞。

4. 掌握程式碼來源
軟體開發人員應對產品中使用的程式碼負責，這也包括有使用到的開源程式碼。因為，大部分軟體的建構，均使用許多不同的元件與程式庫，而當中大部分都是開放原始碼，所以，需確保開發人員知道當前使用元件的出處及來源，並建立軟體物料清單（SBOM），以防未來其中一個元件出現漏洞時，可以快速找到並因應。

5. 政府軟體採購納入資安要求
美國企業組織應實施該國總統拜登行政命令（EO 14028）──改善國家安全。根據該行政命令，美國政府採購的所有軟體，現在都必須在其設計和部署方式上能滿足安全標準。而白宮也鼓勵企業組織，可以更廣泛地遵循這些作法。

整體而言，過去資安界早已強調安全軟體開發生命週期的概念，以及產品資安事件應變等，但這樣的資安觀念還不夠普及，開發人員或高層若沒有這樣的意識，難以從根本做起，現在連白宮也出面提出建議，呼籲業者是時候該改變。

不僅如此，現下還面對開源軟體安全的特殊挑戰，這也促使SBOM的議題受到重視，才能在元件發現漏洞時，快速知道那些產品受影響，而政府也設法從法規面將資安納入採購要求，促進廠商做出改變。