前美國最大海軍艦隊最高指揮官,也是現任FireEye客戶培訓資深副總裁Patrick Walsh強調,資安情境的模擬訓練並不是在玩遊戲,「資安模擬訓練必須要真槍實彈,這件事做起來才有意義。」這麼做的目的是要創造出一個能讓企業面臨威脅的真實環境,來訓練資安團隊是否有能力偵測得到,來培養團隊面對不同情境下的緊急應對能力。
臺灣最大規模的2017臺灣資安大會今日(3/14)一連兩天在臺北盛大登場,前美國最大海軍艦隊最高指揮官,也是現任FireEye客戶培訓資深副總裁Patrick Walsh擔任大會第一天首場Keynote講者。他表示,企業要面對不可避免的網路威脅挑戰,得靠強化團隊的應變作戰能力,透過建立一套更有效落實的團隊實戰學習模式,以訓練資安團隊,學習從實際的資安模擬訓練環境中,來建立起能面對各式網路威脅應變處理的一套更有效的資安防禦機制。
過去數十年都在海上從事軍事作戰演練的Patrick Walsh,長年協助美國海軍擬定軍事戰略並為國家安全把關,所以面對各種危機事件處理都有他基本一套應對的態度,後來他更將他過去在海上作戰面對威脅的種種應對經驗帶到資安這個新戰場上來,即使Patrick Walsh這次是第一次來臺,但他對於臺灣現在面臨的資安處境卻一點也不陌生。
Patrick Walsh表示,現今的臺灣已經成為全球最容易受到網路攻擊的國家之一,不只是政府部門容易受到駭客鎖定目標,許多高科技產業和金融業都面臨到來自不同的潛在安全威脅難題,急須要被加以解決。而他認為,網路威脅 ( Cyber Threat)是最大的資安威脅,需要人、科技和流程上的高度整合,建立一套應變規範,才能更有效應對。
Patrick Walsh也提供了一個如何幫助企業做好威脅應變準備的金字塔型發展架構,這也是過去他長年因應海上軍事威脅準備的一套緊急應對策略,也同樣適用在資安,並依造企業資安整備程度高低將金字塔分3層,最底層是戰術威脅感知(Tactical Threat Awareness)層,指的是從培養資安團隊開始著手,建立一套有效以實作為主的團隊學習模式,以訓練團隊成員學習從攻擊方著手分析駭客的思維模式、犯罪動機和攻擊手法等,從中找出保護企業資安重要資產的新方式。
金字塔的中間層則是整合作業環境(Operational Interation)層,代表的是透過使用情報(Intelligence)來源蒐集到的資訊來建立出一個可以與真實作業環境連結的模擬訓練情境,以訓練資安團隊應對網路威脅的能力,以及最上層建立策略危機管理(Strategic Crisis Management)機制。當企業越往上層金字塔來發展,代表的是,企業已從始終趨於被動的一方,到發展成已能主動出擊、進行資安偵察、進階分析,甚至做到資安風險的評估和管控。而要幫助企業向上來發展,「這得要從資安團隊培育上和訓練著手。」Patrick Walsh說。
Patrick Walsh也強調,資安團隊作戰能力對一家企業資安能力養成的重要性。他說,以前企業在資安培育上傾向是派有資安專才的人出外受訓一定期間回來後,期望他可以對公司的資安團隊發揮很好的帶頭作用,可是這樣的作法,Patrick Walsh卻認為要發揮實際效果往往太慢,而無法因應現在快速變動的資安環境。他認為,現在更好的學習作法,不是仰賴特定學有專精的資安專家,而是靠一群人組成的資安團隊,透過定期協助他們接收和學習最新惡意軟體的威脅情報,強化他們的資安危機意識,才能夠讓他們做起事來專業又能發揮到資安防護的效果。
因此在強化團隊訓練方面,Patrick Walsh認為,靠的是要建立起一套網路威脅情報(Cyber Threat Intelligence,CTI)的能力,他指出,企業現在要防禦網路威脅非得要有CTI能力不可,因為當企業每天平均面對少說上千個資安警訊,甚至有時還更多,光是被動等到發現事後才來做因應處理,事情根本處理不完,而必須要透過建立CTI能力,讓企業可以化被動為主動來偵查找出潛在攻擊威脅的蛛絲馬跡,讓企業內部的資安監控中心可以即時應變,才能最快時間決定哪些是必須先被進一步分析處理的重大網路威脅。
Patrick Walsh建議,企業要建立CTI的第一步,是要先找到企業所需要的CTI需求是什麼,這也是企業要建立CTI能力的最重要一步,這可以透過情蒐先了解你的敵人的攻擊動機及接下來可能的發展情勢後,再來決定企業的CTI需求,同時企業也要必須了解自己已經擁有CTI能力的程度高低,才能夠知道自己是否具備有足夠能力來應對不同潛在資安威脅。
要做到網路威脅的情報蒐集內容,Patrick Walsh表示,可以從3種情報的來源取得,包括有像是從敵情有關蒐集到的情報,還有來自實際受駭企業的情報,以及從眾多企業內部可讀機器蒐集到的情報。並利用這些情報來源蒐集到的訊息來建立出一個可以與真實作業環境連結的模擬訓練情境。
Patrick Walsh也強調,這些資安情境的模擬訓練並不是在玩遊戲,「資安模擬訓練必須要真槍實彈,這件事做起來才有意義。」他說,這麼做的目的是要創造出一個能讓企業面臨威脅的真實環境,如在員工電腦實際植入一個帶有網路間諜或勒索軟體,來訓練資安團隊是否有能力偵測得到,來培養團隊面對不同情境下的緊急應對能力。最終目標是要能幫助資安團隊自己有能力去獨立作戰,這也是一個持續長久學習的模式
.jpg)
Patrick Walsh也舉他在海軍艦隊用於空軍模擬駕駛艙演練當例子,怎麼把訓練駕駛員開飛機能做到應對不同真實飛航場景的應變能力帶到資安。他表示,如果在模擬訓練時,駕駛員只會一切照規則來,那就失去了模擬訓練的意義,而是必須學習應付各種突發的緊急狀況,並從其他人的錯誤當中學習到正確的應對經驗,在訓練過程中,他也提到會有情報分析專家從旁協助,等到練習做完後會重新檢討剛做的決定哪些可以改善或做得更好的,在資安模擬訓練上也是如此,目的是希望網路資安專家可以從別人的錯誤當中學習經驗,以便於隨時做好準備面對未來資安威脅的挑戰。
熱門新聞
2024-04-15
2024-04-15
2024-04-15
2024-04-15
2024-04-15
2024-04-15
2024-04-15