近年來談論使用資安框架、攻擊矩陣等工具,來檢視、改善企業資安防禦機制的做法,可說是討論度相當高,但對各式各樣的評估項目,究竟要如何著手做起?對於許多試圖打算改善企業資安的資安從業人員而言,往往是相當棘手的難題。在臺灣資安大會上,奧義智慧科技創辦人邱銘彰(Birdman)針對上述的情勢演說,他認為企業常常錯估情勢,而使得採購的資安系統或是服務沒有達到預期的效果,因此,資安人員如何再度確認防護的目標,就成為相當重要的任務。

邱銘彰舉出了《進擊的巨人》做為例子,企業就好像村莊的居民一樣,以為攻擊者只是像漫無目的遊走、看似無害的巨人,但忽略手上現有的武器對巨人無法產生傷害,一旦巨人攻擊村莊就只能疲於奔命防守。邱銘彰認為,企業在資安防禦上會出現類似的現象,起因就是在於對於情勢判斷出現問題。

確立防禦目標,並量化可能面臨的威脅

從改善企業的資安防護策略而言,邱銘彰將整個流程區分成3個部分,從事前的評估、量化,到事中的決策、執行,以及事後的量測與改進等層面。在整個流程最初需要做的事情,就是要「確立目標」,這包含了評估企業所面臨的威脅,以及需要做到的資安防護工作等。

而對於評估威脅來源的依據,邱銘彰說可以根據以下層面著手:包含了去年企業曾經出現的資安事件,還有公司內外可能隱含的威脅,以及同業近期遭遇到的資安事件等。此外,老闆在意的面向也要納入資安防護的規畫範圍,像是老闆可能看到許多勒索軟體攻擊事件的新聞,而值得留意的是,邱銘彰這裡指的不光是公司老闆的想法,還包含主管機關的要求。

有了這些資訊,再根據MITRE ATT&CK的威脅評估框架,想定企業可能會面臨的3種攻擊情境,並列出風險分布的量化圖。接著,就是要檢視企業現在的情況,包含了盤點公司所具備的資安防護系統、資安服務,再來則是資安預算和人力配置。有了這些配置的清點,在放入Cyber Defense Matrix防禦評估矩陣,進而量化能夠因應的風險。

接著,資安人員要比對風險分布和防禦能力的分布,進而調整決策和執行的方針。例如,適度縮減可能不需要的防護措施,還有對於需要特別強化的部分,安排更多的防護機制等。邱銘彰指出,在相關人力資源有限的情況下,企業有可能要選擇以資安服務的形式來涵蓋部分的資安防護層面。

資安防護並非多多益善,也要考慮潛在的管理風險

不過,資安防護是不是買得越多,企業就能得到越多的防護效果呢?答案恐怕並非如此。邱銘彰說,如果企業一味想要透過購買資安系統與服務來防範各式威脅,很可能導致產品買越多,資安團隊的工作也更加沈重的現象。他也舉出許多資安防護系統的漏洞為例,指出企業的資安團隊光是要管理、修補這些系統,就要耗費相當多的心力。

這種資安防護措施越用越多,導致企業的資安系統疊床架屋,邱銘彰說,也會使得系統架構的不透明,相關營運工作更加複雜,而隱含了資安風險。

針對上述的情況,邱銘彰也提出了資安風險和營運複雜程度的對照圖,誠然企業採用的資安產品越多,更多的資安威脅能夠得到管理,使得已知風險降低,但在此同時,企業擁有較多資安防護系統,代表著資安團隊需要具備的營運知識隨之增加,也要有更多的人力能投入相關管理,此時企業的資安防護亦變得難以理解,而使得資安風險上升。因此,邱銘彰認為,企業應該要在防護需求和維運可承載能力之間,取得平衡,才能達到最佳的防護效果。

有了想定可能會遭到的攻擊情境,還有量測、評估企業防禦能量,進而持續改良營運的效率。邱銘彰認為,資安人員接下來應該要開始了解、熟悉MITRE ATT&CK和Cyber Defense Matrix;接下來3個月內應該要檢視之前的資安事件與鑑識報告,並且完成現況的評估,以及使用MITRE ATT&CK列出3個企業可能會被攻擊的情境;而在半年後,他認為企業應該要調整資安營運團隊、藍隊防禦體系,並且開始下一個階段的資安評估計畫。

附帶一提的是,對於有些企業老闆不願意提供足夠的資金和人力做資安的現象,邱銘彰開玩笑的說,資安人員還是應該要樂觀面對,考慮採買香蕉和乖乖來因應,理由是香蕉至少可以請得到猴子,而乖乖則是資訊系統最常見的「資安防護系統」,不僅成本低廉,還可以用很久才更新。這樣的說法引起全場哄堂大笑,也有不少與會者拍下這張簡報在網路上分享。


熱門新聞

Advertisement