【臺灣資安大會直擊】面對下一個網路安全時代，網路防禦矩陣CDM發明人提出資安防護要有親疏遠近因應之道

對於熟悉資安領域的人來說，關於「C.I.A.」資安核心三要素：機密性（Confidentiality）、完整性（Integrity）與可用性（Availability），應該並不陌生，不過，近年來有資安專家認為，隨著技術的進步，新時代的到來，我們很可能需要重新思考只有C.I.A.是否足夠。

在2023年的臺灣資安大會上，以提出Cyber Defense Matrix（CDM）安全模型聞名的Sounil Yu，首次在臺分享國際最新資安議題，他特別闡述了以D.I.E.輔助C.I.A.的觀點，讓大家思考未來的資安防護思維可以如何進化。

關於Sounil Yu，他是前美國銀行首席安全科學家，現在是JupiterOne資安長暨研究主管，而他之前提出的CDM模型，在數年前即在國際間受到熱烈迴響，之前臺灣資安界也已關注這股潮流。

例如，在2020年的臺灣資安大會上，戴夫寇爾公開介紹這款CDM模型為企業組織帶來的效益，隔年臺灣資安大會，奧義智慧更是將安全模型CDM概念融入桌遊，並首度在會場展示與遊玩，盼藉助遊戲方式，讓國內更懂企業資安防禦規畫。

這次Sounil Yu在臺灣的演說中，不僅談及他在2016年發明的網路防禦矩陣CDM，同時，還將他近年在國際資安會議提出的全新資安觀念D.I.E.（分散式、不可竄改、短暫的），介紹給臺灣資安界認識，帶領大家進一步思考網路安全的未來。

2020年代將是重視「復原」的時代，因應新世代挑戰，資安方案該如何前進？

過去2010年代，由於網路攻擊已是防不勝防，因此我們變得更重視資安事件的回應，開始懂得假設組織網路已遭入侵，而在應對這樣的挑戰之下，資安防禦所關注的重點開始有所變化，像是端點偵測與回應（EDR）、網路偵測與回應（NDR），以及事件應變（IR）就在這時興起。

Sounil Yu指出，從過去數十年的資安防護發展態勢來看，可依序對應到NIST網路安全框架（CSF）的5大核心功能，分別是：識別、保護、偵測、回應，如今，到了2020年代，他認為，這會是一個「復原」的時代，或者說是重視復原力、韌性的時代。

那麼，在2020年代這十年的挑戰是什麼？解決方案是什麼？從近年的威脅來看，Sounil Yu提到了勒索軟體攻擊，以及資料刪除惡意程式，他指出，這種類型攻擊可說是從根本上挑戰了組織的恢復能力，但資安界該有什麼樣的解決方案，來幫助我們做到復原呢？

從Sounil Yu提出的設問中，我們可能想到美國政府提到的避風港計畫，或是一寫多讀（WORM）結合不可變快照（Immutable Snapshot）的技術發展，不過，Sounil Yu所要說明的概念並非這些，而是從近年技術趨勢找出一些共通特性。

例如，他指出，以Content Delivering Network（CDN）解決方案而言，該技術已經存在一段時間，可以幫助我們在多個不同位置分發內容，有著分散式節點等特性，其他還有像是Docker、無服務器Serverless架構、區塊鏈等技術，以及所有與雲端相關的技術。在這些不同類型技術中，他發現，這些解決方案都具有三大特性：分散式（Distributed）、不可竄改（ Immutable ）、短暫的（Ephemeral）。

可以想見的是，這些技術的發展對於系統架構也會產生衝擊，因此，他提出了D.I.E.的構想，並說明此一概念，將幫助組織應對許多不同的安全問題，並在安全價值上發揮重要的作用。

對於2020年代這十年我們所要面對的挑戰，Sounil Yu指出這將會是一個重視復原的時代，而如今我們也正面臨勒索軟體與Ｗipers等資料刪除程式的挑戰。

Sounil Yu提出了名為D.I.E.的構想，也就是分散式（Distributed）、不可竄改（ Immutable ）、短暫的（Ephemeral）的統稱，以這些特性來思考未來的網路安全作法。

運用D.I.E概念衡量真正的保護重點，並且避免製造更多「寵物型」的重要系統與資產，才能提升復原力

D.I.E.可帶來什麼助益？Sounil Yu表示，D.I.E.將有助於填補我們對於C.I.A.的需求。他並用上了許多比喻，希望大家能慢慢理解這個新的資安思維。

例如，他以風險評估公式Risk = Likelihood x Impact為例，指出一旦漏洞永無止盡，威脅也將永無止盡，而且漏洞將隨著時間變得更為嚴重。但在這樣的公式下，如果能夠降低影響力，就可以降低安全風險。可以怎麼做？D.I.E.就是關鍵。

接著，他更是將組織內的系統與資產，比喻為寵物（Pets）與家畜（Cattle），從親疏遠近的角度，讓大家思考一個組織真正需要保護的對象。

Sounil Yu表示，關於寵物與家畜的差異，大家可以有所想像，多半寵物都有名字，主人會細心照顧與對待，這些就像身分證、個人電腦一樣：相對來看，家畜通常沒有名字，其數量多且取代性高，而且如果家禽一旦生病，可能就會直接處理掉牠，而這些就如同Docker容器、Kubernetes服務等。總而言之，Sounil Yu想要強調的是，保護寵物需要利用C.I.A.的概念，但家畜不需要。

從他上述提及的概念來看，我們可以大略理解到，要將系統資產有所區分，只有重要的系統要以照顧寵物的方式對待，也就是以C.I.A.管理概念來盡到保護之責。這樣的道理，我們認為也與縮小攻擊面的資安觀念類似，不過這裡顯然更強調在著重於，減少重要的系統與資產。

但問題來了，要如何有效的區分寵物或家畜？以人為判斷其重要性，並不夠客觀，因此，他指出，可具體量化的D.I.E.，將是幫助做到這方面衡量的關鍵。

例如，以D.I.E.三要素的短暫性而言，從資產存活時間來看，若是假定存活期限設為60天，超過60天我們可是其為寵物，不到60天則視為家畜，這就是一個簡單量化方法的舉例。

在理解寵物與家畜的差異後，我們從中又能認知到什麼？Sounil Yu指出，如果從復原能力的角度來設想，其結論就是，擁有很少寵物與許多家畜的組織，將會比擁有許多寵物的組織，來得更有韌性。

而且，若以存活時間與數量的曲線圖來看，通常達到一定的臨界後，越具韌性的代價也會隨之越高。

換言之，組織若要更具復原能力、更具韌性，應該要避免存活時間過長的家畜，同時也要避免製造更多重要的寵物。

因此，他提出了對於未來資安防護的新想法。雖然，大家可能經常聽到，希望將安全深植於每個地方，但他認為，更好的選擇是，對於那些屬於「寵物」的事物，絕對要從安全設計出發，確保這些系統不會被破壞，並投入資源保護，這才是最重要的，而上述提及的CDM安全模型，也是幫助防護的關鍵參考工具；對於那些不需安全措施的系統，則需要在設計階段就考慮分散性、不可竄改性、暫時性。

另外他也提到，將D.I.E.應用到資料的情境，以客戶資料而言，這是多數組織中所擁有最像寵物的資產，而透過隱私增強技術保護，則可將寵物的概念轉變為家畜的概念。

特別的是，他也從資安長的角度出發，指出資安長的角色職責，其實就如同網路獸醫師的角色一般，但也要同時扮演網路寵物管控官的角色，以確保我們需要的寵物不會更多，一旦有哪些系統可能變成寵物，就要有人負責領養，企業必需有意識的去選擇。並且要記住，雖然我們都很喜歡寵物，但不要擁有比我們需要的更多的寵物。

而在他的自身經驗中，就是將重點放在密切追蹤組織內的所有寵物，同時也會確保這些家畜的情況。

最後，Sounil Yu表示，在更好的保護、偵測與回應能力之下，雖然可以減少惡意事件的發生，但不足以應對破壞性的威脅場景，而在下一個IT與網路安全時代中，我們恐將面臨更多不可逆轉的攻擊，這些攻擊將持續挑戰我們的復原能力，因此，最好的對策就是，對於重要系統與資產（寵物），需要C.I.A.與使用網路防禦矩陣CDM來保護，但要避免創造更多「寵物」，並藉助D.I.E的概念來促進創造「家畜」。