在多數企業裡,資安團隊大多扮演防守方角色,抵禦來自外部的攻擊,為了加強資安防護,部分企業會委托外部資安團隊擔任攻擊方,檢測企業內部是否存在安全漏洞或風險,除了委托外部團隊進行檢測,也有企業選擇建立自己的資安檢測團隊(Offensive Security Team),曾在IBM擔任軟體工程師,現在在台灣樂天擔任網路安全防禦部門經理的Peter Chi在今年臺灣資安大會中分享企業建立資安檢測團隊的重要性及實務經驗。
Peter Chi表示,大多數企業重視資安防禦,內部資安團隊多為SoC、資安事件回應團隊,部分對內部或產品安全重視的大型企業或跨國公司,在內部建立自己的資安檢測團隊。他以個人過往的工作經驗說明資安檢測團隊,和外部團隊相比,企業資安檢測團隊為內部員工,具備駭客思維,使用相同工具,來模擬外部駭客的攻擊,協助企業改善防禦,由於時常會看到隱祕的資料,資安檢測團隊也必須堅守道德原則。
檢測產品安全、提升內部資安意識
然而資安檢測團隊企業內扮演什麼角色?他以產品開發流程為例,在產品設計(Design)階段,攻擊檢測團隊可以威脅建模,或是在設計階段參與討論,以攻擊方的角度來檢視設計上是否有弱點。
傳統上,企業在產品推出之後,為了維護產品安全,委托外部安全團隊執行動態掃描、滲透測試,但是Peter Chi指出,等到產品推出才發現存在漏洞,會增加資安風險。企業若有自己的資安檢測團隊,在產品開發上游階段,產品完成開發後的驗證階段時,由檢測團隊協助驗證產品的安全性,執行動態掃描、安全測試、滲透測試等。
不只是產品開發,他認為,資安檢測團隊在企業內也能協助內部訓練,例如員工的安全意識訓練,或是讓開發團隊瞭解如何安全開發,借助檢測團隊的攻擊方角色,讓開發人員意識到開發上原本認為不危險問題,可能遭駭客利用延伸擴大可怕的攻擊。
資安檢測團隊也能模擬駭客的真實攻擊,進行滲透測試或紅隊演練,如同委托外部團隊的攻擊測試服務。此外,還可以負責評估眾多的資安服務,利用攻擊測試找出適合企業的資安防護服務。
除了上述的角色及好處外,Peter Chi認為和傳統委託外部團隊測試相比,企業擁有內部的資安檢測團隊,能降低委外洩密風險、滿足法遵的要求。另外,每間企業的資安政策不同,例如對一定嚴重程度的漏洞或風險處理方式不同,企業委託外部團隊,資安政策可能產生不一致的情形,內部資安檢測團隊可避免此一問題。
內部檢測團隊降低磨合、依需求客製化測試
許多企業會委託外部團隊提供資安檢測服務,每次可能和不同團隊合作,由於資安檢檢測涉及企業內部機密,與委外團隊合作也存在保密問題,同時內外合作也需要磨合期,而企業也不容易累積相關經驗。
當企業有自己的資安檢測團隊,首先是能讓不同團隊間的溝通變得容易,由於是內部團隊,在長期合作下降低磨合問題,也能增進不同團隊間信賴感,企業內部檢測團隊能夠累積相關經驗,從攻擊方的角度,協助企業的產品、內部資安防禦更好。另外,委外檢測程式碼,外部檢測團隊逆向工程,或需要讀程碼,以瞭解程式設計的邏輯,就會存在保密問題,相反地,內部檢測團隊則能配合企業內政策、公司文化,支援檢視程式碼,以及來自開發團隊的資安需求。
另外,在委托外部單位作檢測時,企業基於維持正常營運需要或是內部政策,會要求業者不要測試或擅動某個系統或資料庫,就需要和委外業者就測試範圍反覆溝通確認,如果是針對產品檢測,外部合作業者還需要根據不同產品的特性設計檢測,需要時間熟悉每個產品特性。
Peter Chi指出,企業委託外部業者協助檢測,實務上受限於預算有限,需要考慮執行檢測的次數及範圍,要對產品檢測,還是要對整個公司檢測,當企業有自己資安檢測團隊,相較比較熟悉每個產品特性,縮短學習曲線,內部溝通效率也能夠提升,並且配合企業的需要客製化檢測,例如針對產品測試,或對某個業務範圍作滲透測試。此外,當發現漏洞或資安風險,檢測團隊可以攻擊方思維、經驗,判定漏洞或風險的優先性。
對於企業如何建立資安檢測團隊?他以自己過去經驗表示,一種方式是從內部員工通過訓練來培養,例如從MIS或網路相關員工選出,進行內部訓練,因為是內部員工訓練,不需要重新適應公司文化,但這個方式花費時間較長,且必需考慮到員工的韌性,能否從現有已習慣的工作轉換新的工作等等。選擇合適的訓練資源,包括OWASP、SANS,各種認證、線上課程、資安實戰演練等。
另一方式是從外部尋找人才。Peter Chi表示,企業從外部尋找人才組成資安檢測團隊,可考量應徵者的過去工作經驗、過去服務的公司類型、擁有的證照、技能,還有應徵者是否有良好的道德意識。從外部找人才,訓練的時間可能比較少,但需要適應公司文化。
不論從內部培訓或從外部找人才,對成員需要定出一套合格標準,例如對公司內部組織流程、規定、使用工具的熟悉,取得的證照,或是設計一套測試,界定是否符合企業資安檢測團隊的要求。
至於何時是做檢測的最佳時機?他認為,產品推出之前或基於法遵規定一定要檢測,產品在上市後一段時間可能再作調整,建議最好每年再做一次檢測。另外,當開發上有較大更動,開發團隊認為有必要作檢測時,也能隨時依需求進行檢測。他也建議,企業最好能從開發團隊中指派一位成員,擔任和資安檢測團隊溝通的專業對口,該成員必需瞭解資安檢測術語,熟悉資安檢測及開發的共同語言,如此在開發流程中進行資安檢測才能順利進行。企業內的每個團隊、每個業務部門是否也需要專業對口,則要視公司規模及需求來決定。
企業要進行安全檢測,往往不確定該從哪一處下手,儘管每家企業實作可能不同,他認為,應該從企業的營運模式、專業環境來看,如果銷售的產品安裝在客戶端,應在產品進行檢測,如果企業提供服務,則可從外側防火牆作測試,強化防火牆的阻擋,可緩解程式開發上的弱點。
當檢測發現漏洞或資安風險,企業內由誰來決定是否要修補,每個企業決策系統不同,可能是業務單位主管或高層決定,由資安檢測團隊基於風險的高低給予專業上的建議,以業務發展為主,還是降低風險為主,需要審慎評估。
資安人才從外部提供資安服務,到進入企業In-house成為安全檢測團隊一員,Peter Chi列舉幾項職涯發展的好處,例如降低過去在乙方擔任資安工程師,和客戶間的緊張關係,進入企業成為甲方後,企業內的長期工作輪轉、資源規畫,更穩定且提供更多的發展機會,例如成員運用過去的資安測試經驗,在企業內可往資安檢測團隊、資安防禦發展,或是DevSecOps、內部訓練等方向發展,對比於外部資安檢測服務,在企業內個人專業發展有更大彈性,甚至在主管鼓勵下,投入新技術的研究。
熱門新聞
2024-10-13
2024-10-14
2024-10-13
2024-10-11
2024-10-12
2024-10-11
2024-10-14