強化資安防護是個複雜而廣泛的課題,企業組織若想要以系統化的方式推動長期改良,可採用資安框架幫忙規畫,後續能按部就班執行。
主動關心資安議題的企業主增加了,即使是過往不受約束的產業也能感受迫切性,原因在於更多的重大事件發生、更嚴峻的法規、更精實的稽查標準所致。2023年10月公布「數位經濟相關產業個人資料檔案安全維護管理辦法」即引發數位黏著度高的產業族群關注,究竟資安該怎麼做才好?
孫子兵法提到:「善戰者,先為不可勝,以待敵之可勝」,意思是說真正善於作戰的人,會先懂得規畫自己,讓自己成為不可被戰勝(立於不敗)的狀態。不過,資安是個涵蓋層面廣且專業複雜的綜合科學,加上迭代更新的速度快,造成資安門檻極高,而「資安框架」就是依據如此概念所發展而成的解法,是由一群有經驗的專家們有共識設計出的成功指南。這就像你如果想挑戰喜馬拉雅山攻頂,沒有比參照成功攻頂的一群專家所提出的方法更可靠。
『謀定而後動』
許多成熟好用的資安框架,其實都是屬於通用型態的好方法,而且不限於特定產業、單位規模、環境類型,像是NIST CSF、ISO 27001、CIS、CDM、TaSM、MITRE ATT&CK等,企業更可以評量自身狀態,設計不同階段的資安成長規畫,並且透過資安框架幫助,使企業將複雜的資安防護與管理機制變成清楚有條理的「設計藍圖」,從而完成可成功推展執行的資安戰略。因此,企業資安的建構可利用各個不同特性的資安框架,並且搭配PDCA循環式管理,持續精進企業資安,如此一來,將有助於企業資安的成熟度不斷提升。以下我們將從企業該如何規畫資安策略、選擇需要的資安技術方案、以及建立攻擊向量等觀點,說明「謀定」而「後動」的具體做法。
Lesson One:打造企業資安基礎的最佳藍圖
NIST CSF是目前世界各國使用率最高的資安框架,由美國國家標準暨技術研究院(NIST)設計提出的資安框架Cybersecurity Framework(CSF),於2014年發布。NIST這個單位在資安領域有許多的貢獻,包括CSF資安框架,以及知名的SP 800系列各種規範指南,世界各國政府制定資安政策時,也依據NIST CSF及SP 800系列來規畫。根據SANS Institute發布的一項研究發現,採用安全框架的組織中有近74%使用NIST CSF,幾乎是其他框架的兩倍。
NIST CSF資安框架的設計,是參考多種主要的資安標準與方法、集大成的最佳結果,因此CSF所提出的方法不只脈絡清楚、內容也更容易理解,加上能與其他的國際網路安全標準及資安框架彼此相容,例如:ISO 27001、CIS、COBIT,以及工控系統安全標準ISA 62443等,這點也是NIST CSF資安框架是最被推薦的資安藍圖的原因。
目前NIST CSF 1.1是最普遍的版本,將資安任務分成五大主要功能:識別、保護、偵測、響應、復原,再往下展開各個功能的任務項目。而透過這五大功能,可以設計能幫助企業資安策略的規畫,促使其更有邏輯脈絡,並且可以進一步參照ISO 27001、ISO 27002、或是CIS的規範來設定資安政策辦法,套用PDCA持續性的管理及精進,從而能夠不斷提升企業資安成熟度。
在2024年3月正式公布NIST CSF 2.0新版本,從之前CSF 1.1的五大功能重新定義發展成CSF 2.0的六大功能,新增的功能為治理(Govern)將原本存在於五大功能中的治理項目更清楚的集結,凸顯企業在資安治理與策略的重要性,強調企業組織的管理層參與資安治理、
資安策略的必要性。此外,ISO國際標準組織也正式將此NIST CSF五大功能的防禦概念,放入ISO/IEC 27002:2022資訊安全、網路安全及隱私保護的控制措施中,使企業組織能夠有更具體的規範描述可依循。
認識更多:NIST CSF 2.0
善選資安防護技術方案,建立有效的佈防設計
在建構資安的做法上,許多企業經常先想到採買資安設備或取得資安證照,但往往造成資安幻覺(就像目前生成式AI給出的內容經常被質疑的AI幻覺),而透過有方法的構思部署,能夠將幻覺變成更實際的幫助,根據我的觀察與研究,OWASP CDM及TaSM這二個資安防護矩陣,就是最佳的方法。
企業在藉由NIST CSF規畫出資安藍圖後,當然需要資安裝備跟執行控制來施作實踐,不過在面對資安攻擊威脅的多樣化及複雜性,加上市場上琳琅滿目的各種資安防護技術方案,即使是內行的資安人員也會產生選擇障礙。有鑒於此,OWASP CDM及TaSM的設計產生,便是為了幫助評估思索的資安框架,這二個資安框架都隸屬OWASP組織,也是基於NIST CSF為基底所衍生的5x5矩陣框架,目的接為幫助使用者快速建立有系統脈絡、能化繁為簡的思索方法,幫助使用者從不同的需求層面,思索有哪些資安技術方案能滿足需要,並且可發揮適當防護效果,也能作為檢視需補強缺口的部分。
我們將會在下一篇的內容中,繼續針對OWASP CDM及TaSM這2個資安防護矩陣來做更詳細的介紹;並且對於企業在做好資安防護的準備後,該如何面對攻擊來襲時能夠清晰的掌握攻擊向量視角,也將提出建議方法。
延伸閱讀:認識與實踐NIST CSF資安框架
本文刊載於 iThome《CYBERSEC 2024 臺灣資安年鑑》謀定而後動,善用資安框架是上上策
Commentaires