蔡一郎的部落格

Yilang's Blogger

企業需要的資訊安全

Published by Yi-Lang Tsai under , on 10/03/2024 03:31:00 下午

企業需要什麼樣的資安技術來保護自家的重要資產呢?長年在協助企業資安培訓時,這是一個經常被問到的問題,因為買了許許多多的資安產品後,為什麼對於防禦駭客的攻擊,卻是一點也沒有把握,也沒法有個量化的數據來證明投入的資安防禦是有效的,也許有人會說這些資安設備每天產生的告警資訊,就是攻擊者可能帶來的威脅,但是捫心而論,又有誰能完全確認這些告警是真的告警,而不是個誤告警呢?再加上越多的資安設備,產生的告警日誌就越多,該如何進行分析與歸納,本身就是一個大問題,傳統的做法是把這些日誌送到資安維運中心 (Security Operation Center, SOC) 進行分析,利用日誌間的關聯以及嚴重程度的判斷,來決定是否要進行事件的處理,早已是過時的做法,但是從目前資安威脅的角度來看,如果這些資安設備依賴偵測規則來觸發告警,而這些偵測規則並無法涵蓋所有的資安威脅時,那又如何收到完整的告警資訊呢?

參考了一些資料後,統整了目前企業應該要思考的十二個面向,如何進行企業所需要的資訊安全防禦,而這些不同的面向仍然會因為企業的屬性、使用的平台以及商業模式的不同,而有不同的權重比例,但應該至少都會有八個以上的防禦思維,必須在現在的架構中完整的評估與思考,畢竟資安的需求是跟著企業營運的腳步,不同的企業必須選擇與決定自己的資安防護架構。

圖. 企業防禦的12個面向
  • Authentication (身份驗證)
確認使用者的身份,是許多資訊系統不可或缺的功能之一,也是資訊安全的重要環節,透過不同的身份驗證技術,例如:單純的帳號與密碼、生物特徵、綁定裝置或持有特定的物品,來加強身份的識別,以目前許多平台的設計,考量到身份驗證的嚴謹性,多數會採用多因子的身份驗證機制,除了原本的帳號與密碼外,也會加上一次性的驗證碼,透過 OTP 或是簡訊、郵件等方式來提供,也可以利用 FIDO (Fast IDentity Online) 網路身分識別標準來完成。
  • Authorization (授權)
在資訊安全的領域中,我們經常提到「最小權限原則」,指的就是當使用者完成身份驗證後,能夠使用的資源或是賦予的功能,讓完成身份驗證的使用者,能夠做被授權的事,這個是保護資料與系統作業的關鍵,一般而言在設計授權的機制上,可以採用「以角色為基礎的授權」、「以屬性為基礎的授權」或是「以時間與情境為基礎的授權」,除了可以讓授權的規則以及政策容易落實外,如果需要追蹤某位使用者的行為路徑,能夠有跡可循。
  • Encryption (加密)
加密的技術經常運用於保護重要的資料,對於企業而言,公司的營運資料、研發技術等資產,透過加密的方式限制存取,避免未經授權的使用者能夠看到不應取得的資料,而加密的機制經常運用於通訊過程以及資料儲存的過程,而加密的類型,大致上可以分成「對稱加密」、「非對稱加密」以及「雜湊運算加密」,不同的類型各有優缺點,也有適用的情境,必須取決於資訊服務平台對於資訊保護的訴求,以及希望達成的目標。
  • Vulnerability (弱點)
對於企業而言,在系統、應用軟體或是網路架構上出現的弱點,都可能成為攻擊者運用的機會,進而對於企業的營運帶來威脅,因此從資安防護的角度來說,修補已知的弱點是必要的工作,也是降低營運風險的主要方法,一般來說,弱點包括了軟體的漏洞,例如:程式沒寫好出現的問題,衍生了緩衝區溢位、XSS (Cross-Site Scripting) 跨腳本攻擊、SQL Injection 等,也包括了人為設定的問題,造成系統在運作過程因為配置不當而造成的資安風險。

常見用來攻擊弱點的方式, 包括了針對該漏洞進行的攻擊,網路上對於已知的弱點,經常可以找到攻擊程式 (Exploit Code) 等工具,對於這些已知的漏洞直接造成影響,但攻擊者也可能運用尚未被揭露的弱點,利用這些新的發現進行的攻擊行動,也可稱之為零時差攻擊,大多數這類型的攻擊,企業並不容易防範。

至於弱點的嚴重程度,經常會使用 CVSS (Common Vulnerability Scoring System) 進行評分,因此如果有高風險的弱點,建議企業可以儘快進行修補,如果短時間無法立即修補,也應該有治標的防範規劃,避免高風險的弱點直接影響企業的營運。 

  • Audit & Compliance (稽核與合規)
有人說,資安的作為來自於法規的要求,其實是滿正確的看法,因為被要求要達標後,才會開始思考如何進行這回事,透過稽核的方式來驗證企業的作業流程與程序都符合資訊安全管理上的要求,以避免資安風險的產生,而稽核作業本身是一個必須依據管理規範、獨立進行以及透過文件化的過程,讓所有需要遵循管理規範的人員,都清楚的理解與瞭解如何進行資訊安全的管理作業,並且對於營運過程產生的資安風險進行矯正預防;而稽核的類型大致上可以分成「內部稽核」、「外部稽核」以及「合規稽核」,不同的類型有各自的目的,以及需要由不同屬性的人員來實施,而稽核的範圍需要涵蓋管理規範所制定的範圍,包括了資安政策、作業流程、實施程序以及透過技術檢測的方式,驗證資訊安全管理的作業流程,被落實到企業的營運上,另外對於人員的資安培訓也是相當重要的,一般人員需要建立資安認知,而專業人員需要具備資安實務技術,以因應企業可能潛在的資安風險。

目前常見的資安法規包括了 ISO 27001、ISO 27017、ISO 27018、ISO 27701,以及針對個人資料保護的 GDPR (General Data Protection Regulation) 或是對於醫療機構或是保險公司用於保護醫療資訊隱私安全的 HIPAA (Health Insurance Portability and Accountability Act),而對於金融的支付卡,也有 PCI DSS (The Payment Card Industry Data Security Standard) 的要求,以確保在處理資料上的安全性符合支付應用的標準。 

總體而言,透過合規的稽核,可以提供企業在風險管理以及產業合規上,能夠達成符合法規的要求,而透過稽核作業的發展,能夠將缺失或是觀察事項,納入後續的改善,最終可以降低企業營運中的資安風險,也能夠提供企業本身的營運品質。

  • Network Security (網路安全)
網路安全是企業不可或缺的重要環節,透過網路層防火牆、應用層防火牆、入侵偵測(防禦)系統等網路存取控制 (Network Access Control, NAC) 的機制,進行網路的區隔與控制,其中也可以運用虛擬私有網路 (Virtual Private Network, VPN) 的方式,建立端到端的加密通道,多數應用於遠端連線且經授權驗證的管理作業,在 COVID-19 疫情期間,遠端存取的網路安全管理,是最受到企業重視的,以提供一個安全的作業方式,又能夠保有企業的營業秘密為主要目標。

經常我們可以看到來自網路上的攻擊,包括了駭客的攻擊,不斷嘗試企業資安防禦上的脆弱點,希望找到可以入侵或是破壞系統並竊取資料的管道,以目前在資安事件中常見的手法,多數會配合惡意程式進行此類的攻擊,另外透過分散式阻斷服務攻擊 (Distributed Denial-of-service Attack, DDoS) 也是經常運用於消耗受攻擊者網路與系統資源的方式,近來有親俄的駭客組織,經常發起此類的攻擊,嘗試對於他們鎖定的目標進行網路攻擊,目的是癱瘓受攻擊者對外提供服務的網站。 

  • Terminal Security (終端安全)
端點裝置是使用者直接操作的設備,包括了電腦、手機、平版或是對外服務的網路應用服務伺服器,這些都與終端的資訊安全有關,而且也成為目前資安威脅中的關鍵,至於企業如何保護終端的安全,可以採取以下所列的作業,包括了防毒軟體 (Anti-Virus)、偵測回應 (Endpoint Detection and Response, EDR)、資料加密保護、裝置與設備本身的存取控制,應用軟體的使用規範、對於系統與應用軟體出現的漏洞進行修補、對於企業的重要數位資產等進行防外洩的保護 (Data Loss Prevention, DLP)、可攜式裝置的管理與授權等面向,這些都有助於企業建立起一個安全的終端設備使用環境,另外也可以配合網路安全中的隔離措施,將不同屬性或是業務內容的部門進行網路隔離,以避免企業資料的人為外洩。

目前許多的企業都導入了資訊安全管理系統 (Information Security Management System, ISMS),因此在資安管理的規範上,可以將終端設備的管理以及使用納入規範中,要求員工遵循資安政策與規定,並且端點社交工程的演練,提昇員工的資安認知,配合定期的內部稽核與外部稽核掌握終端設備以及使用者的行為是否出現異常的狀態,即早進行風險的管理與排除,可確保資安政策能夠落實到企業的營運上。 

  • Emergency Responses (緊急回應)
企業在面對駭侵威脅時,需要具備緊急回應的能力,依據預先制定的緊急回應計畫 (Incident Response Plan, IRP) 進行因應,對於發生中的資安威脅進行具體的行動,可以達到緊急回應的關鍵目標,包括了阻止威脅的持續擴大、保護企業的營運資產與重要的資料、快速回恢復受影響的服務以及掌握過程中的關鍵資料,做為後續研判發生的原因,並轉換成未來防範同類型攻擊的經驗。

 以目前而言,企業普遍遭受到惡意程式的威脅,尤其以勒索軟體所帶來的影響最大,對於緊急回應而言更是急迫,必須儘快讓感染到勒索軟體的終端裝置回復作業,因此建立起一套面對此類的資安威脅的應變計畫,就是相當重要的關鍵,定期的資料備份措施,可以讓企業遭到此類威脅時的傷害降至最低,能夠快速的從備份的資料回復,在可以接受的損失下儘快恢復營運。

  • Container Security (容器安全)
採用容器化 (Container) 的技術來建構應用服務已成為未來的趨勢之一,採用輕量級的虛擬化技術,將應用程式運作的環境打包在一起,除了達成輕量化的要求外,也讓應用程式在不同的環境中能夠一致,與虛擬化最大的差別在於共用作業系統的核心程式,而採用容器化的技術,企業仍然需要留意共用核心可能產生的漏洞,例如:因為核心上的漏洞而造成跨容器的攻擊,而因為將運作需要的環境打包在一起,也可能因為打包的元件存在未被修補的漏洞或函式庫而帶來資安上的風險。

因此我們在採用容器化的技術時,仍然需要依循資安上的管理原則,採用 CI/CD (Continuous Integration / Continuous Deployment) 時也同時需要進行安全的檢查作業,確定在進行部署前都能夠符合資安上的要求,這也是實現敏捷與自動化流程時,必須納入考量的關鍵因素。

  • API Security (API安全)
在 2023 年 OWASP 發佈了新一版的 API (Application Programming Interface) 前十大資安風險,也讓我們更關注意目前的時代中,在大量的使用微服務、雲端服務以及跨平台的作業環境中,應用程式介面被大量的使用,用於資料的交換傳輸以及遠端的存取應用,因此許多隨之而來的資安威脅,攻擊者轉向了對於這些應用平台所提供的 API 進行攻擊,企業對於自身所使用的 API 必須完全的掌握,才能夠確保對於數位邊界的掌握程度。

API 經常遇到的資安問題,包括了未經過授權的遠端存取、未進行保護的介面、典型的應用程式攻擊被運用到 API 的服務上、無法有效掌握 API 的監控、資料保護與加密的議題、API 的過度請求,以及人為的組態設定錯誤等,這些都可能因為駭客的攻擊,而讓原本的 API 曝露在資安的威脅之中,目前在弱點掃描與滲透測試的作業中,許多企業已將 API 納入檢測的範圍中,避免潛在的資安風險因為未經檢測而存在營運的服務中。

  • 3rd-Party Management (第三方管理)
企業因應業務或營運需要,經常會建置不同的服務平台,而這些平台可能採用現有的雲端服務或是透過第三方供應商與合作夥伴共同開發,而企業也需要依賴這些協力夥伴來取得技術、服務或是相關的資源,在目前的時代中,第三方扮演著重要的角色,而從目前的資安事件不難發現,許多的資安事件因第三方的風險而造成,因此在整體評估企業的營運風險時,必須將第三方管理納入資安管理的範疇。而第三方管理主要關鍵,包括了資安政策與標準的一致性、合規的要求、可能來自供應鏈的攻擊行動、資料的保護等,這些都是在與外部進行商務與技術合作時,必須思考的關鍵問題。
  • Disaster Recovery (災難復原)
災難復原主要用於發生資安事件後,如何快速恢復營運的作法與策略,在數位時代中企業大量的依賴資訊科技、雲端服務、運營科技等技術來營運重要的核心業務,在業務持續運作的規劃中,企業需要設想可能發生的營運衝擊的事件,並且提早因應可能發生的事件進行救災的規劃,而制定災難復原計畫時,必須要思考如何處理幾個關鍵的問題:

  • 復原時間目標 (Recovery Time Objective, RTO) :讓企業能夠更加快速地復原資料儲存,以及使得主機正常運行的時間。
  • 資料復原目標時間 (Recovery Point Objective, RPO):能容忍的最大資料損失,當業務恢復後,恢復得來的數據所對應時間點。
  • 最大可容忍中斷時間 (Maximum Tolerable Period of Disruption, MTPD) :核心業務流程發生中斷後不會導致業務造成無法回復的傷害之最大可容忍的時間。

從 ESG 角度思考企業資安管理已成未來的趨勢,而資訊安全不會是單純是資訊部門的責任,在參與許多資安稽核的行程中,卻不難發現經常接受稽核的是來自資訊部門的人員,雖然說技術面的問題需要由資訊技術的人員來處理,但是關係到企業或組織營運的資安管理,需要有更完整且明確的資安政策支持,才能夠讓企業或組織中的所有人,能夠瞭解資訊安全的重要。