前言

這一篇是跟 Allen 在 iThome 2020 資安大會一起分享的主題。在國內，大家比較少討論資安策略這個議題。主要原因除了這個題目太過艱澀、無聊外，從商業的角度也不容易成為獲利的服務。而我們會想分享這個主題的原因與我們主要的服務「紅隊演練」有關。

執行紅隊演練三年多來，雖然協助企業找出威脅營運的重要入侵路徑，甚至發現防禦機制的不足之處，許多積極的客戶更想知道除了當次紅隊演練發現的問題外，是不是有更周延的方式來盤點防禦現況的不足。因此，我們開始尋找一個結構化且完整的方式來探究這個議題，開始思考國際標準、框架與紅隊演練之間的關係。希望除了從攻擊者的思維跟技巧找到企業的問題外，也能從防守方的角度思考企業長期而全面的防禦規劃。

複雜的問題，更要從策略面思考

資安是非常複雜而且分工細膩的工作，不確定問題的核心就無法釐清權責、安排資源，遑論降低再發的機率。因此要解決這個複雜問題需要有資安策略來支撐，而不是頭痛醫頭、腳痛醫腳。首先，我們把資安的防護分為三種階段：

• 恢復原狀型：企業將主要的資安資源投放在日常的維運及問題查找上，包括確認當下發生的問題、進行緊急處理、災害控制、查明及分析發生原因、修復問題、研究對策避免再發生等等。
• 防微杜漸型：將資源投入在對企業造成重大衝擊的問題上，並持續進行預防及回應的評估與演練、嘗試提前找出原因，加以預防或思考演練發生時應該執行的對策。
• 追求理想/卓越型：盤點及分析問題的優、缺點，設定企業持續精進的目標，藉由行動計畫來達成目標。

根據我們的觀察，幾乎多數的企業都是落在「恢復原狀型」，但企業多半認知其為「防微杜漸型」。造成這個認知上的落差，主因來自於對自身安全狀況的不了解，導致對於風險的掌握程度產生誤判。因此，透過一個宏觀的策略思考，有助於盤點各種控制措施不足之處，才有機會將防禦縱深的機制拴緊螺絲，打造期望的防禦體系。

分層負責，各司其職

我們建議將縱深防禦以一個更全面的方式來檢視，分為 Executive Layer、Process Layer、Procedure Layer 以及 Technology Layer 四層，一個好的防禦策略，除了要做到 R & R (Role & Responsibility) 外，更重要的是在上而下制定策略之後，經由下而上的方式確保策略的有效性，因此不同階層的資安從業人員都有其需要關注的重點。

• Executive Layer：資安長 (CISO) 的視角，關注足以影響組織營運的風險及緩解這些風險的資源是否充足。可以參考的標準包括 NIST 800-39、NIST 800-30、ISO 27005 以及 CIS RAM。
• Process Layer：高階主管的視角，關注持續維持組織安全運作的管理程序是否足夠及落實、規劃未來組織資安的成熟度等。參考的標準包括 NIST Cybersecurity Framework、ISO 27001 等。
• Procedure Layer：中階主管的視角，包括決定哪些安全控制措施要執行、執行的細緻程度，這些項目就是一般所謂的安全控制措施 (security control)，例如組態設定、密碼管理、日誌紀錄的類型等，可以參考 NIST 800-53 或是 CIS Critical Security Controls 等規範。
• Technology Layer：初階主管與技術人員的角度，包含針對攻擊者的技巧所應對的資安設備、自動化安全控制措施的工具、監控分析工具等等。目前這部份也是組織資安防禦的重點，可以參考資安設備支援 MITRE ATT&CK 的攻擊技巧來盤點現有的防禦缺口或透過 OWASP Cyber Defense Matrix (CDM) 定位產品。

框架與標準的定位

在說明完不同階層關注的重點後，這裡特別說明幾個重要 (或使用率較高) 的標準及框架。除了要知道哪些框架跟標準與資安有關外，同時也需要了解適用的情境、目的及彼此間的差異

• ISO 27001：屬於 Process Layer，其提供建立資訊安全管理系統的標準，幫助組織管理和保護資訊資產，確保達到客戶或利害關係人其安全的期待；可以取得驗證。但要提醒的是，27001 作為一個實踐資訊安全管理 (Information Security System) 的標準，雖然具有文件化 (Documented) 要求的優點，但其要求項目多數在預防 (Prevent) 及避免 (Avoid) 上，較少著重在因應網路安全的偵測 (Detect) 及回應 (React) 上。
• NIST Cybersecurity Framework (CSF)：屬於 Process View，由美國主導的網路安全框架，提供關鍵基礎設施或一般企業幫助組織管理和保護資訊資產，確保其安全無慮；可以驗證並有成熟度模式，可以讓企業先描繪自己的資安狀態 (profile) 並藉由訂定目標逐年強化企業的安全。同時，明確的將安全要求結構化的分成識別 (Identify)、防禦 (Protect)、偵測 (Detect)、回應 (Respond) 及復原 (Recover)，並支援其他安全標準與框架的對應，如 CIS CSC、COBIT、27001、NIST 800-53 等。

• CIS Cybersecurity Control：資訊安全控制指引屬於 Procedure View，針對網路攻擊所應採取的控制項目提出優先執行順序，組織可依照自身的規模 (IG1-IG3) 執行對應的措施， 分為基礎型、基本型及組織型，共 20 個控制群組、178 個子控制項。

不良的資安防護狀態

實務上來說，企業的防禦策略有兩種不良的狀態

1. 縱深防護不足：防禦機制不夠全面 (紅色缺口)、設備效果不如宣稱 (藍色缺口)、設備本身的限制 (橘色缺口)；上述的問題，綜合而言，就會使得設備間的綜效無法阻斷攻擊鏈，形成技術層的破口。
2. 配套措施的不完整：也就是「程序」及「流程」上的不足，假設某資安設備可以偵測到異常行為，資安人員如何分辨這是攻擊行為還是員工內部正常行為？多久內要及時回應進行處理、多久要發動鑑識？一旦上述的「程序」及「流程」沒有定義清楚，縱使設備本身是有效的，組織仍然會因為回應時間過慢，導致攻擊者入侵成功。

盤點各層次的守備範圍

那麼要如何改善這兩種不佳的防禦狀態？我們可以單獨使用 CDM 來評估技術層的守備範圍是否足夠，也可以使用它來作為程序、流程及技術層的跨階層的盤點；

CDM (Cyber Defense Matrix) 是 OWASP 的一個專案，由一個 5x5 的矩陣所構成。橫軸是 NIST CSF 的五大類別，而縱軸則是資產盤點常見的分類；組織可以利用這個矩陣來盤點企業 Technology View 建構的防禦設備，更精準的確認需要保護的資產是否在 NIST CSF 的每個類別都有對應的措施。

以 ISO 27001 作為例子，將其本文的要求及附錄 A 的控制措施，對應到 CDM 上，進而盤點 ISO 27001 在組織的程序面所能涵蓋的範圍。要注意的是，不同組織在盤點時，會產生不同的對應結果，這正是透過 CDM 來檢視的意義所在；例如在盤點「A.7.2.2 資訊安全認知、教育及訓練」時，企業要思考對於人員的教育訓練是否涵蓋到 NIST CSF 的五大類別，還是只包含人員意識的訓練；另外以「A.6.2.2 遠距工作」的防護機制，除了針對網路層及應用程式保護外，管理程序是否也包含遠距工作的資料及設備要求？

接著，往下一層 (Procedure Layer)，也將企業現有的控制措施，對應到 CDM 中。這邊以 CIS CSC 為例，淺藍色的部份屬於基本型的控制群組、灰色部分為基礎型控制群組，組織型的控制群組因為比較偏向程序面，因此比較難單獨歸屬在特定的 CDM 區塊中。

透過真實的威脅，補足資安策略的不足

在透過 CDM 盤點完 Procedure Layer 及 Process Layer 後，企業接著可以透過資安事故、威脅情資、紅隊演練或模擬入侵攻擊工具 (BAS) 等貼近真實威脅的服務或工具，來思考資安策略的不足之處。這邊我們以一個紅隊演練的部分成果作為案例，來貫穿本篇文章的應用。

在這個案例中，我們約略可以發現幾個問題：

1. 程式撰寫不夠安全：以致存在任意檔案上傳的漏洞。
2. 不同系統間使用共用帳號密碼：導致撞庫攻擊可以成功，而監控機制或組態管理顯然未發揮作用。
3. 未依照資料機敏性進行網段區隔：對外服務網段可以透過 RDP 連線至 core zone。
4. 特權帳號與存取控制未進行關聯分析：致可以使用 backup 帳號登入 AD 網域控制器。

上述的 4 個項目，是直覺在盤點時可能想到的疏漏項目。但要怎麼確認還有其他根因 (root cause) 是企業沒思考到的呢？這時候就可以利用已知的標準及框架，搭配先前盤點好的控制項目，來更為周延的思考目前還可以強化的控制措施；如果企業的資源有限，甚至可以參考 CIS CSC 對於優先權的建議順序，先確認組織實作群組 (Implementation Group) ，再依基本型、基礎型及組織型，訂定短、中、長期計畫及投放資源，有目標的改善防禦能耐。

最後，可以將上圖找出 Procedure Layer 的控制項目，對應到 Process Layer 的盤點結果，檢視流程上對應的作法。以 「14.1、依據敏感性網路進行區隔」為例，去評估 ISO 27001 中「A.6.2.2 遠距工作」的要求上，在設備、應用程式、網路、資料及使用者，是否都有做好網路區隔；或是「6.3 開啟更詳盡的日誌」，評估在 ISO 27001 中「A.16.1.5」對於資訊安全事故的回應上，在偵測、回應跟復原上，是否都有對應的程序可以支持，監控到發出的告警。

透過本篇的方法論可以從技術、程序、流程到風險，讓不同階層的資安從業人員有一致性的溝通方式。我們希望資安策略對於企業是一個真正可被實作、建立出短、中、長期目標的務實作為，而非只是一個組織治理中的一個高深名詞。