現今資安意識當道,想知道公司環境到底是否安全?網站和系統是否有被駭的風險?即使資安團隊再三保證「安全」,主管若是不懂太技術性的解釋,希望了解「多安全」,想要量化風險指數,想看非專業人士也能看懂的報告;或者當編列年度預算時,想要爭取經費購買設備強化縱深防禦,主管卻覺得「我們很安全啊」而刪除預算,希望能有資料佐證,將預算需求合理化,該怎麼進行呢?
如同人要定期做健康檢查,適當調整生活作習與飲食習慣,我們可以透過不同的方法做資訊安全的健康檢查,了解資安準備狀況,合理爭取預算,把錢花在刀口上。有人覺得自己沒病或忌諱健康檢查,但是健康檢查的目的和方向是藉由種種方式測驗出身體情況,找出潛在問題,加以調整改善,而不是為了在報告上拿高分;資安檢測亦是如此,如果純粹為了在報告上拿高分而有所隱瞞,或高估自己環境的資安防禦程度,對「病情」是沒有幫助的,無法找出系統防護的盲點,或者錯誤地認為已經做了充足資安措施,其實卻並未有效執行,都可能增加公司網路環境遭駭風險。下面介紹幾種檢測類型:
光是ㄧ一介紹各種Assessment 評估其實就可以寫鐵人賽30天,我單純就自己的經驗和大家分享討論:
這些評估可以是自我評鑑,自己上網找一些表格問卷範本來填寫,也可以顧用外面的團隊來評估。無論是那一種方式,需要事先確認評估目的、類型,決定評估多詳細。否則若需要詳細的評鑑報告卻只做簡單的問卷,或想檢視公司網站安全卻花太多時間在災難備援流程檢測,很難得到想要的結果;另一個要注意的是評分方式,有些風險評估只粗分高、中、低三層,有些評鑑分數從1到5,或1到10,做到什麼程度才算6?什麼程度才算7?怎樣算高風險?怎樣算低風險?這些在填寫的問卷上應該註明,否則不同人會有不同的答案。
以文末所附連結中的US-CERT問卷為例,其中一題「資安意識教育是否有依需求更新?」如果定期更新資安意識教育內容便選Yes,沒有定期更新就是No,如果還在更新中,就選Incomplete。這樣的問卷清楚易懂;倘若問卷的問題是「資安意識教育是否定期舉行,規定所有員工必須完成,並依需求更新內容?」,這樣一個問題問了很多東西,很難回答YES和NO。
再以文末所附連結中的FFIEC 的資安檢測包為例,將資安成熟度分為Baseline、Evolving、Intermediate、Advanced、Innovative五個階層,將風險分為Least、Minimal、 Moderate、Significant 、Most五個指數。在第四個評估項目:Monitoring and Analyzing監控分析,如果有建立SOC可以達到第二層Evolving,若想達到第五層Innovative,必須要有多個不同來源的Threat Intelligence資安威脅情報來進行日誌分析、結合網路流量監控蛀洞偵測預測未來攻擊和攻擊趨勢;在評估開源軟體風險時,若沒有使用開源軟體風險便是在Least,若使用一些開源軟體來支持重要運作,風險便是在Moderate。這樣選項清楚,風險指數訂立明確,填完自我檢測表便能掌握資安防護究竟在什麼程度?某些行為(如使用開源軟體支持重要營運) 約略有多大風險?
另一種方法是借用這些問卷和檢測表的架構,自己先列出現有的措施為何?再進一步評估是否要針對該項目補強。例如我們以US-CERT 的CRR問卷為例,問卷內分為十大項目:
Asset Management
Controls Management
Configuration and Change Management
Vulnerability Management
Incident Management
Service Continuity Management
Risk Management
External Dependency Management
Training and Awareness
Situational Awareness
可以先自己試著列出在員工資安教育(Training and Awareness)這一塊上目前有什麼努力?希望達到什麼樣的目標?如果今天公司企業內完全沒有Vulnerability Management 弱點掃描管理,有什麼風險?是否要投資一套弱點掃描管理系統?還是架設、選擇一套弱點掃描系統自己定期掃描,勤於安裝更新修補?
若是覺得找到的檢測表或問卷不太清楚,想尋求外面的顧問團隊協助、進行資安健診,記得要簽訂non-disclosure agreement (NDA)保密契約,選擇有經驗、願意花時間了解需求的團隊。我其實很怕只會照著書本,一開始就拿ISO27001/27002或COBIT來逐條核對的人,因為我自己就可以逐條核對啊?何必花錢找你來?會向外找顧問最主要是希望藉由專家的經驗及專業,判斷那種評測方式適合我們公司規模和產業類型,提供客製化的評鑑,建議如何加強不足的地方,甚至推薦那些產品方案最能滿足當下大部分需求,或解決眼前最大的風險。
未完待續
「但是藤崎先生,要把全部的風險通通解決,根本不可能啊。」- -櫻坂工兵《奮鬥吧!系統工程師》
FFIEC 的資安檢測包Cybersecurity Assessment Tool Package
https://www.ffiec.gov/pdf/cybersecurity/FFIEC_CAT_May_2017.pdf
US-CERT 的問卷: Cyber Resilience Review (CRR) Question Set with Guidance
https://www.us-cert.gov/sites/default/files/c3vp/csc-crr-question-set-and-guidance.pdf
「真相永遠只有一個!」真実はいつも一つ。 (江戶川柯南/名探偵柯南)
以我個人經驗,正常的情況,台灣的公司主管是不會去管資安的,尤其是中小企業,本人就算沒查過上百家企業,看過的也不會少於五十家中小企業。就算企業規模到達一定的時候,大部分這些都是委外比較多,資訊部門也只是打雜用的,除非是在網站被癱瘓的情況下,才會開始跳腳,很多都是用套裝軟體,或是直接買斷網頁後台,MIS部門只是維護,有問題還是得找廠商來解決,這就是現實情況,為什麼?因為這種東西無法幫助公司賺錢,做的在好,對營業額一定幫助都沒有,就算做的很好,對於提升企業形象也沒甚麼幫助。至於說評鑑,這是paperwork,交代用的,就算在開會的時候大聲疾呼,放一百二十個心,也沒人聽得懂,更沒人想理太多資安的東西。
所以是managed security service囉?全部外包給廠商?
但是我想資通安全管理法通過後,應該會從大企業開始改變。
我覺得就算是自我評鑑也是很重要的。如您所說很多情況是委外,那也可以自已填評估表,或請廠商填評估表,掌握情況。
資安要知己知彼,連自己公司企業情況都不了解,那真的只是打雜,沒事換換滑鼠鍵盤,成長也很有限了。