前言：假設直接閱讀資安管理的書籍

有時候為了加強資安管理，閱讀資安管理的書籍常常會心裡會 OS─「這本書好厚不想讀」、「這知識量好多好雜」。

提及資安管理與政策相關的書籍，在閱讀時，就會看到風險評估流程、資產清單、制定政策、資通安全事件通報及應變辦法，而每次看到這些書籍讀者可能就會不想閱讀，甚至覺得很麻煩，因此本系列的文章先收斂相關的知識，等建立基礎知識後，再展開學習，對於資安入門者會相對友善。

名詞解釋

為了避免新手對於名詞上的不足，因此整理一個區塊，先讓新手了解資訊安全中的定義，也希望能讓新手更好地理解文章內容，若有其他名詞不懂也歡迎於文章底下留言：

• 資產
  • 指企業內部所有有價值的物品，包含物理與虛擬物品
  • 比如電腦設備、筆記型電腦、防火牆、硬體設備、軟體、資料、智慧財產權等
• 資產清單
  • 列出企業內部的所有資產，包含放在哪裡、對應的類型、重要性與其他說明
  • 會動態更新，根據新採購或報銷的設備進行更新清單
• 資安管理
  • 企業高層會定義一系列的流程與政策，用來保護企業的資訊系統不會受到駭客攻擊，包含風險評估後制定對應的流程與政策。
  • 企業員工會根據制定流程與政策而執行，進而保護企業。
• 資安政策
  • 協助企業內部人員如何保護企業內部的資產
  • 有些政策會依據企業所遵循的法規而規定內容
• 風險評估流程
  • 識別和評估企業面臨的資訊安全風險，進而分析後來建立更安全的企業環境。
    1. 識別資產
    2. 識別威脅和漏洞
    3. 評估發生後影響性
    4. 評估可能發生機率
    5. 根據以上內容決定如何管理風險
• 資通安全事件通報
  • 發生資安事件之後，基於通報流程
    1. 通報上級機關
    2. 進行事件處理
    3. 於報告系統回報(撰寫發生什麼事情)
    4. 防止未來資安事件發生
• 應變辦法
  • 發生資安事件後，如何從駭客的影響中恢復原本執行，包含建立專業的對應資安事件的團隊，有效處理資安事件。

法律規定資安政策與防護

• 歐盟 GDPR
  • 若有歐盟客戶，則企業必須保護客戶的個人資料
  • 若違法則罰款年營收 1%
  • ex 2019年 萬豪酒店因個資外洩使英國處以 1.36 億美元的罰款
• 資通安全管理法
  • 須提出提出資通安全維護計畫實施情形
  • 公務機關為因應資通安全事件，應訂定通報及應變機制
  • REF 資通安全管理法

為什麼資安管理這麼重要

聽到資安管理，很多人大家會下意識以為是指風險管理，但其實所有與資安相關的範圍都需要進行管理。

常見的範圍包含：

1. 事件發生前，對於可以防禦與加強的方向
2. 事件發生時，對於事件的分析跟反應
3. 事件發生後，對於問題的整理跟修正
4. 對外企業如何制定防護策略
5. 對內企業內部員工洩漏如何圍堵

而每一項都可以展開內容來思考。

直接製作管理政策可能會有那些影響

無法有效防禦攻擊

企業的防禦措施

1. 制定資安相關的管理政策與 SOP
2. 購買資安防禦設備、資安防禦解決方案

以上的機制可能無法有效防禦駭客攻擊，在我自己的經驗當中，有時候攻擊的目標，根本不在企業的管理政策與防護機制內，導致企業造成損失。

3. 企業缺乏即時處理資安事件的能力
   2017 年 WannaCry 勒索軟體攻擊，許多系統被勒索，造成全世界經濟損失，也影響到許多企業的營運。

只購買防禦設備無法保障企業安全

許多資安顧問都會提到，企業如果要制定資安政策與防禦策略，或是採購資安設備，都會希望企業有全面性的考量，因為如果單純購買防禦設備是不能保證與保障企業的安全。

有些時候企業也需要考量如何確保員工能夠遵守所制定的資安政策，常見的方法通過定期資安教育訓練和系統導入。

以了解攻擊面開始

在制定管理政策，首先需要考慮的是，是否已經理解企業的攻擊面。是否有先探討駭客的攻擊策略和目標，識別高風險的攻擊面後，再針對性提高防禦能力。

攻擊面向

駭客的攻擊策略包含是否了解常見的攻擊策略，如社交工程攻擊（寄送釣魚信件、釣魚網站）、系統未更新（系統已知漏洞）、系統尚未發現的漏洞被駭客利用。

防禦方向

防禦方向包含

1. 開發更加安全的程式/產品
2. 強化對網路和系統的監控內容
3. 選擇更新防禦解決方案
4. 透過教育訓練以提升員工的安全意識
5. 其他防禦方向

管理機制

最終目標是建立一個完善的標準管理流程，而這些 SOP 並不是建立好一次就不再更新，而是需要定時與不定時更新。

1. 定時 - 每一季與每年審視資安政策，確認符合目前的法規與企業狀況
2. 不定時 - 發生資安事件後，處理完，根據資安事件而更新管理政策。

模型與概念

這個概念可以對應到 Gartner 所提到的「Continuous Threat Exposure Management」(持續威脅暴露管理)

Continuous Threat Exposure Management (CTEM) programme is a set of processes and capabilities that allow enterprises to continually and consistently evaluate the accessibility, exposure and exploitability of an enterprise’s digital and physical assets. ~ Gartner

• 持續監控：CTEM 目的是建立一個不斷且有系統的評估機制，以確保企業安全。
• 評估焦點：
  • 存取控制：確保企業的虛擬及物理資產都能夠在安全的前提下被存取。
  • 風險識別：對企業資產可能遇到的風險和威脅進行深入分析。
  • 潛在威脅分析：研究資產可能成為攻擊目標的情形及其危害程度。
• Gartner
  • 一間專門提供企業技術研究和顧問服務的權威機構

不知道駭客如何攻擊以及攻擊流程

很多企業可能沒有駭客攻擊的概念，因此會藉由現有的紅隊相關服務，並且以駭客思維的角度，找到企業當中會被攻擊的面向、弱點。

什麼是紅隊

紅隊人員會利用駭客攻擊企業的思路與流程，協助企業找到漏洞與弱點，並且撰寫一份報告給企業參考。

紅隊有哪些服務

在台灣常見的服務有弱點掃描、滲透測試、紅隊演練、漏洞挖掘，而這些服務當中會根據廠商或是企業標的而有些許的不同，透過這些服務，讓企業可以更好的了解企業面對的資安風險。

弱點掃描

弱點掃描是一種自動化的過程，用於識別和報告系統中的安全弱點。使用特定的軟體工具來掃描目標環境，以找出已知的弱點和設定錯誤，但常常會有誤判的可能性。

誤判：有弱點但是沒有找到，沒有弱點但是說有弱點

滲透測試

滲透測試，模擬駭客攻擊的過程，目的是識別和利用系統弱點，以協助企業保護系統和資料。而滲透測試有多個步驟與階段，包括資訊收集、弱點識別、實際檢測和撰寫報告。

紅隊演練

紅隊演練的目的是模擬真實的駭客集團來確認企業的整體安全狀態。比滲透測試更全面，每次演練時會設定演練目標，確認企業內部的安全性、防禦設備是否有效、是否能偵測到指定攻擊。

漏洞挖掘

漏洞挖掘是企業開發產品、系統、設備，而委託資安公司針對設備、軟體去尋找漏洞的過程。包含逆向工程、韌體挖掘漏洞、程式碼分析、白箱/黑箱測試等，依據企業的目的進而選擇不同的挖掘漏洞方式。

BAS （Breach and Attack Simulation）服務

自動化模擬駭客的攻擊，讓企業確認自己的防禦措施（防禦設備、防禦解決方案）是否有效，讓藍隊人員可以調整解決方案。

紅隊相關服務的流程

以上的服務流程，會依據目的而有所不同，但最終都會提供一份報告給企業了解弱點。

1. 執行掃描/攻擊/演練/驗證/自動化攻擊
2. 執行方撰寫報告
3. 受測方從報告了解企業脆弱點並安排修復

選擇紅隊相關服務

類型

對於新創公司來說或即將轉型使用網路相關的解決方法的企業，首先會專注於網路安全服務與弱點掃描。

而大型企業需要全面解決方案，包括內部和外部的滲透測試，或是紅隊演練。

頻率

以政府相關的法律建議每半年進行弱點掃描，每年至少一次滲透測試。

金管會則鼓勵資安監控與防護之有效性評估，如 DDoS 攻防演練、紅藍隊
演練、入侵與攻擊模擬(Breach and Attack Simulation)。

紅隊的報告會有哪些內容

紅隊的報告相關的報告會有以下內容，會因為服務類型不同而有所不同：

1. 測試目的

   • 測試的主要目的

2. 測試目標

   • 測試的系統 IP、網路位置、應用程式

3. 測試方法

   • 用於識別弱點和漏洞的技術和策略

4. 測試流程

   • 測試的執行過程與時程
   • 包含各階段的方法與方向

5. 測試工具

   • 列出在測試過程中使用的所有工具和軟體

6. 弱點列表

   • 提供一份所有識別出的弱點和漏洞的表格
   • 依照嚴重程度排序

7. 詳細說明

   • 識別出的弱點和漏洞進行詳細說明
   • 附上證明如截圖或日誌

8. 修復建議

   • 提供修復方案和建議

取得測試報告的企業會遇到的挑戰

在執行專案中，其實有許多做過測試的企業，對於測試結果需要進行修復環節時，遇到許多挑戰，以下是整理部分企業常見的問題：

1. 資源分配問題：

   • 人力資源不足：公司內部的資安部門人手不足，遇到脆弱點較多需要處理，可能就要加班。
   • 財務限制：公司部門有預算限制，無法購買資安防禦設備或其他解決方案。

2. 技術問題：

   • 技術複雜性：可能因為技術債，或是原本開發產品與系統的人員已經離職，而不知道怎麼修復弱點。
   • 相容性問題：防禦方案會有目前的系統或軟體不相容，例如更新系統、更新程式碼。

3. 員工覺得很麻煩：

   • 員工抵抗：員工覺得防禦方案很麻煩，如更新密碼的政策。
   • 教育訓練：需要時間來讓員工養成資安意識與遵循新的資安政策。
   • 時間不夠：限制時間內處理完（有時候是因為管理政策或是上級的法規問題），導致有機會造成修復方法過於簡略，如直接關閉網站、系統，以利複測通過，導致有機會受到攻擊。

4. 修復後的測試和驗證：

   • 測試不充分：在修復後沒有其他時間確保問題已修正。
   • 再次受到攻擊：紅隊相關服務，僅能保障「服務當下」的安全性，但因為資安相關的威脅與攻擊手法更新快速，因此即使進行修復流程，也不能保證不會再次受到類似的攻擊。

常常會有許多企業做完一次滲透測試，發現一個系統有弱點，僅修復一個系統的弱點，但是企業內部還有其他相同的系統，由於盤點、修復流程未發現，導致企業內部還有風險。

是否可以自行培養紅隊

簡單分析紅隊能力

1. 意識培養
2. 工具使用
3. 熟練思路

因此企業除了可以委外資安公司進行紅隊相關的服務之外更可以自行培養企業內部的防禦團隊。

內部的防禦人員，也能學習紅隊常使用的工具與技術，如企業內部安排防禦人員針對企業內部的資產進行弱點掃描與滲透測試，從而更好地保護企業資產。

下一篇將繼續介紹駭客的攻擊流程與方法，以及可以參考的攻擊流程資料，並且讓企業知道，自己哪裡會被攻擊，並從駭客的角度，找到可能的攻擊目標。

參考來源

• 2022 年 Gartner 曝險管理報告
• 與品質管理有關的工具、方法、技術及其應用 ISO 31000 CNS 31000 Risk management − Principles and guidelines 風險管理－原則與指導綱要