前言

上一篇文章我們提到資安設備的基礎知識。也探討了資安設備的原理和分析方式，包括網路概念、協定、網路設備、作業系統、日誌管理等。

針對四種資安攻擊情境，包括暴力破解攻擊、惡意掃描攻擊、Command and Control (C&C) 連線以及惡意檔案上傳或任意下載攻擊，並提供了紅隊和藍隊的行動步驟和管理方針。

我們希望紫隊可以作為藍隊和紅隊之間的協調橋樑，協助解決資安弱點並制定管理方針，以提高企業的資安防護能力。

資安設備

資安設備的優點

1. 提高安全性：資安設備可以有效地抵禦外部威脅，如駭客攻擊和惡意軟體。
2. 即時監控：多數的資安設備具有即時監控功能，能夠迅速偵測和應對異常活動。
3. 資料保護：確保敏感和機密資料不被未經授權的人訪問或被竊取。
4. 遵循法規：企業來說遵守各種資安法規和標準是必要的，因為資安設備可以幫助他們達到這些要求。
5. 減少損失：通過預防潛在的安全威脅，企業可以減少因資料外洩或系統中斷所造成的金錢和時間損失。

資安設備的缺點

1. 成本昂貴：專業的資安防禦設備不僅初期投入大，後續的維護也需要資金。
2. 操作複雜：管理及維護這些設備須要具備專業知識。
3. 安全非絕對：不可能有設備能達到100%的保障，因此企業還需加強安全培訓。
4. 可能影響性能：部分設備使用時，可能對網路或系統產生不良效果。

企業如何評估自己需要哪一些資安設備

1. 資訊資產清單：
   • 有哪一些資訊資產
     • 伺服器
     • 終端使用者設備
     • 網路設備
     • 資料
     • 應用程式
2. 風險評估：
   • 識別威脅
     • 考慮發生的攻擊面
       • 對網站可能會被 DDoS 攻擊
       • 人員下載惡意軟體
       • 內部的其他威脅
       • 物理安全
   • 識別脆弱性
     • 找出企業系統和流程中可能被利用的弱點
   • 估算風險
     • 基於威脅和脆弱性，估算每一項資訊資產面臨的風險
3. 確定資安需求
   • 依據風險評估的結果，確定哪些設備是最需要的
     • 例如，DDoS 是主要威脅
       • 則購買 DDoS 保護解決方案
4. 考慮合規性和業界標準
   • 資安規範或標準要求
     • GDPR
     • PCI DSS
   • 選擇的設備和解決方案需符合要求
5. 預算和成本效益分析
   • 預算是企業的考量因素
   • 評估設備成本效益，比較風險和潛在的損失進行
6. 技術與是否會操作
   • 買了裝不起來
   • 買了不會用
   • 買了不知道有沒有設定好
7. 持續評估和調整
   • 資安是持續在變
   • 定期重新評估需求和風險

資安地圖

《臺灣資安市場地圖》推出Beta51更新版，整理國內外資安廠牌與產品類別的對應關係，未來將持續更新，以完整涵蓋臺灣資安市場全貌。~ iThome
這是 iThome 會一直更新的資安地圖

來源：https://www.ithome.com.tw/news/123912

簡單翻譯一下

地圖種類

• 總共 33 種
• 簡單分成兩大類：資安產品、資安服務
  • 並以【資安防禦】、【資安管理】為目的

職稱分類

1. 資安服務：攻擊、防禦、管理
2. 資安產品：Pre-sale、Sale、產品開發

你可能還會聽過：原廠、代理商的角色

1. 原廠：開發產品的公司
2. 代理商：在特定地區或市場銷售該產品的公司
   • 有些代理商可能只負責銷售，而有些提供更多的服務，如技術支援或客戶服務。

資安工作內容

1. 攻擊：紅隊演練、滲透測試、弱點掃描、資安健診
2. 防禦：分析惡意程式、分析日誌來了解駭客攻擊手法、惡意程式偵測、偵測系統規則、防毒軟體
3. 管理：資安監控(SOC)、資安治理(稽核、ISO27001、資安長、制定資安政策)

建議學習方向

對於以上提到的資安職位、服務內容、產品下手，透過深入瞭解資安職位、服務和產品，可以更好地了解這個領域，並選擇適合自己的學習和發展方向。

資安職位

1. 這個職位主要工作是什麼（了解職位職責和技能要求）
2. 平常需要解決什麼問題（該職位面臨的常見挑戰和問題）

資安服務

1. 這個服務的目的是什麼（服務核心的目標）
2. 這個服務的流程（執行步驟）
3. 最終交付給企業什麼結果（交付成果）

資安產品

1. 這個產品解決什麼問題（產品功能和目的、針對什麼資安需求與挑戰而開發）
2. 可以做到哪些內容（了解產品特點和功能，供哪些資安保護措施和解決方案，還可以去比較相同類型產品有什麼不同）

針對 33 種資安產品與服務的說明

Endpoint Prevention（端點防護）

端點

電腦、手機、伺服器

端點防護的定義

企業希望可以保護員工資產、伺服器等端點設備，而使用端點防護設備保護端點不會受到惡意軟體攻擊。

端點常見的攻擊方式與影響

1. 惡意軟體：竊取敏感資料
2. 間諜軟體：沒有使用者同意卻收集使用者資料
3. 勒索軟體：加密企業資料，並勒索企業
4. 網路釣魚：透過偽造的信件、網站

Threat Detection & Response（威脅偵測與回應）

利用各種技術來偵測與回應可能遇到的安全威脅，有些時候會利用收集端點資訊並偵測、回應威脅。

作用

企業希望可以進階保護，針對資安事件能即時反應。

常見攻擊手法

• 進階持續性威脅（APT）
  • 技術和策略來竊取、破壞或持續潛伏在企業中
• 內部威脅
• 資料外洩

Network Firewall（網路防火牆）

定義

硬體或軟體，用於監控進出企業網路的流量，阻止潛在的惡意的網路流量。

作用

可以阻止惡意網路流量，會不信任的網路來源進出企業。

常見攻擊手法

主動掃描找到企業可以攻擊的蛛絲馬跡

1. 端口掃描
2. 網路入侵
3. 惡意流量

DDoS Protection（分散式阻斷服務攻擊防護）

定義

保護企業不受到分散式阻斷服務（DDoS）攻擊

作用

許多企業若有對外營運的網站或服務，可能會受到 DDoS 攻擊，該設備可以分散和緩解大規模的流量攻擊，保護企業資源不受干擾。

Network Analysis & Forensics（網路分析和取證）

主要是用於後續分析，而不是預防。

定義

常用於監控與分析網路流量，在發生資安事件、異常活動時進行調查和取證。

作用

該設備可以在發生資安事件或異常時，幫助專家找出原因和解決問題，因此如果企業需要深度網路流量分析或想要有效進行後續分析時可以使用。

Advanced Threat Protection（進階威脅防護）

定義

防範未知的進階持續性威脅 (APT) 和零日攻擊（ZeroDay）的解決方案。

作用

企業如果需要對抗持續性 APT 組織，如金融單位、半導體業，且這些 APT 組織攻擊都高度複雜時，該解決方案可以提供以偵測、回應和尚未被公開的攻擊方法，做到緩解與回應。

注意

但因為攻擊方向可能是尚未被發現的方法或漏洞來攻擊目標，因此有機會誤判甚至沒有發現正在被攻擊。

Web Security（網站安全）

定義

包含保護網站免受各種網站相關攻擊，常見如 SQL injection、跨站腳本攻擊（XSS）等。

作用

假設企業外部與內部都有網站，針對網站當中許多攻擊者會透過漏洞來竊取資料或尋找可以橫向移動的機會，因此可以嘗試使用網站安全相關的解決方案，包含開發安全、SSDLC 導入、網站安全檢視、網站安全滲透測試都可以包括在內。

Risk Assessment & Visibility（風險管理與視覺化）

主要是評估和視覺化，而非直接防護。

定義

協助企業確認資安風險進行評估，透過視覺化的方式了解狀況，以決定應對措施。

作用

可以協助評估目前的資安風險狀況並且以視覺化的方式了解，目的是為了進行制定資安策略計劃，或是想了解現有策略效果。

WAF & Application Security（網路防火牆 (WAF) 和應用程式安全）

針對應用程式進行保護。

定義

針對網站與應用程式相關的解決方案。

作用

針對網站漏洞可能包含 SQL injection、XSS、CSRF、DDoS 該解決方案可能可以解決對 Web 或應用程式的攻擊
。

Application Security Testing（應用程式安全測試）

確認應用程式是否有漏洞與弱點。

Managed Security Service（管理安全服務）

由第三方提供的安全服務，包括 24小時 / 7 日 的監控和管理，發生安全事件時提供告警機制。

當企業不具備專業的資安團隊或資源不足時，希望可以預防廣泛的安全威脅，如入侵、DDoS、惡意軟體等。

Security Awareness & Training（安全意識與教育訓練）

針對員工提升安全意識、針對技術人員提供教育訓練。

預防利用人的弱點進行攻擊，如社交工程攻擊、釣魚攻擊。

定期地、或當有新的威脅或策略變更時，透過教育訓練，降低因員工疏忽或無知造成的資安風險。

Encryption（加解密）

以密碼學的技術，保護資料安全。

預防攻擊：資料竊取、中間人攻擊等。
作用：確保資料的機密性和完整性。

Data Leak Prevention（資料洩漏預防）

當企業有需保護的機密資訊時，防止機敏資訊外洩。

駭客會利用系統或人為疏忽洩露資料

Mobile Security（手機安全）

定義

保護手機與其他行動裝置。

作用

防止惡意應用程式、移動裝置釣魚、中間人攻擊

Penetration Testing（滲透測試）

定義

以駭客的角度，評估系統或網站的安全性。

作用

針對系統的已知和未知的攻擊，定期或在系統上線前，發現並評估系統的安全漏洞。

Container Security（容器安全）

定義

保護應用程式中的容器以及正在執行的服務。

作用

可能會有容器逃逸、非授權存取、惡意 image ，希望達到確保容器化的應用程式的完整性和隔離性。

Cloud Security（雲端安全）：

定義

保護雲端（儲存資料、使用服務等…）

作用

常見於雲端的資料外洩、非授權存取、API攻擊等，希望保護雲端資料和服務不受到攻擊。

GCB（政府組態基準）政府組態基準(Government Configuration Baseline，簡稱GCB)

此為特定政策或標準，不涉及品牌。

定義

目的在於規範資通訊設備(如個人電腦、伺服器主機及網通設備等) 的一致性安全設定(如密碼長度、更新期限等)，以降低成為駭客入侵管道，進而引發資安事件之風險。－來源：國家資通安全研究院

作用

基於設備設定的各種攻擊，希望透過 GCB 確保公共機構的資通設備達到一定的安全基準。

Security Incident Response（安全事件回應）：

此為回應工具，主要是應對已發生的攻擊。

定義

協助確認發生資安事件的應對步驟，快速減少威脅與影響並恢復正常營運。

作用

當檢測到或確認資安事件時，快速和有效地回應資安事件。

NAC（網路存取控制，Network Access Control）

定義

確保已驗證和授權的設備可以連入網路。

作用

當需要對網路進行存取控制時，確保只有合適的設備可以連入網路，防止未經授權的設備存取。

Firewall Management（防火牆管理）

定義

用來設定、維護和監控防火牆的管理服務。

作用

設定、更新或監控防火牆時，確保防火牆運行正常且設定得當

有時候會因為利用不安全的防火牆規則進行攻擊

Secure File Sharing（安全檔案分享）

定義

提供安全檔案分享和傳輸的功能，防止敏感資訊在傳輸過程中被截取。

作用

防止中間人攻擊、文件被竊取

Authentication（身分驗證）

定義

確保只有以授權的使用者可以存取網路和應用程式。

作用

有些會利用身份驗證漏洞進行的攻擊，此時可以驗證確保只有授權的使用者可以存取資源

Privileged Access Management（特權管理）

定義

針對企業內特殊敏感資源進行特權存取的管理，防止未經授權的使用。

作用

管理敏感的系統和資料時，確保只有授權的使用者可以存取特定的敏感內容。

預防未授權存取、內部威脅的攻擊。

Identity Governance（身分管理）：

定義

監控和管理使用者身份及其存取權限，確保合規並減少潛在的安全風險。

作用

希望可以產生合規報告，並且進行權限審核、分離的職責。

SOAR（資安協作自動化應變工具，Security Orchestration, Automation, and Response）

定義

用於整合不同的安全工具並自動化反應流程。

作用

通常希望可以更有效地應對威脅，比如自動化威脅反應、事件調查。

Messaging Security（訊息安全）：

定義

保護企業免受郵件和通訊系統統的攻擊。

作用

常用防止垃圾郵件、釣魚攻擊、惡意軟體。

Security Information and Event Management（安全事件管理）

定義

該系統收集和分析來自各種來源的安全事件和日誌，以提供即時的安全告警和報告。

作用

主要是可以提供即時監控、告警機制，甚至產生和規的報告。

Security Analytics（安全分析）：

定義

常利用大數據和機器學習技術，從大量的數據與資料中取得有意義的內容，如事件流程等。

作用

常用於異常行為檢測、網絡流量分析，如 Splunk 的工具。

Threat Intelligence（威脅情資）

定義

威脅情報分享，利用來自各種來源的數據。

作用

為了用來識別、分析和應對目前和潛在的威脅，幫助企業提前防範和應對。

DNS Security（DNS安全）

定義

針對網域名稱系統（DNS）的保護，確保 DNS 請求和回應的安全性。

作用

在企業當中也有許多與 DNS 相關的安全問題，常見應用於防禦 DNS 劫持、DNS 放大攻擊。

OT Security（工控安全）

定義

保護工業控制系統和關鍵基礎設施，如電力網和水處理設施等。

應用

針對關鍵基礎設施如電力網、水處理設施、製造業，並提供對應場域的安全防護相關的內容。

但因為每一個場域都不同，因此會有基於場域的解決方案。