ESG 代表「環境、社會與治理」(Environmental, Social, and Governance)。
ESG 是評估一間企業在這三大範疇中的表現與責任的框架,並注重於「永續性」與「企業社會責任」。
以下簡單介紹 ESG 的內容:
環境(Environmental):針對企業對自然環境的影響,包括但不限於:
社會(Social):包含企業與其員工、供應商、客戶和所在地區的關係,主要考慮:
治理(Governance):包含企業的內部系統、原則和政策,涉及以下方面:
在公司治理當中,企業永續經營也需要包含風險管理,而風險管理內還包含資安管理,因此如何做好資安管理,對於上市上櫃公司或是未來對於 ESG 有目標的企業也是非常重要的一部分。
資安對於 ESG 雖然沒有明訂內容,但隱藏在社會與治理內。
比如說
紅隊的主要目的是進行模擬攻擊,用來評估企業資安措施的健全性,並找到企業可能存在的弱點。
以下解析紅隊成員如何觀察資安規範的細節與參考步驟。
企業可能會參考美國國家標準暨技術研究院(NIST)制訂的網路安全框架(Cybersecurity Framework,CSF)
對應企業攻擊的各階段內容
通常會有以下的措施
以上市上櫃為例,可以參考大型企業的「永續報告書」。
因為金管會有明定,上市櫃公司若發生重大「資安事件」,應即時發布重大訊息,最晚要在次一營業日開盤前2小時重訊公告,違反最重可罰 500 萬元違約金。
因此可以從重大訊息公告了解發生哪一些事情,也可以參考過去發生的資安事件 iThome新聞-資安事件公告。
紅隊可以關注過去發生的資安事件,若有取得公開的規範或管理策略,可以去確認因為這一次的資安事件,而制定那些管理辦法。
紅隊可以嘗試模擬過去攻擊成功的方法與擊案例,目的是確認企業是否已經修正之前的弱點。並且可以找到尚未被規範包含的新漏洞。
確認規範中的要求和建議,並確認是否已經涵蓋所有已知的威脅和風險。評估規範中可能的灰色地帶或模糊描述,這些部分可能是潛在的攻擊切入點。
很多實務經驗當中會為了「打勾勾」而未真正執行的部分,這些部分可能是攻擊的目標。
以下是具體例子,如何找出以及紅隊如何利用這些弱點:
紫隊作為評估和提供建議的隊伍,根據紅隊和藍隊的結果進行分析,並提供改進意見。
紫隊可能會建議:
資安在 ESG 的框架底下扮演重要角色,必須要企業實施有效的資安措施/政策/規範來確保風險管理和 ESG 是否達成。
而紅隊的角色可以確保資安規範的健全性,以保護企業免受攻擊的威脅。紅藍應該要積極合作,以協助企業提升保護機制。