資安與 ESG 之間的關係

ESG 是什麼

ESG 代表「環境、社會與治理」（Environmental, Social, and Governance）。
ESG 是評估一間企業在這三大範疇中的表現與責任的框架，並注重於「永續性」與「企業社會責任」。

以下簡單介紹 ESG 的內容：

1. 環境（Environmental）：針對企業對自然環境的影響，包括但不限於：

   • 氣候變化（ex. 減少碳排放）
   • 資源消耗
   • 廢棄物管理
   • 水資源的利用和保護
   • 生態系統的保護

2. 社會（Social）：包含企業與其員工、供應商、客戶和所在地區的關係，主要考慮：

   • 員工的權益和福利
   • 工作環境和安全
   • 人權議題
   • 地區投資和發展
   • 供應鏈的社會影響

3. 治理（Governance）：包含企業的內部系統、原則和政策，涉及以下方面：

   • 董事會結構和多樣性
   • 股東權益
   • 企業道德和行為準則
   • 風險管理
   • 透明度和揭露

• ESG 評估和報告對於企業中會成為被「投資決策」的參考

資安在 ESG 的哪裡

在公司治理當中，企業永續經營也需要包含風險管理，而風險管理內還包含資安管理，因此如何做好資安管理，對於上市上櫃公司或是未來對於 ESG 有目標的企業也是非常重要的一部分。

資安對於 ESG 雖然沒有明訂內容，但隱藏在社會與治理內。
比如說

1. 社會
   • 資料保護與資料隱私
     • 確保客戶、員工與敏感資料的安全
     • 如何收集、儲存、使用資料
     • 如何保護資料不被洩漏、不被非授權保護
     • (授權，舉例：輸入帳號密碼且有權限可查看）
   • 員工權益／福利
     • 資安教育訓練，提升資訊安全相關的意識
       • 如識別常見的資安風險以及威脅
2. 治理
   • 風險管理
     • 是否有實施資安規範/政策
     • 發生資安事件是否有處理辦法
     • ex 發生資安事件可能導致企業財務、名聲、營運受損
   • 政策與流程
     • 是否有明確的政策
     • 是否有確實實施
   • 法尊（合規）
     • 依造地區明定資安與個資相關法律，企業應該遵守
3. 環境
   • 關聯較少
   • 但可以思考：假設處理碳排放/管理環境的系統有資安問題呢？

紅隊怎麼看待資安規範/永續報告書

紅隊的主要目的是進行模擬攻擊，用來評估企業資安措施的健全性，並找到企業可能存在的弱點。

以下解析紅隊成員如何觀察資安規範的細節與參考步驟。

規範通常會寫什麼內容

企業可能會參考美國國家標準暨技術研究院（NIST）制訂的網路安全框架（Cybersecurity Framework，CSF）

1. 識別
2. 防禦
3. 偵測
4. 應變
5. 復原

對應企業攻擊的各階段內容

1. 事前（識別和防禦）
2. 事中（偵測）
3. 事後（應變和復原)

通常會有以下的措施

1. 事前（識別和防禦）
   • 資訊安全管理機制
   • 資訊安全稽核機制
   • 資訊安全意識課程與資訊安全教育訓練
   • 軟體安全開發生命週期
2. 事中（偵測）
   • 產品：使用什麼設備
   • 服務：弱點掃描、滲透測試
3. 事後（應變和復原)
   • 資安警訊通報管理
   • 資安事件管理
   • 災難復原演練

以上市上櫃為例，可以參考大型企業的「永續報告書」。

資安事件：紅隊復刻過去的歷史攻擊

因為金管會有明定，上市櫃公司若發生重大「資安事件」，應即時發布重大訊息，最晚要在次一營業日開盤前2小時重訊公告，違反最重可罰 500 萬元違約金。

因此可以從重大訊息公告了解發生哪一些事情，也可以參考過去發生的資安事件 iThome新聞-資安事件公告。

紅隊可以關注過去發生的資安事件，若有取得公開的規範或管理策略，可以去確認因為這一次的資安事件，而制定那些管理辦法。

紅隊可以嘗試模擬過去攻擊成功的方法與擊案例，目的是確認企業是否已經修正之前的弱點。並且可以找到尚未被規範包含的新漏洞。

紅隊分析現行資安規範/政策並進行測試

確認規範中的要求和建議，並確認是否已經涵蓋所有已知的威脅和風險。評估規範中可能的灰色地帶或模糊描述，這些部分可能是潛在的攻擊切入點。

很多實務經驗當中會為了「打勾勾」而未真正執行的部分，這些部分可能是攻擊的目標。

以下是具體例子，如何找出以及紅隊如何利用這些弱點：

1. 密碼策略
   • 規範說明：規範可能要求所有密碼必須至少包含 12 個文字、大寫、小寫、數字和特殊文字。
   • 實務中的漏洞：但實際上，IT 部門為了方便或因為回櫃認為太過複雜而只強制 8 個字串的密碼。
   • 紅隊行動：利用暴力攻擊或字典攻擊更容易猜測出短密碼。
   • 藍隊行動：
     • 審核密碼強度
     • 提供強密碼管理器給員工
2. 兩步驟驗證/雙因素驗證
   • 規範說明：規範可能要求所有外部存取系統都必須使用兩步驟驗證。
   • 實務中的漏洞：事實上某些系統，例如舊的 VPN 閘道，可能沒有這種功能。
   • 紅隊行動：嘗試攻擊沒有兩步驟/雙因素驗證的系統。
   • 藍隊行動
     • 檢查所有系統的安全設定
     • 確認是否開啟兩步驟驗證
     • 如果沒有支援，安排更新
3. 員工培訓
   • 規範說明：規範可能要求所有員工都要接受資安意識培訓。
   • 實務中的漏洞：很多時候培訓課程可能只是一個簡單的線上教學（影片 1h 放著看），且員工可能只是快速點擊而沒有真正理解哪一些是常見的資安風險。
   • 紅隊行動：進行社交工程攻擊，如釣魚攻擊，利用員工無法識別或無資安意識，確認員工的資安意識。
   • 藍隊
     • 進行社交工程演練
     • 進行社交工程教育訓練
4. 更新和修補
   • 規範說明：規範可能要求所有的系統都必須在新版本發布後的48小時內更新和修補。
   • 實務中的漏洞：可能因為兼容性問題，部分系統可能未能及時更新。
   • 紅隊行動：利用已知的漏洞攻擊未更新的系統。
   • 藍隊
     • 建立自動化的軟體更新和修補流程
     • 定期查看修補流程的進度
5. 網路隔離
   • 規範說明：規範可能要求敏感資料（如客戶資訊、財務資料等）儲存在隔離的網路區域。
   • 實務中的漏洞：IT團隊可能由於設定錯誤或疏忽，導致這些隔離的網路可以從外部進行存取。
   • 紅隊行動：嘗試從外部或內部（訪客專區）的網路區域查看是否能取得敏感資料。
   • 藍隊
     • 定期進行網路掃描和滲透測試以確保網路的正確隔離
6. 日誌監控
   • 規範說明：所有關鍵系統的活動都應該被記錄，並定期審查。
   • 實務中的漏洞：日誌可能由於儲存空金不足、設定不正確或其他原因而被刪除或未被妥善監控。
   • 紅隊行動：持續進行低強度攻擊，看是否能在日誌中留下痕跡，或看日誌是否會被及時注意。
   • 藍隊
     • 建立自動化的日誌分析工具確實監控
7. 第三方供應商安全
   • 規範說明：規範可能要求對所有第三方供應商進行安全評估。
   • 實務中的漏洞：某些供應商可能由於合同（合約）、關係或成本原因被豁免或未經完整評估。
   • 紅隊行動：透過這些第三方供應商的系統或服務嘗試存取企業的資源。
   • 藍隊
     • 定期審查所有第三方供應商的安全性，並確保他們遵循合約中的安全規範。
8. 物理安全
   • 規範說明：資料中心和辦公室應該有嚴格的物理安全措施。
   • 實務中的漏洞：部分設施可能存在物理安全疏忽，如門禁系統故障、監控攝像頭的死角等。
   • 紅隊行動：試圖通過物理手段進入這些設施，比如"尾隨"某人進入、模擬維修人員等。
   • 藍隊
     • 進行定期的物理安全檢查，例如檢查門禁系統和監控系統
9. 員工遠端工作政策
   • 規範說明：規定員工在家工作時必須使用 VPN。
   • 實務中的漏洞：員工可能使用自己的私人設備，未經授權的應用程式或未使用 VPN。
   • 紅隊行動：嘗試攻擊員工私人設備，找出資料洩漏或入侵企業網路的機會。
   • 藍隊
     • 嘗試虛擬桌面或其他遠端解決方案
10. BYOD（Bring Your Own Device）策略

• 規範說明：規範可能允許員工使用自己的設備來存取公司資料，但需經過特定安全設定。
• 實務中的漏洞：員工的設備未更新，或者裝有容易受到攻擊的應用。
• 紅隊行動：對員工的個人設備進行釣魚攻擊或惡意軟件注入。
• 藍隊
  • 建立設備管理策略

11. 雲端服務安全

• 規範說明：規範可能要求所有儲存在雲中的敏感資料都必須加密。
• 實務中的漏洞：雖然資料被加密，但密鑰管理可能存在缺陷，例如在易於存取的地方儲存密鑰。
• 紅隊行動：尋找暴露的密鑰或進行中間人攻擊以取得密鑰。
• 藍隊
  • 建立雲端管理與開發流程策略

12. API 安全

• 規範說明：規範可能要求 API 必須進行身份驗證和授權。
• 實務中的漏洞：某些 API 可能設定不正確，暴露過多的資訊或允許未授權的存取。
• 紅隊行動：嘗試對 API 進行攻擊或利用設定錯誤取得敏感資料。
• 藍隊
  • 定期審查和測試 API 的安全性
    • 確保它們都使用了適當的身份驗證和授權機制

13. 印表機和其他 IoT 設備

• 規範說明：規範可能沒有詳細提及如何保護印表機和其他 IoT 設備。
• 實務中的漏洞：這些設備可能未經適當保護，成為網路中的弱點。
• 紅隊行動：直接攻擊這些設備，或使用它們作為跳板攻擊其他目標。
• 藍隊
  • 確保所有 IoT 設備都在隔離的網路中，並有適當的安全設定

14. 安全事件回應計劃：

• 規範說明：規範可能有描述在發生安全事件時如何回應。
• 實務中的漏洞：實際事件回應可能緩慢，或者職責不明確，導致回應不當。
• 紅隊行動：模擬一個安全事件，看企業如何回應，並從中找出弱點。
• 藍隊
  • 進行定期的模擬安全事件，以評估和改進回應計劃

紫隊

紫隊作為評估和提供建議的隊伍，根據紅隊和藍隊的結果進行分析，並提供改進意見。

紫隊可能會建議：

1. 定期更新和修訂安全規範以符合目前的威脅和風險。
2. 確保員工培訓是互動的，並針對具體的威脅。
3. 強化與第三方供應商的合同中的安全條款。
4. 建立一個跨部門的安全組別，定期檢查和評估企業的整體安全狀態。
5. 針對特定威脅，如釣魚攻擊或 API 攻擊，建立專門的防禦策略。

小結

資安在 ESG 的框架底下扮演重要角色，必須要企業實施有效的資安措施/政策/規範來確保風險管理和 ESG 是否達成。

而紅隊的角色可以確保資安規範的健全性，以保護企業免受攻擊的威脅。紅藍應該要積極合作，以協助企業提升保護機制。

參考資料

• 上市上櫃公司資通安全管控指引
  iThome新聞-資安事件公告