iT邦幫忙

2023 iThome 鐵人賽

DAY 12
1
Security

資安這條路:系統化培養紫隊提升企業防禦能力系列 第 12

紫隊這條路 Day 12 紅隊如何用藍隊的利器學習:紅隊如何看待資安規範 & 資安與 ESG 之間的關係

  • 分享至 

  • xImage
  •  

資安與 ESG 之間的關係

ESG 是什麼

ESG 代表「環境、社會與治理」(Environmental, Social, and Governance)。
ESG 是評估一間企業在這三大範疇中的表現與責任的框架,並注重於「永續性」與「企業社會責任」。

以下簡單介紹 ESG 的內容:

  1. 環境(Environmental):針對企業對自然環境的影響,包括但不限於:

    • 氣候變化(ex. 減少碳排放)
    • 資源消耗
    • 廢棄物管理
    • 水資源的利用和保護
    • 生態系統的保護
  2. 社會(Social):包含企業與其員工、供應商、客戶和所在地區的關係,主要考慮:

    • 員工的權益和福利
    • 工作環境和安全
    • 人權議題
    • 地區投資和發展
    • 供應鏈的社會影響
  3. 治理(Governance):包含企業的內部系統、原則和政策,涉及以下方面:

    • 董事會結構和多樣性
    • 股東權益
    • 企業道德和行為準則
    • 風險管理
    • 透明度和揭露
  • ESG 評估和報告對於企業中會成為被「投資決策」的參考

資安在 ESG 的哪裡

在公司治理當中,企業永續經營也需要包含風險管理,而風險管理內還包含資安管理,因此如何做好資安管理,對於上市上櫃公司或是未來對於 ESG 有目標的企業也是非常重要的一部分。

資安對於 ESG 雖然沒有明訂內容,但隱藏在社會與治理內。
比如說

  1. 社會
    • 資料保護與資料隱私
      • 確保客戶、員工與敏感資料的安全
      • 如何收集、儲存、使用資料
      • 如何保護資料不被洩漏、不被非授權保護
      • (授權,舉例:輸入帳號密碼且有權限可查看)
    • 員工權益/福利
      • 資安教育訓練,提升資訊安全相關的意識
        • 如識別常見的資安風險以及威脅
  2. 治理
    • 風險管理
      • 是否有實施資安規範/政策
      • 發生資安事件是否有處理辦法
      • ex 發生資安事件可能導致企業財務、名聲、營運受損
    • 政策與流程
      • 是否有明確的政策
      • 是否有確實實施
    • 法尊(合規)
      • 依造地區明定資安與個資相關法律,企業應該遵守
  3. 環境
    • 關聯較少
    • 但可以思考:假設處理碳排放/管理環境的系統有資安問題呢?

紅隊怎麼看待資安規範/永續報告書

紅隊的主要目的是進行模擬攻擊,用來評估企業資安措施的健全性,並找到企業可能存在的弱點。

以下解析紅隊成員如何觀察資安規範的細節與參考步驟。

規範通常會寫什麼內容

企業可能會參考美國國家標準暨技術研究院(NIST)制訂的網路安全框架(Cybersecurity Framework,CSF)

  1. 識別
  2. 防禦
  3. 偵測
  4. 應變
  5. 復原

對應企業攻擊的各階段內容

  1. 事前(識別和防禦)
  2. 事中(偵測)
  3. 事後(應變和復原)

通常會有以下的措施

  1. 事前(識別和防禦)
    • 資訊安全管理機制
    • 資訊安全稽核機制
    • 資訊安全意識課程與資訊安全教育訓練
    • 軟體安全開發生命週期
  2. 事中(偵測)
    • 產品:使用什麼設備
    • 服務:弱點掃描、滲透測試
  3. 事後(應變和復原)
    • 資安警訊通報管理
    • 資安事件管理
    • 災難復原演練

以上市上櫃為例,可以參考大型企業的「永續報告書」。

資安事件:紅隊復刻過去的歷史攻擊

因為金管會有明定,上市櫃公司若發生重大「資安事件」,應即時發布重大訊息,最晚要在次一營業日開盤前2小時重訊公告,違反最重可罰 500 萬元違約金。

因此可以從重大訊息公告了解發生哪一些事情,也可以參考過去發生的資安事件 iThome新聞-資安事件公告

紅隊可以關注過去發生的資安事件,若有取得公開的規範或管理策略,可以去確認因為這一次的資安事件,而制定那些管理辦法。

紅隊可以嘗試模擬過去攻擊成功的方法與擊案例,目的是確認企業是否已經修正之前的弱點。並且可以找到尚未被規範包含的新漏洞。

紅隊分析現行資安規範/政策並進行測試

確認規範中的要求和建議,並確認是否已經涵蓋所有已知的威脅和風險。評估規範中可能的灰色地帶或模糊描述,這些部分可能是潛在的攻擊切入點。

很多實務經驗當中會為了「打勾勾」而未真正執行的部分,這些部分可能是攻擊的目標。

以下是具體例子,如何找出以及紅隊如何利用這些弱點:

  1. 密碼策略
    • 規範說明:規範可能要求所有密碼必須至少包含 12 個文字、大寫、小寫、數字和特殊文字。
    • 實務中的漏洞:但實際上,IT 部門為了方便或因為回櫃認為太過複雜而只強制 8 個字串的密碼。
    • 紅隊行動:利用暴力攻擊或字典攻擊更容易猜測出短密碼。
    • 藍隊行動:
      • 審核密碼強度
      • 提供強密碼管理器給員工
  2. 兩步驟驗證/雙因素驗證
    • 規範說明:規範可能要求所有外部存取系統都必須使用兩步驟驗證。
    • 實務中的漏洞:事實上某些系統,例如舊的 VPN 閘道,可能沒有這種功能。
    • 紅隊行動:嘗試攻擊沒有兩步驟/雙因素驗證的系統。
    • 藍隊行動
      • 檢查所有系統的安全設定
      • 確認是否開啟兩步驟驗證
      • 如果沒有支援,安排更新
  3. 員工培訓
    • 規範說明:規範可能要求所有員工都要接受資安意識培訓。
    • 實務中的漏洞:很多時候培訓課程可能只是一個簡單的線上教學(影片 1h 放著看),且員工可能只是快速點擊而沒有真正理解哪一些是常見的資安風險。
    • 紅隊行動:進行社交工程攻擊,如釣魚攻擊,利用員工無法識別或無資安意識,確認員工的資安意識。
    • 藍隊
      • 進行社交工程演練
      • 進行社交工程教育訓練
  4. 更新和修補
    • 規範說明:規範可能要求所有的系統都必須在新版本發布後的48小時內更新和修補。
    • 實務中的漏洞:可能因為兼容性問題,部分系統可能未能及時更新。
    • 紅隊行動:利用已知的漏洞攻擊未更新的系統。
    • 藍隊
      • 建立自動化的軟體更新和修補流程
      • 定期查看修補流程的進度
  5. 網路隔離
    • 規範說明:規範可能要求敏感資料(如客戶資訊、財務資料等)儲存在隔離的網路區域。
    • 實務中的漏洞:IT團隊可能由於設定錯誤或疏忽,導致這些隔離的網路可以從外部進行存取。
    • 紅隊行動:嘗試從外部或內部(訪客專區)的網路區域查看是否能取得敏感資料。
    • 藍隊
      • 定期進行網路掃描和滲透測試以確保網路的正確隔離
  6. 日誌監控
    • 規範說明:所有關鍵系統的活動都應該被記錄,並定期審查。
    • 實務中的漏洞:日誌可能由於儲存空金不足、設定不正確或其他原因而被刪除或未被妥善監控。
    • 紅隊行動:持續進行低強度攻擊,看是否能在日誌中留下痕跡,或看日誌是否會被及時注意。
    • 藍隊
      • 建立自動化的日誌分析工具確實監控
  7. 第三方供應商安全
    • 規範說明:規範可能要求對所有第三方供應商進行安全評估。
    • 實務中的漏洞:某些供應商可能由於合同(合約)、關係或成本原因被豁免或未經完整評估。
    • 紅隊行動:透過這些第三方供應商的系統或服務嘗試存取企業的資源。
    • 藍隊
      • 定期審查所有第三方供應商的安全性,並確保他們遵循合約中的安全規範。
  8. 物理安全
    • 規範說明:資料中心和辦公室應該有嚴格的物理安全措施。
    • 實務中的漏洞:部分設施可能存在物理安全疏忽,如門禁系統故障、監控攝像頭的死角等。
    • 紅隊行動:試圖通過物理手段進入這些設施,比如"尾隨"某人進入、模擬維修人員等。
    • 藍隊
      • 進行定期的物理安全檢查,例如檢查門禁系統和監控系統
  9. 員工遠端工作政策
    • 規範說明:規定員工在家工作時必須使用 VPN。
    • 實務中的漏洞:員工可能使用自己的私人設備,未經授權的應用程式或未使用 VPN。
    • 紅隊行動:嘗試攻擊員工私人設備,找出資料洩漏或入侵企業網路的機會。
    • 藍隊
      • 嘗試虛擬桌面或其他遠端解決方案
  10. BYOD(Bring Your Own Device)策略
  • 規範說明:規範可能允許員工使用自己的設備來存取公司資料,但需經過特定安全設定。
  • 實務中的漏洞:員工的設備未更新,或者裝有容易受到攻擊的應用。
  • 紅隊行動:對員工的個人設備進行釣魚攻擊或惡意軟件注入。
  • 藍隊
    • 建立設備管理策略
  1. 雲端服務安全
  • 規範說明:規範可能要求所有儲存在雲中的敏感資料都必須加密。
  • 實務中的漏洞:雖然資料被加密,但密鑰管理可能存在缺陷,例如在易於存取的地方儲存密鑰。
  • 紅隊行動:尋找暴露的密鑰或進行中間人攻擊以取得密鑰。
  • 藍隊
    • 建立雲端管理與開發流程策略
  1. API 安全
  • 規範說明:規範可能要求 API 必須進行身份驗證和授權。
  • 實務中的漏洞:某些 API 可能設定不正確,暴露過多的資訊或允許未授權的存取。
  • 紅隊行動:嘗試對 API 進行攻擊或利用設定錯誤取得敏感資料。
  • 藍隊
    • 定期審查和測試 API 的安全性
      • 確保它們都使用了適當的身份驗證和授權機制
  1. 印表機和其他 IoT 設備
  • 規範說明:規範可能沒有詳細提及如何保護印表機和其他 IoT 設備。
  • 實務中的漏洞:這些設備可能未經適當保護,成為網路中的弱點。
  • 紅隊行動:直接攻擊這些設備,或使用它們作為跳板攻擊其他目標。
  • 藍隊
    • 確保所有 IoT 設備都在隔離的網路中,並有適當的安全設定
  1. 安全事件回應計劃:
  • 規範說明:規範可能有描述在發生安全事件時如何回應。
  • 實務中的漏洞:實際事件回應可能緩慢,或者職責不明確,導致回應不當。
  • 紅隊行動:模擬一個安全事件,看企業如何回應,並從中找出弱點。
  • 藍隊
    • 進行定期的模擬安全事件,以評估和改進回應計劃

紫隊

紫隊作為評估和提供建議的隊伍,根據紅隊和藍隊的結果進行分析,並提供改進意見。

紫隊可能會建議:

  1. 定期更新和修訂安全規範以符合目前的威脅和風險。
  2. 確保員工培訓是互動的,並針對具體的威脅。
  3. 強化與第三方供應商的合同中的安全條款。
  4. 建立一個跨部門的安全組別,定期檢查和評估企業的整體安全狀態。
  5. 針對特定威脅,如釣魚攻擊或 API 攻擊,建立專門的防禦策略。

小結

資安在 ESG 的框架底下扮演重要角色,必須要企業實施有效的資安措施/政策/規範來確保風險管理和 ESG 是否達成。

而紅隊的角色可以確保資安規範的健全性,以保護企業免受攻擊的威脅。紅藍應該要積極合作,以協助企業提升保護機制。

參考資料


上一篇
紫隊這條路 Day 11 紅隊如何用藍隊的利器學習:資安設備之偵測與攻擊技巧 & 逆向工程學習方向
下一篇
紫隊這條路 Day 13 漏洞管理 vs 漏洞掃描:企業在漏洞管理上的挑戰
系列文
資安這條路:系統化培養紫隊提升企業防禦能力30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言