誰需要關心「防禦」

在當今數位化的時代，「防禦」已經成為每個人和企業都必須重視的課題。

思考：你需要保護什麼？

• 個人：隨著網路詐騙和個資盜用事件頻傳，個人財產和隱私權受到前所未有的威脅。我們害怕自己的銀行帳號被盜、個人資訊被濫用，甚至遭受身份盜竊。
• 企業：商業機密是企業生存和競爭的關鍵。一旦洩漏，不僅可能導致經濟損失，還可能損害企業的聲譽和市場地位。

誰掌握你想要保護的東西？

• 個人：我們擁有自己的個人資料和財產，需要主動保護這些資產。
• 企業：企業掌握大量的商業機密和客戶資料，需要建立完善的資安防禦體系來保護這些關鍵資訊。

如果沒有做好「防禦」，可能會發生什麼後果？

• 個人層面：可能遭受經濟損失、信用受損，甚至影響生活品質。
• 企業層面：可能面臨法律責任、商譽受損、客戶流失，進而影響企業的長期發展。

「防禦」面臨的挑戰

雖然「防禦」的重要性眾所周知，但實際落實時卻面臨許多挑戰。

易成為攻擊者突破口

• 網路：攻擊手法日新月異，從釣魚攻擊到勒索軟體，網路威脅越來越複雜。
• 資源：資安專業人力資源供不應求，企業難以找到足夠的人才來維護安全。
• 意識：個人和企業對資訊安全的意識不足，常常忽略基本的安全措施，增加了風險。
• 技術：不存在完美的防禦技術，再先進的系統也可能存在漏洞，被不法分子利用。
• 實體：企業常忽略實體安全，如辦公環境的管控、設備的防護，這些都可能成為安全漏洞。

小結

「防禦」不僅是技術問題，更涉及到意識和策略。無論是個人還是企業，都需要提升資訊安全意識，採取主動的防禦措施，以應對日益複雜的安全威脅。只有這樣，才能真正保護我們重視的資產和資訊。

「防禦」可以從哪裡開始？

面對日益複雜的安全威脅，我們需要深入思考如何有效地開始「防禦」。這不僅僅是選擇一套軟體或安裝某個系統，更是關乎整體策略和具體行動的問題。

1. 從哪個環節開始防禦最有效？

選擇最有效的防禦起點，需要根據自身的風險評估和資源狀況。

• 網路防禦：對於高度依賴網路的企業，強化網路安全至關重要。這包括部署防火牆、入侵偵測系統（IDS）和入侵防禦系統（IPS）等，來監控和保護網路流量。
• 實體防禦：如果企業的關鍵資產主要是實體設備和設施，則應優先考慮實體安全措施，如門禁控制和實體監控系統，防止未經授權的訪問和破壞。

2. 針對不同的防禦目標，應該從哪裡著手？

• 保護實體資產：從門禁控制系統開始，確保只有授權人員才能進入敏感區域。同時，安裝實體監控系統來監視環境，及時發現異常情況。
• 網路安全：部署防火牆來控制網路流量，使用入侵偵測和防禦系統來識別和阻止可疑活動。
• 資訊安全：實施資料加密和存取控制，確保敏感資訊只能被授權人員訪問。定期進行安全審計，發現並修補漏洞。

3. 資源有限的情況下，優先考慮哪些防禦措施？

• 提升資訊安全意識：教育和訓練是成本最低、效果顯著的措施。提高個人和員工的安全意識，可以預防許多人為因素造成的安全事件。
• 基本安全工具：安裝防毒軟體、啟用系統自帶的防火牆，這些都是低成本但有效的防禦手段。
• 定期更新和備份：保持系統和軟體的最新狀態，並定期備份重要資料，以防止因攻擊或故障造成的損失。

不同面向的防禦措施

為了建立一個全面的防禦體系，需要從物理、網路、端點和信件等多個層面入手。

物理防禦

• 門禁控制系統：限制和監控人員進出，防止未經授權的進入。
• 實體監控系統：安裝監視器和保全系統，實時監控關鍵區域。
• 環境控制系統：管理溫度、濕度等環境因素，確保設備在最佳條件下執行。
• 威懾與警告：設置圍欄、警告標誌等，威懾潛在的入侵者。

門禁控制

1. 門禁卡：根據人員角色限制他們可以進入的區域，機房只有工程師或管理員可以進入。
2. 大樓一樓電子門：辦公大樓刷員工卡才能進入大樓。

網路防禦

• 防火牆（Firewall）：控制進出網路的流量，阻擋未經授權的連線。
• 入侵偵測系統（IDS）：監控網路流量，識別並警告可疑活動。
• 入侵防禦系統（IPS）：在偵測到威脅後，自動採取行動阻止攻擊。
• 安全資訊與事件管理系統（SIEM）：收集並分析安全事件日誌，提供全面的安全可見性。
• 網路存取控制（NAC）：管理和限制設備連接到網路的權限。

資安事件管理系統 SIEM

端點（無論是桌機、筆電或伺服器）設備可配置為將日誌傳送至集中式平台（SIEM）

SIEM 會把資料整合、標準化，並與預先設定的規則進行比對，以偵測和標記可疑或異常活動，供 SOC 或安全分析師進行調查。

如果某個端點出現異常行為，SIEM 應該能夠偵測並產生警報。可以使用 Syslog 來達成這種日誌記錄和監控，結合 SIEM 平台以獲得更全面的監控能力。

端點防禦

• 防毒軟體：識別並移除已知的惡意軟體，保護設備安全。
• 端點偵測與回應（EDR）：監控端點行為，及時發現並應對進階威脅。
• 主機入侵偵測系統（HIDS）：監控主機層面的活動，識別異常行為。
• 主機入侵防禦系統（HIPS）：在主機層面主動防止入侵和惡意活動。

防毒軟體

1. 基於特徵碼的防毒軟體
   • 利用已知惡意軟體的特徵碼（特定的行為模式）來識別威脅，並進行刪除、隔離或發出警報。如果防毒軟體廠商尚未收錄某種惡意軟體的特徵碼，該威脅可能無法被偵測到。
2. 基於行為的防毒軟體
   • 防毒軟體先有「正常」行為的基線 baseline，來識別跟基線不同的異常行為，這些異常可能代表可疑或惡意活動。

信件安全

• 垃圾郵件過濾：識別並阻擋垃圾郵件，減少釣魚攻擊的風險。
• 資料外洩防護（DLP）：監控和防止敏感資訊通過電子郵件外洩。
• 信件掃描：檢查電子郵件中的惡意連結和附件，防止員工接觸到潛在威脅。
• 教育訓練：培訓員工識別和防範釣魚攻擊，提高整體安全意識。

垃圾郵件過濾器（Spam Filter）與信件掃描差異

垃圾郵件過濾器（Spam Filter）和信件掃描（Email Scanning）都是電子郵件安全的重要組件，但它們在功能側重和技術實現上存在一些差異。

垃圾郵件過濾器（Spam Filter）

• 主要功能：識別並攔截垃圾郵件，防止其進入使用者的收件匣。
• 工作方式：
  • 關鍵字過濾：檢查郵件內容中是否包含常見的垃圾郵件關鍵字。
  • 寄信人聲譽：根據寄信人的聲譽來判斷郵件是否為垃圾郵件。
  • 行為特徵：分析郵件的格式、不正常的標題或內容結構。
• 目標：減少收件匣中的無用或煩擾訊息，提高工作效率。

信件掃描（Email Scanning）

• 主要功能：檢測並阻止包含惡意內容的電子郵件，如病毒、惡意軟體、網路釣魚連結等。
• 工作方式：
  • 惡意網址檢測：掃描郵件中是否包含已知的惡意網址或連結。
  • 附件分析：檢查附件是否包含惡意程式碼或可疑內容。
  • 黑名單比對：使用已知的惡意寄信人、檔案雜湊、網域名稱等黑名單進行比對。
  • 模式與特徵碼：利用模式匹配和特徵碼分析來識別未知的威脅。
• 目標：防止惡意郵件進入組織網路，保護資料安全，並在必要時通知安全團隊進行應對。

差異總結

1. 功能側重點不同：

   • 垃圾郵件過濾器：主要針對降低垃圾郵件的數量，減少對使用者的干擾。
   • 信件掃描：專注於檢測和阻止安全威脅，保障組織和使用者的安全。

2. 技術手段不同：

   • 垃圾郵件過濾器：依賴於關鍵字、寄信人評級和郵件格式等較為基礎的判斷方法。
   • 信件掃描：使用更深入的安全分析技術，如病毒掃描、沙盒環境測試、行為分析等。

3. 處理方式不同：

   • 垃圾郵件過濾器：通常將識別出的垃圾郵件移至垃圾郵件夾，使用者可自行查看或刪除。
   • 信件掃描：對於偵測到的惡意郵件，通常直接隔離、刪除，並可能產生警報通知資安團隊。

4. 目標對象不同：

   • 垃圾郵件過濾器：針對大量的廣告郵件、推銷郵件等非惡意但不需要的郵件。
   • 信件掃描：針對具有潛在威脅的郵件，如含有惡意程式碼或網路釣魚內容。

資料外洩防護（Data Loss Prevention, DLP）

在不同層級監控寄出的信件，例如：

1. 信件正文內容
2. 信件標頭
3. 各類型的信件附件

小結

「防禦」是一個持續且多層次的過程，需要個人和企業共同努力。從提升安全意識到部署專業的安全系統，每一個步驟都至關重要。面對不斷演變的安全威脅，我們必須主動出擊，制定全面且有效的防禦策略，才能真正保護我們所重視的資產和資訊。

AAA 控制方法

在建立全面的安全防禦體系時，理解並應用 AAA 控制方法（Authentication、Authorization、Accountability）是至關重要的。

這三個要素共同確保只有被授權的個人才能存取 IT 資源，從而減少因帳號被盜用等安全威脅。

身份驗證（Authentication）

身份驗證涉及使用某種形式的驗證來確認使用者的身份。

主要有三種類型：

1. 你知道的東西（Something you know）：
   • 例子：密碼、PIN 碼、安全問題的答案。
   • 特點：易於實施，但安全性較低，因為這些資訊可能被盜取或猜測。
2. 你擁有的東西（Something you have）：
   • 例子：身份識別卡、鑰匙、手機驗證碼。
   • 特點：需要實體物品，安全性較高，但物品可能被盜或遺失。
3. 你是什麼（Something you are）：
   • 例子：指紋、虹膜掃描、面部識別。
   • 特點：基於生物特徵，安全性最高，難以偽造。

為了提高安全性，通常採用多因素驗證（Multi-factor Authentication），結合上述兩種或三種方法。例如，登入系統時需要輸入密碼（你知道的東西）以及手機上的驗證碼（你擁有的東西）。

授權（Authorization）

授權決定經過身份驗證的使用者被允許執行哪些操作。

• 例子：
  • 員工只能進入自己部門的辦公區域，無法進入機房或高管辦公室。
  • 一線 SOC 分析師只能查看事件記錄，無法修改系統設定。

最小權限原則（Principle of Least Privilege） 是授權的核心，也就是使用者只獲得完成工作所需的最小權限。

即使帳號被盜，使用者或攻擊者也無法執行超出其權限的操作，降低安全風險。

可問責性（Accountability）

可問責性是能夠追蹤和記錄使用者行為的能力，以便在發生安全事件時進行調查。

• 例子：
  • 記錄使用者的登入時間、操作歷史。
  • 監控異常行為，如非工作時間的大量資料刪除。

透過詳細的日誌和監控，我們可以：

• 確定誰在何時執行了哪些操作。
• 發現可疑活動，及時採取行動。
• 提供法律和合規所需的證據。

小結

AAA 控制方法為安全防禦提供了堅實的基礎。透過身份驗證確認使用者身份，透過授權控制使用者行為，透過可問責性追蹤和審計操作，我們可以建立一個可靠的安全環境。無論是個人還是企業，都應該重視並實施這些控制方法，以有效防範各種安全威脅。

總結

防禦是每個人和企業都必須重視的關鍵課題。個人需要保護財產和隱私，防止網路詐騙和個資盜用；企業則必須維護商業機密和客戶資料，以確保生存和競爭力。

但落實「防禦」面臨多重挑戰，包括：

• 網路威脅日益複雜：從釣魚攻擊到勒索軟體，攻擊手法不斷演變。
• 資安人才短缺：專業人力供不應求，企業難以找到足夠的人才。
• 安全意識不足：個人和企業常忽略基本的安全措施。
• 技術漏洞不可避免：再先進的系統也可能存在漏洞。
• 實體安全易被忽略：辦公環境和設備的防護常被忽視。

有效的防禦需要從風險評估和資源狀況出發，選擇最有效的起點。

防禦措施涵蓋：

• 物理防禦：門禁控制、實體監控、環境控制、威懾與警告。
• 網路防禦：防火牆、入侵偵測與防禦系統、SIEM、NAC。
• 端點防禦：防毒軟體、EDR、HIDS/HIPS。
• 信件安全：垃圾郵件過濾、DLP、信件掃描、員工教育。

也可以透過實施 AAA 控制方法（身份驗證、授權、可問責性）是建立可靠安全環境的基礎。透過確認使用者身份、控制其行為、追蹤和審計操作，我們可以有效防範各種安全威脅。

下一步

• 評估企業的安全體系：深入檢視現有的防禦措施，識別並修補潛在的安全漏洞。
• 提升員工的安全意識：定期進行資安培訓，培養員工識別和防範威脅的能力。
• 實施多層次的防禦策略：結合物理、網路、端點和信件安全，建立全面的防禦體系。
• 導入 AAA 控制方法：加強身份驗證、授權管理和可問責性，確保資源存取的安全性。
• 尋求專業支援：若內部資源有限，考慮與專業的資安服務廠商合作。

小試身手

1. AAA 控制方法中的「身份驗證」不包括以下哪一類型？

A) 你知道的東西（Something you know）
B) 你擁有的東西（Something you have）
C) 你是什麼（Something you are）
D) 你工作的地方（Somewhere you work）

2. 「最小權限原則」是 AAA 控制方法中哪一個要素的核心？

A) 身份驗證（Authentication）
B) 授權（Authorization）
C) 可問責性（Accountability）
D) 加密（Encryption）

===

答案:

1. D
2. B