iT邦幫忙

2025 iThome 鐵人賽

DAY 18
0
自我挑戰組

AI學習之旅系列 第 18

Day 18|三大安全控制:管理、技術、實體(2025 加強版)

  • 分享至 

  • xImage
  •  

⚠️ 免責聲明
本文為學習筆記與教學整理,引用公開國際標準與報導,非正式教材。實務應依組織政策與法規調整。


前言

在資訊安全治理中,「控制(Controls)」是將策略與框架落地的手段。控制不僅是技術方案,也包括管理制度與實體保護。
到 2025 年,隨著標準演進與攻擊態勢持續變化,控制方式也必須不斷更新。
本篇將從 管理控制、技術控制、實體控制 三大類別,結合最新標準與案例,探討如何做到「專業且具時效性」的安全控制設計。


1. 權威定義與最新標準動態

控制的基本定義

  • 管理控制(Management Controls):針對政策、程序、治理、風險管理與監督的控制措施。
  • 技術控制(Technical Controls):以技術、工具、程式、系統設定來強制或輔助安全行為的控制。
  • 實體控制(Physical Controls):針對實體空間、設施、機房、設備、環境的一系列安全措施。

這三類控制在 NIST SP 800-53ISO/IEC 27002:2022 等標準中都有明確設計與分類。

標準更新動態(至 2025 年)

  • NIST SP 800-53 Release 5.2.0

    • 2025/08/27,NIST 發布對 SP 800-53 的 minor 更新(Release 5.2.0),新增或增強控制:SA-15(13)、SA-24、SI-02(07) 等,並修訂部分控制的討論與範疇。(NIST 資訊安全資源中心)
    • 此更新重點在提升 軟體更新與補丁流程 的控制強度。(NIST 資訊安全資源中心)
    • 雖然不是重大版本跳躍,但對於 2025 年之後的安全控管有直接影響。(NIST 資訊安全資源中心)
  • ISO/IEC 27002:2022 控制架構

    • ISO 27002 已於 2022 年發布新版,其控制數量由原本 114 條縮減至 93 條,並重組為四主題類別(Organisational、People、Physical、Technological)(Pivot Point Security)
    • 新增控制/調整控制包含:Threat Intelligence、雲端服務安全、資訊刪除、資料遮蔽、資料外洩防護、監控活動、網頁過濾、安全程式碼、供應鏈安全等(High Table)
    • 在 ISO 27001:2022 中,Annex A 控制即對應至 27002 的新版控制集。(Secureframe)
    • 對於已取得 ISO 27001:2013 認證的組織,需在 2025/10/31 前完成過渡。(Secureframe)

因此,到 2025 年為止,三大控制的設計若仍停留在舊版本控制,很可能無法有效面對新的威脅與法規要求。


2. 三大安全控制分類與具體案例(含 2024–2025 年新情勢)

下面每類控制,我會列出:代表措施 + 新興風險 + 國際/台灣案例 + 控制設計建議。

管理控制(Management Controls)

代表措施:資安政策、風險管理、治理結構、供應商安全協定、教育訓練、審計/稽核機制、委外監控、變更管理流程。

新興風險 / 關注點

  • 雲端與多租戶架構下的第三方關係管理
  • AI / 自動化系統中代理人的行為授權治理
  • 策略與控制文件滯後、不符新版標準

國際案例

  • Target 2013:駭客透過 HVAC 廠商帳號入侵,暴露控制政策與供應鏈治理不足問題。
    (原始報導可參考 KrebsOnSecurity)
  • SolarWinds 2020:供應商軟體更新管道被滲透,代表治理與策略不足。

台灣案例

  • 金融機構被要求在合約條款中納入資安條款與稽核權限
  • 公部門推動資通安全管理法後,某機關在稽核中被指出政策書與流程書不完整

控制設計建議

  • 設立「控制標準矩陣」以追蹤各控制層級(管理、技術、實體)的關聯
  • 強制供應商簽訂安全 SLA / 資安契約條款(含稽核權)
  • 每年針對管理控制做 內部稽核與落實評估

技術控制(Technical Controls)

代表措施:身份驗證 (MFA / FIDO2)、存取控制、加密、EDR / AV / IPS / IDS / WAF、入侵防禦、漏洞管理、日誌分析、SIEM / SOAR、自動化防禦、API 安全。

新興風險 / 關注點

  • 釣魚助手(代理人、自動化郵件處理程式)被濫用
  • 雲端服務與 API 被濫用
  • 控制工具未整合、造成盲區
  • 控制失效時無法偵測

國際案例

  • Colonial Pipeline 2021:使用 VPN 無 MFA,導致技術防線被突破。
    (AWS 文件)
  • Log4Shell(2021):在大量應用中引發技術漏洞的風暴,迫使各國快速推出緩解方案。

台灣案例

  • 金融業遭受 DDoS 攻擊,技術防禦未充足
  • 雲端服務遭未授權 API 呼叫,因未實施細節控制

控制設計建議

  • 使用 最小權限 + 零信任原則
  • 結合 SAST / DAST / SCA / 签章驗證 / runtime 防禦
  • 強制日誌不可覆寫、集中化儲存與異常偵測
  • 建立 控制效能監測儀表板(Control KPIs)

實體控制(Physical Controls)

代表措施:門禁系統、生物辨識、CCTV 監控、機房防護、環控 (溫濕度、電源、UPS)、火災偵測、設備鎖櫃、環境保安隔離。

新興風險 / 關注點

  • IoT / OT 裝置的實體入口控制
  • 無人機 / 感測設備滲透
  • 訪客尾隨 (tailgating) 與惡意社交工程進入機房

國際案例

  • AWS 資料中心:使用多層門禁、生物認證、監控與環境感知,作為全球雲端基礎設施典範。
    (AWS 文件)

台灣案例

  • 有審計報告指出某機關資料中心門禁管理鬆散,曾被非授權人員偶發進入
  • 電信機房、電力設施等關鍵設施在疫情後遭受入侵企圖,促進門禁與監控升級

控制設計建議

  • 實施 多層實體防線 (defense in depth):外層圍牆 → 門禁 → 門鎖 → 實體設備鎖櫃
  • 定期 尾隨檢測演練 (tailgating test)
  • 設備通風 / 緊急電源 / 火災偵測 /備援空調 加入監控與告警系統

3. IoC / IoA 指標 (針對控制失效時的偵測)

控制類別 行為指標 (IoA) 妥協指標 (IoC)
管理控制缺失 無風險登錄表、審計紀錄空白 稽核報告指出流程缺失
技術控制失效 未生成日誌、API 無驗證、MFA 被繞過 EDR / SIEM 告警、未授權存取紀錄
實體控制失效 門禁讀卡錯誤、未登記訪客 CCTV 顯示人員未授權進入、門禁異常紀錄

4. SOC / IR Playbook 切入(按控制分類)

  1. 偵測 (Detect)

    • 技術控制中的日誌 / SIEM 告警
    • 管理控制稽核發現政策缺失
    • 實體控制 CCTV / 門禁異常紀錄
  2. 隔離 (Contain)

    • 凍結可疑帳號 / 關閉受影響服務
    • 暫停訪客進入 / 封鎖實體入口
  3. 取證 (Forensics)

    • 收集 EDR 日誌、門禁記錄、稽核紀錄
    • 儲存 CCTV 影片、環控感測資料
  4. 清除 / 修復 (Eradicate & Recover)

    • 補強技術控制(補丁、加密、系統強化)
    • 更新政策與流程
    • 強化實體防護 (重置門禁、加強驗證)
  5. 事後檢討 (Lessons Learned)

    • 更新控制標準矩陣
    • 新增控制 / 改善控制
    • 演練與回顧

5. 演練模版 (Practice)

管理控制演練

  • 案例:主管要求跨部門跳過風險評估直接上線功能
  • 模擬過程:員工是否依政策拒絕或進行風險評估流程

技術控制演練

  • 紅隊模擬無 MFA VPN 入侵
  • 演練 EDR / SIEM 是否即時告警與封鎖

實體控制演練

  • 尾隨測試:讓非授權人員試圖尾隨進入受保護機房
  • 偽造門禁卡進出測試

6. 可視化圖表

三大控制與標準對應(Mermaid)

控制類別對照表

控制類別 NIST SP 800-53 控制家族(例) ISO 27002:2022 控制主題 核心焦點
管理控制 PM (Program Management)、PL (Planning)、RA (Risk Assessment) Organisational controls 策略、風險管理、治理
技術控制 AC (Access Control)、SI (System & Information Integrity)、SC (System & Communications) Technological controls 存取、加密、入侵防禦
實體控制 PE (Physical and Environmental) Physical controls 門禁、環控、設備保護

7. 延伸閱讀(更新至 2025)


上一篇
Day 17|NIST CSF vs ISO 27001:框架比較
下一篇
Day 19|Secure by Design:設計階段的安全思維
系列文
AI學習之旅25
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言