【28】資安的原罪 ch.4-2 企業治理

本章快速介紹各大組織機關如何正在努力提供更安全的產品、更安全的環境。

製造商和科技企業

「作為一個國家，我們允許了一種制度，讓網路安全的責任過度地落在消費者和小型組織的肩上，而不是由那些生產技術和開發日益主導我們數位生活產品的企業承擔。美國人需要一種新的模式來解決網路安全的缺口——一種讓消費者能夠信任他們每天所使用技術的安全性與完整性的模式。」- CISA^17

商業公司是以盈利為目標的組織，決策自然以賺錢為目標。隨著資安威脅不斷升高，企業也逐漸將「安全性」視為與產品功能同等重要的核心要求之一。

安全的產品

在開發階段就將安全性納入考量，像是採用SDL、DevSecOps模式；產品應該盡量預設安全，像是零信任、自動更新、最小攻擊面等機制；也要遵循各種指引和規範，像是OWSAP Top 10、 NIST等 ^11 ^16。

此外，也應採取一些即使對商業不利（如提高成本、延長開發時間、增加使用難度），但在資安上屬於必要的措施，像是強制安全措施、驗證，停止支援、關閉過時不安全沒在使用的服務 ^13 ^3 ^5 ^14。

安全的文化

除了產品，公司內部的風氣還有外部的形象都將安全納入。像是微軟推出「安全未來倡議」打造更健全的資安制度，還有將員工的績效考核和獎金與安全性綁定 ^8 ^7 ^20 ^25，。AWS也在會議中資安文化並揭露多項幕後資安技術^2。企業公司也透過加入資安組織、通過資安驗證等方式提升品牌資安形象 ^4 ^9 ^6。

此外，企業與組織也可主動提供各種資安資源與服務，強化整體防禦能力。像是調查與共享威脅情報、提供資安工具與平台、建置公益防護機制、支援執法機關偵辦資安事件 ^18 ^1 ^12 ^21 ^22 ^23 ^26，不僅可降低整體風險，也有助於建立正向品牌形象。

🏢 組織資安管理

除了供應端設計提供安全的產品與服務，使用端的企業組織也在落實資訊安全治理。

1. 建立明確資安規範與制度

• 訂定員工使用設備（如筆電、公用電腦）之行為規範。
• 建立委外作業資安SOP，防堵供應商成為漏洞。
• 防止管理層面的疏失，例如使用未授權軟體或缺乏存取權限監控等問題。
• 導入國際資安標準（如 ISO/IEC 27001、NIST CSF）。
• 政策文件化與檢查表化，落實執行與查核。

2. 強化基本防護措施

• 啟用多因素驗證（MFA）於所有系統
• 定期更新系統與應用程式，避免漏洞被利用。
• 所有設備（含員工自帶設備）安裝防毒、防惡意軟體。
• 實施端點防護，防止設備成為攻擊跳板。
• 採用最小權限原則、網路微分段、零信任架構。
• 定期弱點掃描與備份資料。

3. 建立事件應變機制

• 針對可能發生的資安攻擊事件，應制定 完整的應變計畫。
• 準備好通報流程、責任分工、災後復原程序等，降低事件影響。

4. 推動資安意識與訓練制度

• 資安訓練應納入員工全生命週期：入職前、在職期間、離職後皆應涵蓋。
• 定期舉辦專業資安訓練，搭配無預警突擊演練，提高實戰反應力。^19
• 建立員工對資安的日常意識與防護習慣，如不點擊可疑連結、不使用未授權裝置。

資安相關資源和規範

✅ MITRE

MITRE 是一家美國非營利組織，負責多項政府資助的研究計畫，在網路安全領域中以建立和維護 CVE（Common Vulnerabilities and Exposures 公共漏洞與曝險）系統而聞名。

MITRE 正在從 CVE 的「成長時代」（招募全球 CNA 參與、擴展漏洞收錄數量）轉向 「品質時代」，^24 目標是提高漏洞資料的可信度、自動化能力與應變效率。這對整個網路安全社群具有深遠影響，因為漏洞揭露和修補的準確性與速度日益重要。

MITRE 也開發了 ATT&CK 架構，廣泛用於威脅情報與攻擊模擬。

🎯 核心資源：CVE、ATT&CK、CAPEC（攻擊模式資料庫）

✅ OWASP (Open Worldwide Application Security Project)

OWASP 是一個全球性的非營利社群，致力於提升軟體安全。它以 OWASP Top 10 最為知名，這是一份針對網頁應用程式的十大常見安全風險清單，被業界廣泛採用作為安全設計與測試基礎。

除了 Top 10，OWASP 還推出了多項開源工具與資源，例如：

• ZAP：自動化安全測試工具
• ASVS：應用程式安全驗證標準
• Cheat Sheets：實用的安全設計建議清單

🎯 OWASP 提供實務導向的資源，特別適合應用程式開發人員與測試人員使用。

✅ NIST (National Institute of Standards and Technology)

NIST 是美國國家標準技術研究院，為政府與產業提供各類標準與框架，在網路安全方面也極具影響力。
NIST 資安框架全稱為 NIST Cybersecurity Framework，是由美國國家標準與技術研究所提出，透過系統性、完整架構的標準，協助企業檢視自身資安防禦的不足，並針對特定項目進行補強。

NIST 最著名的貢獻包括：

• Cybersecurity Framework (CSF)：為企業建立風險導向的資安策略。
• SP 800 系列（特別是 800-53、800-171）：提供政府與承包商實施資訊安全與隱私控管的技術指導。
• Risk Management Framework (RMF)：風險評估與管理流程模型。

🎯 對於從事資安治理、風險評估、合規與政策制定者來說，NIST 是首選的權威來源。

✅ ISO/IEC 27001

ISO/IEC 27001 是「資訊安全管理系統（Information Security Management System，ISMS）」的國際標準。該標準訂定了在公司應當如何管理資訊以達到安全的標準。
ISO/IEC 27001 是由國際標準組織 (ISO) 與國際電工委員會 (IEC) 聯合制定的資訊安全管理系統 (ISMS) 國際標準。

這個標準協助組織：

• 建立與維運資訊安全管理體系
• 進行風險評估與管理
• 通過第三方認證展示其資安能力

ISO 27001 特別適合希望通過正式審查、強化資安治理的企業與機構，常見於金融、醫療、雲端與大型企業供應鏈。

🎯 若想進入 GRC（治理、風險與合規）或成為企業資安顧問，ISO 27001 是必備知識。

✍️ 筆者心得

我們可以觀察到許多科技巨頭開始積極推動文化轉變，將資安納入企業核心價值。資安意識與管理機制也逐步擴展至各單位、部門，形成更全面的資安網絡。許多專業組織與社群也持續分享最新威脅情報與防禦策略，促進跨部門、跨企業的資安協作與聯防。

筆者也提供一些想法：

1. ISP 服務商關鍵位置

ISP（網際網路服務提供商）在資安生態中扮演著關鍵角色。政府單位也許可透過法規或獎勵機制，鼓勵 ISP 建立資安聯防機制，若將能量資源強化在ISP身上，或許可以同時減少大量下游客戶的壓力。

• ISP具備用戶資訊，能協助追蹤與通知受感染設備的實際持有人，還有攻擊者的身分，提高防護效率。
• 除了提供網路連線服務外，ISP也可以進一步提供基本的資安防護與通報機制，成為「第一線」的資安守門人。
• ISP若能更主動偵測異常行為，例如受感染設備發送垃圾郵件或參與DDoS攻擊，即可即時介入，減緩災害擴散。

2. 自主參與的實名網路環境

在現有網際網路架構之上，有沒有機會發展出一套平行運作、具身分認證機制的「實名網路」。將方向放在打造安全的環境，也許可以大幅降低比起在危險環境中自保的難度。

• 這不會取代現有網路，也不強迫所有人加入，而是提供一個自願參與、身分可驗證的選項。
• 相對於匿名性高的暗網，實名網路需經過身分驗證，有助於提升安全性與信任基礎。
• 某些對資安要求高的設備或應用場景，將能設定僅接受來自實名網路的流量，減少風險暴露。
• 可考慮透過改寫或擴充現有網路協定，加入 ID 標記與身份驗證功能，實現這樣的環境。

在金融面，可透過強化 KYC（Know Your Customer，了解你的客戶）機制，發展一套建立在現有系統之上的實名金融交易網絡，交易雙方或機構可自主選擇只與已完成 KYC 驗證的實體進行資金往來。

3. 物理安全保障的產品

除了積極將產品打造安全，有沒有辦法承擔可能的利益損失，但推出物理實質保障安全的產品？如果方向放在透過增加硬體成本來提升安全，會不會比放在軟體安全開發的成本，和安全性還是遭到突破帶來的虧損，來得更划算一點？

像是現在常見的筆電鏡頭防滑蓋，就是一個增加成本，但提供了安全性的選擇。同樣的，像是麥克風元件、通訊元件、電力供給元件等，有沒有辦法也做到物理上的控制，而不是仰賴軟體控制？能否放棄多一點自由性、擴編性，讓可編程的元件少點，防竄改、唯讀的元件多一點。