每位資安長都要能夠回答的四個網路安全問題

我們的增進網路安全策略部落格系列共計分為六個部份，在第一個部份中，我們將探討業界依賴高度分隔性的方式如何造成更不安全的反效果，再來我們會分享每位資安長都應該要能夠回答的四個重要問題。

IT 基礎架構通常會隨著公司規模的擴大而增加。因應需求而產生的新工具、應用程式、系統和使用者設定檔相互堆疊構成一個龐然大物，且過程中通常缺乏策略性規劃。新增工具造成組織孤島大量湧現，安全團隊發現每一項新工具都必須採用新的部署和維護技術。不久之後，整個 IT 運作就好比是每一代的屋主都加蓋一個新房間而建構成一棟搖搖欲墜的老房子。

威脅埋伏在陰暗的角落。無法預見的安全弱點、日趨陳舊的技術、分散式資料中心、網路四處蔓延、貪婪的內部人員和容易受騙的使用者越來越多。由於企業 IT 基礎架構的元件分散且分隔化，單憑一人或一個團隊之力很難全面掌握整體網路的安全。

歡迎閱讀完整的 Cyber Exposure 部落格系列文章：

每位資安長都要能夠回答的四個網路安全問題

找出貴公司 Cyber Exposure 缺口的 3 大要訣

根據風險排定弱點優先順序的 5 大要訣

指標與成熟度：測試貴公司長期的 Cyber Exposure 指標

貴公司的 Cyber Exposure 作法與同業的其他公司相較之下成效如何？

Cyber Exposure：採取全方位的弱點管理方式

缺乏能見度造成難以察覺這些孤立的威脅媒介，要處理發現到的威脅時，更是難上加難。這是因為在多數時候，可用的工具和戰術只能專門用來解決特定且零散的領域。我們經常看到安全工具毫無章法地部署在整個組織內。像是營運、應用程式、安全、DevOps、網路安全、機器學習和高速運算等團隊，還有資安營運中心 (SOC) 及稽核與合規部門，全都一昧追尋和部署各自專屬的獨立工具。而市面上又充斥著琳瑯滿目的安全工具選擇。2018 年舉行的 RSA 大會就有超過 600 家廠商參展。

雖然這些都是老問題了，但由於攻擊破綻不斷擴張，解決它們的需要也變得更加迫切。在我們與 IT 及網路安全專業人員的合作當中，我們常聽到他們提到保護整個企業中使用的所有孤立的應用程式、以及分散式運算與儲存平台所帶來的挑戰。由於操作技術 (OT) 和物聯網 (IoT) 裝置這些與網際網路連線的解決方案通常都部署在 IT 部門保護範圍之外的地方，因此也帶來了它們本身的問題。

大多時候，組織最終會採取透過 API 整合應用程式的途徑，將眾多雲端集中放置在單一管理平台範疇下，以利一次管理數個雲端環境。然而，這個方法也不過是權宜之計。它仍無法取代全面性的網路安全策略，其強調整體網路的能見度，且能更精細地洞察暗藏其中的威脅，讓組織得以有效安排回應的優先順序。我們稱此方法為 Cyber Exposure。

Cyber Exposure 是一種新興技術，可用來管理與衡量數位時代的網路風險。Cyber Exposure 將原本靜態且能見度有所侷限的安全措施，轉型為動態並全面掌控各種現代攻擊破綻的防禦型態。利用此技術作為基礎，即可建構涵蓋完整現代攻擊破綻的網路策略。

每位資安長都要能夠回答的四個問題

運用 Cyber Exposure 技術建構全面性的網路安全策略，可讓您隨時答覆有關貴組織的這四大問題：

• 我們的網路安全程度及曝險程度有多高？ 要回答這個問題，就需要擁有企業攻擊破綻所有層面的能見度，包括雲端資源、容器、工業控制系統和行動裝置，這些層面不見得都在 IT 的監控範圍之中。它牽涉到清點貴公司存在的特定威脅位於哪些地方。例如，若貴組織對於部署修補程式特別勤快，那麼和一家 7 年內都沒有修補系統的企業相較，最新的 Windows 弱點對您可能就不會是一個大問題。藉由瞭解您的曝險在何處、或者哪裡的可能性比較高，您就能看得更清楚風險的全貌。
• 哪些地方應優先處理？您必須先統整威脅情報，確實掌握可能遭惡意利用的問題所在和資產關鍵性，以及了解資產的商業因果分析，才能回答這個問題。搭配商業因果分析方可確保有效安排弱點的優先順序，您也能夠將心力、資源和預算做最佳配置。如此一來，您就可以集中注意力保護最脆弱的環節，這些地方一旦疏於防範，將可能導致貴組織付出昂貴的人力、罰款、時間、修復和商譽成本。它也能減少對警示感到疲乏的情況，因為您可以根據受影響資產對於企業的關鍵性高低，以及該弱點遭到惡意利用的可能性，安排團隊回應弱點的優先順序。
• 如何逐漸降低曝險程度？您的答案將體現出您在降低曝險程度方面的工作進展。您要先確立用來衡量進度的指標和 KPI。該指標須具備業務單位、地理位置和資產類型的通用性。衡量的目標在於了解每個月、每一季和每一年的曝險變動情況，以利您協助業務端的同事和公司高層了解公司的網路安全投資效益。
• 我們與同業相較如何？回答這個問題迫使您跨出公司的內部，協助您了解貴組織的網路安全作法與其他同產業和不同產業的業者相較之下如何。貴組織相對於同業和頂尖安全措施的評比是董事會必須討論的重要事項，以利促進談論的策略內涵，並協助確保董事會負起信託責任，妥善監督公司風險。網路風險跟其他的商業風險一樣，皆須以相同的方式加以管理和衡量。

能正確回答這四個問題，才可以確實了解您的網路安全性措施的整體風險暴露和成效。但如果您面對的是高度分隔式的 IT 基礎架構，光是思索從何開始往更全面性的策略發展，可能就會讓您感到氣餒。

今天就能建置的三個網路安全作法

這裡告訴您今天就能開始使用的三個訣竅，協助您向全面性的網路安全策略邁進。

1. 無論是網路釣魚或是漏網之魚，要更深入且廣泛的觀察，尋找任何可能的弱點。下次的攻擊可能會從未知且意想不到的地方出現。惡名昭彰的賭場魚缸駭客入侵就是一個絕佳範例，在這個事件當中，駭客利用賭場魚缸內的網路連線感應器盜取 10 GB 的資料。的確，由於物聯網裝置的數量急遽增長，這讓惡意破壞者有更多入侵機會，安全團隊必須不斷更新弱點清單。然而，物聯網裝置並非是唯一需要照亮和防禦的隱藏暗角。別忘了還有雲端裝置和雲端環境、容器、錄影監視系統、HVAC 系統和其他網路連線系統，這些通常都不是由 IT/SecOps 團隊負責處理。例如，Tenable 研究人員在九月時披露他們發現的 Peekaboo 弱點，其可能會影響到數十萬部用於錄影監視系統的網路連線攝影機。務必確保您的安全團隊已做到滴水不漏的把關，且具備專業工具以揪出層出不窮的新弱點。
2. 並非所有資產皆生而平等。一定要了解哪些是對企業而言最關鍵的資產，才能對威脅採取有力且適當的回應。比起在櫃檯用來登入訪客的 iPad，公司財務長使用的 iPad 可能是價值更高的目標。請務必優先加強守護您最關鍵的資產。現在就花點時間來判定各項資產的關鍵性，並根據其重要程度進行回應時間的排序。之後您還必須定期更新此資訊。採用資產標記方法是一個不錯的開始，它可讓您根據資產的關鍵性來盤點資產。進行資產關鍵性評估時，記得將 GDPR、HIPAA 和 PCI 等法規的合規性規定納入考量。
3. 安排修復的優先順序。在每年揭露的數千個弱點中，實際遭到惡意利用的只有少數幾個。您必須能洞悉目前擴散中的惡意利用弱點，並及早警覺到在不久的將來可能遭受攻擊的弱點。若能獲取這類資訊，安全團隊就能夠根據資產的關鍵性、威脅情報和可能性分析，來安排回應威脅的優先順序。

深入瞭解

歡迎閱讀完整的 Cyber Exposure 部落格系列文章：

• 每位資安長都要能夠回答的四個網路安全問題
• 找出貴公司 Cyber Exposure 缺口的 3 大要訣
• 根據風險排定弱點優先順序的 5 大要訣
• 指標與成熟度：測試貴公司長期的 Cyber Exposure 指標
• 貴公司的 Cyber Exposure 作法與同業的其他公司相較之下成效如何？