資安迷局抽絲剝繭:如何善用NIST CSF框架? 在上一篇的內容中,與各位說明企業在資安的建構如何採取NIST CSF資安框架規劃資安策略,這就如同先擬定好一份可以讓企業依循的設計藍圖,接下來我們將在本篇中向各位說明如何選擇資安防護技術方案來佈防,以及企業在完成資安防護架構後該如何面對攻擊來襲的觀測視角。
善選資安防護技術方案,建立有效的佈防設計
企業在藉由NIST CSF規畫出資安藍圖後,當然需要資安裝備跟執行控制來施作實踐,不過在面對資安攻擊威脅的多樣化及複雜性,加上市場上琳琅滿目的各種資安防護技術方案,即使是內行的資安人員也會產生選擇障礙。有鑒於此,OWASP CDM及TaSM的設計產生,便是為了幫助評估思索的資安框架,這二個資安框架都隸屬OWASP組織,也是基於NIST CSF為基底所衍生的5x5矩陣框架,目的接為幫助使用者快速建立有系統脈絡、能化繁為簡的思索方法,幫助使用者從不同的需求層面,思索有哪些資安技術方案能滿足需要,並且可發揮適當防護效果,也能作為檢視需補強缺口的部分。
OWASP CDM(Cyber Defense Matrix)
OWASP CDM網絡防禦矩陣,是2016年在美國銀行擔任首席安全科學家Sounil Yu提出的5x5的網格矩陣,在第一維度橫軸,是以涵蓋NIST CSF的五大功能為基礎,而在第二維度的縱軸項目,則是以設備裝置、應用程式、網路、資料、及人員等五個資產類別。
在這個由二維結構組成的矩陣圖中,能幫助我們將所想要保護的資產類別先定義出來,再逐一從識別、保護、偵測、響應,以及復原等五大資安框架進行盤點,思考各項資產需要的資安技術方案;CDM方法的操作方式不只可以從資產層面的需求出發,也可以反過來從各位所研擬出的各種資安政策、須遵循的規範,或針對市場上的資安技術方案層面思索。
認識更多:Cyber Defense Matrix
OWASP TaSM(Threat and Safeguard Matrix)
OWASP TaSM威脅與保護矩陣,是以「行動」面向的檢視方法,由資安專家G Mark Hardy和Ross Young發起,目的是幫助CISO對於企業商務營運擬定合適、需要的縱深防禦計畫。基本上,TaSM也是同樣採用NIST CSF的五大功能為基礎所設計出來的5x5網格矩陣,但更是從面對威脅(Threat)所需的安全保護(Safeguard)而構建出的二維矩陣方法。
在第一維度的橫軸,TaSM以涵蓋了NIST CSF的五大功能以及安全防護為主;第二維度的橫軸則是從資安威脅為面向,例如企業最常遭遇的Web應用程式攻擊、網路釣魚、第三資料遺失、供應鏈攻擊、以及DDoS阻斷服務攻擊等。
OWASP CDM及TaSM都是幫助我們能清楚思索評估資安策略所需要的保護技術方案,各位可以將不同的威脅套用CDM或TaSM框架來進行相關的保護方法思索。有鑒於任何一種保護技術方案的選擇與導入都需要付出成本(包括經費、時間、人力、資源),因此,如何將寶貴、有限的資源,以有效率的方式,依據企業的狀態及資安策略進行合適的防護建立,並且發揮效果;最重要的是,避免「聽說、跟風、不知所以然」的瞎選方式。
面對攻擊來襲,你更需要攻擊向量視角
前面我們提到分別從設計企業資安策略的NIST CSF開始,以及如何選取合適企業資安防護方案的OWASP CDM與TaSM,都是屬於為了建構企業資安的準備,而且,這一切的準備都是為了面對攻擊來犯。
企業必須先建立「遭受資安攻擊是不可避免」的心態概念,因此,如何趕緊察覺攻擊來犯的蛛絲馬跡,是防範未然跟避免災損的最佳方法,但是困擾大家的問題是:看不出、也看不懂發生什麼資安攻擊?雖然資安攻擊的手法複雜,但是仍然有施展的過程與跡象可以被觀察出來,例如,早年有「網絡攻擊鏈(Cyber Kill Chain)」可用來描繪關於企業遭遇攻擊入侵的過程階段,到了近幾年以來,資安領域最為推崇MITRE ATT&CK Framework提出的方法。
MITRE ATT&CK全名為MITRE Adversarial Tactics Techniques and Common Knowledge,是由非營利組織MITRE所提出、持續維護的資安框架,它主要是從駭客角度針對網絡攻擊入侵進行分類和說明的指南,ATT&CK框架發布於2015年,是現今最主要作為檢視資安攻擊活動的攻擊戰術、攻擊技術以及攻擊模式的知識庫,並且不斷地被持續更新。
我們可以將MITRE ATT&CK視為一種描繪資安攻擊活動的共通語言,有助於入侵手法的描述、分類和理解威脅行為上,能有一套共通標準。MITRE ATT&CK將入侵流程定義成14個戰術(Tactic),包括:偵查、資源開發、初步訪問、執行惡意程式碼、持續性控制、權限提升、防禦規避、憑證存取、探查環境、橫向移動、資料收集,以及事件發生(命令與控制、洩漏及影響)等,並且描述每個戰術所採取的技術(Technique)及程序(Procedure),提供結構化的方法,有助於資安專業人員更好理解與判讀威脅行為。
順道一提,MITRE ATT&CK可以與NIST CSF的偵測與響應之間,進行相互策略應用搭配,企業以NIST CSF制訂資安策略需要的具體評量指標,便可利用MITRE ATT&CK來設定。
此外,企業在利用OWASP CDM或TaSM,進行所需資安防護技術方案的評選時,也可以檢視該項防護技術方案是否具備或支援MITRE ATT&CK的情報內容,例如,現今的XDR技術技術方案便是一種,有助於企業面臨資安威脅時,能夠快速展開攻擊視角來掌握整體情況,並且可以迅速展開準確的防禦行動應變。
資安威脅是無限賽局,善用方法才是破解之道
資安威脅是場無限賽局,隨著各種新型的數位科技問世,往往都是攻擊方會取得先機,而防守方的企業則經常處於被動應對的狀態,因此,企業的資安防護想要搶佔先機,就必須採取更睿智聰明的方法。對此,我想再次引用孫子兵法所提到的「上兵伐謀」,企業資安策略與防護的重點在於:能夠有效率地破除駭客攻擊的計謀與手段,最不需要的是跟駭客團體進行軍武競賽,因為,將寶貴資源用在企業競爭力更值得。
隨著數位化的爆發式發展,「數位信任(Digital Trust)」勢必將成為數位世代的重要指標,我們無法預期未來的數位是否能發展出電影第一玩家,或駭客任務的模式,然而,已知與未知型態的資安攻擊卻對數位信任造成衝擊。
借用BSI數位信任專家Mark Brown在<數位信任新紀元>一文所言,「數位信任」並非網路安全的新鮮詞,但其內容涵蓋會影響客戶、使用者,以及和利害關係人對於企業信任的諸多因素,企業唯有仰賴資安才能順利運作並獲得完善保護。資安是建立數位信任的關鍵要素,更是刻不容緩的任務,懂得善用方法,才是建立企業資安最睿智聰明的上上策。
本文刊載於 iThome《CYBERSEC 2024 臺灣資安年鑑》謀定而後動,善用資安框架是上上策
Comentários