Progress：運用有限資源做到最有效的資安防護

「我們不會買一個很昂貴的金櫃然後裡頭只放一塊錢，意即我們必須用有限的資源去做到最有效的資安防護。」Progress Software技術總監同時擁有CISSP認證的林逸軒一語道出資安的現實課題。

林逸軒接續說，資安是有價的，沒有免費的，資產是需要鑑價的，喪失資產要付出多少代價，保護資產則要付出多少成本心力等，都必須考量再三。有了評價依據後接下來要導入資安治理框架，也就是過往以來前人累積成的最佳實務(Best Practice)，框架實現後再進行防護功效機制的驗證。

除了治理框架外近幾年來也開始有攻擊的框架，即MITRE ATT&CK，此同樣是前人的累積，我們無法確保每個企業組織的資安人員都如駭客般聰明厲害，但依據框架做則可以達到一定的防護效果。

不過框架也相當多種，如NIST、COBIT等，要如何找到合適的框架呢？林逸軒建議以企業規模、防護範圍為基準來衡量，新創或小型企業可能只要保護程式碼，大型企業則需要執行例行的稽核工作。

即便已選定合適的框架也不能全部照搬照套，必須選定範圍，依據說明與指示調整成自身合用且盡可能減少打擊面，如此讓駭客不容易打進來，成功防護機率也會提高。

要做好資安也必須觀察攻擊，Zerodium即有揭露各種零時差(zero day)攻擊的價碼，例如在macOS上的提權(Local Privilege Escalation, LPE)、沙箱跳脫或放行(Sandbox Escape or Bypass)等手法價值5萬美元，Linux上的WordPress遠端程式碼執行(Remote Code Execution, RCE)攻擊則價值10萬美元。資安人員可以衡量自身資產價值，是否值得駭客以對應價碼的攻擊手法進行入侵。

在環顧治理與攻擊後林逸軒也提醒資安不能忘本，無論已建置多少資安防護，都必須回歸資安的基礎要素，包含CIA與3A，CIA為機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)；3A則為認證(Authentication)、授權(Authorization)與稽核(Accounting)。

在框架與建議後林逸軒也以實例解說，以NIST SP 800-53的風險管理框架(RMF)為起點開始調整範疇與選擇控制措施，之後再套用到企業自有環境中。換言之要先確認目標與價值，然後選擇合適的框架，再套用框架以符合目標，最後要驗證執行。此外若要對未分類的資訊施行保護控制則可參考另一框架NIST SP 800-171。

再以實例而言，企業可以在連外網路前設置防火牆，並在內部設置一個非軍事區(DMZ)，區中設置IPSWITCH的閘道器，同時也可考慮在區中使用負載平衡器。而在非軍事區到內部更深層的防護網路前再設置一道防火牆，並在牆內安放ipswitch的MOVEit AUTOMATION與MOVEit TRANSFER。

進一步也透過防火牆再深入企業內部資訊資產，如NAS、防毒ICAP伺服器、資料庫等，並佈建資料外洩保護(DLP)方案。最後林逸軒也提醒，資安防護不可能一步到位，而是要逐步實現，並持續強化改進。