Progress:運用有限資源做到最有效的資安防護

「我們不會買一個很昂貴的金櫃然後裡頭只放一塊錢,意即我們必須用有限的資源去做到最有效的資安防護。」Progress Software技術總監同時擁有CISSP認證的林逸軒一語道出資安的現實課題。

「我們不會買一個很昂貴的金櫃然後裡頭只放一塊錢,意即我們必須用有限的資源去做到最有效的資安防護。」Progress Software 技術總監同時擁有 CISSP 認證的林逸軒一語道出資安的現實課題。

Progress Software技術總監林逸軒
Progress Software 技術總監林逸軒

林逸軒接續說,資安是有價的,沒有免費的,資產是需要鑑價的,喪失資產要付出多少代價,保護資產則要付出多少成本心力等,都必須考量再三。有了評價依據後接下來要導入資安治理框架,也就是過往以來前人累積成的最佳實務 (Best Practice),框架實現後再進行防護功效機制的驗證。

除了治理框架外近幾年來也開始有攻擊的框架,即 MITRE ATT&CK,此同樣是前人的累積,我們無法確保每個企業組織的資安人員都如駭客般聰明厲害,但依據框架做則可以達到一定的防護效果。

不過框架也相當多種,如 NIST、COBIT 等,要如何找到合適的框架呢?林逸軒建議以企業規模、防護範圍為基準來衡量,新創或小型企業可能只要保護程式碼,大型企業則需要執行例行的稽核工作。

即便已選定合適的框架也不能全部照搬照套,必須選定範圍,依據說明與指示調整成自身合用且盡可能減少打擊面,如此讓駭客不容易打進來,成功防護機率也會提高。

零日(Zero-Day)攻擊的技術以不同的價碼叫價販售,從1萬美元到100萬美元不等。
零日(Zero-Day)攻擊的技術以不同的價碼叫價販售,從 1 萬美元到 100 萬美元不等。

要做好資安也必須觀察攻擊,Zerodium 即有揭露各種零時差 (zero day) 攻擊的價碼,例如在 macOS 上的提權 (Local Privilege Escalation, LPE)、沙箱跳脫或放行 (Sandbox Escape or Bypass) 等手法價值 5 萬美元,Linux 上的 WordPress 遠端程式碼執行 (Remote Code Execution, RCE) 攻擊則價值 10 萬美元。資安人員可以衡量自身資產價值,是否值得駭客以對應價碼的攻擊手法進行入侵。

在環顧治理與攻擊後林逸軒也提醒資安不能忘本,無論已建置多少資安防護,都必須回歸資安的基礎要素,包含 CIA 與 3A,CIA 為機密性 (Confidentiality)、完整性 (Integrity)、可用性 (Availability);3A 則為認證 (Authentication)、授權 (Authorization) 與稽核 (Accounting)。

運用資安治理框架可快速吸取前人的經驗實務,如美國國家標準技術研究院(NIST)即提出風險管理框架(RMF)。
運用資安治理框架可快速吸取前人的經驗實務,如美國國家標準技術研究院(NIST)即提出風險管理框架(RMF)。

在框架與建議後林逸軒也以實例解說,以 NIST SP 800-53 的風險管理框架 (RMF) 為起點開始調整範疇與選擇控制措施,之後再套用到企業自有環境中。換言之要先確認目標與價值,然後選擇合適的框架,再套用框架以符合目標,最後要驗證執行。此外若要對未分類的資訊施行保護控制則可參考另一框架 NIST SP 800-171。

再以實例而言,企業可以在連外網路前設置防火牆,並在內部設置一個非軍事區 (DMZ),區中設置 IPSWITCH 的閘道器,同時也可考慮在區中使用負載平衡器。而在非軍事區到內部更深層的防護網路前再設置一道防火牆,並在牆內安放 ipswitch 的 MOVEit AUTOMATION 與 MOVEit TRANSFER。

進一步也透過防火牆再深入企業內部資訊資產,如 NAS、防毒 ICAP 伺服器、資料庫等,並佈建資料外洩保護 (DLP) 方案。最後林逸軒也提醒,資安防護不可能一步到位,而是要逐步實現,並持續強化改進。

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416