現今資安意識當道,想知道公司環境到底是否安全?網站和系統是否有被駭的風險?即使資安團隊再三保證「安全」,主管若是不懂太技術性的解釋,希望了解「多安全」,想要量化風險指數,想看非專業人士也能看懂的報告;或者當編列年度預算時,想要爭取經費購買設備強化縱深防禦,主管卻覺得「我們很安全啊」而刪除預算,希望能有資料佐證,將預算需求合理化,該怎麼進行呢?
如同人要定期做健康檢查,適當調整生活作習與飲食習慣,我們可以透過不同的方法做資訊安全的健康檢查,了解資安準備狀況,合理爭取預算,把錢花在刀口上。有人覺得自己沒病或忌諱健康檢查,但是健康檢查的目的和方向是藉由種種方式測驗出身體情況,找出潛在問題,加以調整改善,而不是為了在報告上拿高分;資安檢測亦是如此,如果純粹為了在報告上拿高分而有所隱瞞,或高估自己環境的資安防禦程度,對「病情」是沒有幫助的,無法找出系統防護的盲點,或者錯誤地認為已經做了充足資安措施,其實卻並未有效執行,都可能增加公司網路環境遭駭風險。下面介紹幾種檢測類型:
- Assessment 評估
眾多評估裡,Risk Assessment風險評估通常是比較受歡迎的,沒有IT背景的主管可以藉風險指數掌握情況,定下整體或單一目標(例如:明年把整體風險指數從4降到5、把DDoS風險從2降到1等等)。其他類似的評估評鑑方法還有各類不同的問卷調查,如IT資產問卷( IT Asset Inventory) 、系統System Inventory、數位資產Digital Asset Inventory 等等,確認MIS掌握、控管所有資產;有些問卷和評估針對Incident Response、災難備援等流程檢測;部分評測簡單地從高層面確認是否各個項目都有防護措施,如:有沒有DDos防護?有沒有災難備援?有沒有實體機房安全控管機制?有些評測針對特定項目或大部分項目詳細盤查,如:災難備援機制為何?RPO和RTO為何?
光是ㄧ一介紹各種Assessment 評估其實就可以寫鐵人賽30天,我單純就自己的經驗和大家分享討論:
這些評估可以是自我評鑑,自己上網找一些表格問卷範本來填寫,也可以顧用外面的團隊來評估。無論是那一種方式,需要事先確認評估目的、類型,決定評估多詳細。否則若需要詳細的評鑑報告卻只做簡單的問卷,或想檢視公司網站安全卻花太多時間在災難備援流程檢測,很難得到想要的結果;另一個要注意的是評分方式,有些風險評估只粗分高、中、低三層,有些評鑑分數從1到5,或1到10,做到什麼程度才算6?什麼程度才算7?怎樣算高風險?怎樣算低風險?這些在填寫的問卷上應該註明,否則不同人會有不同的答案。
以文末所附連結中的US-CERT問卷為例,其中一題「資安意識教育是否有依需求更新?」如果定期更新資安意識教育內容便選Yes,沒有定期更新就是No,如果還在更新中,就選Incomplete。這樣的問卷清楚易懂;倘若問卷的問題是「資安意識教育是否定期舉行,規定所有員工必須完成,並依需求更新內容?」,這樣一個問題問了很多東西,很難回答YES和NO。
再以文末所附連結中的FFIEC 的資安檢測包為例,將資安成熟度分為Baseline、Evolving、Intermediate、Advanced、Innovative五個階層,將風險分為Least、Minimal、 Moderate、Significant 、Most五個指數。在第四個評估項目:Monitoring and Analyzing監控分析,如果有建立SOC可以達到第二層Evolving,若想達到第五層Innovative,必須要有多個不同來源的Threat Intelligence資安威脅情報來進行日誌分析、結合網路流量監控蛀洞偵測預測未來攻擊和攻擊趨勢;在評估開源軟體風險時,若沒有使用開源軟體風險便是在Least,若使用一些開源軟體來支持重要運作,風險便是在Moderate。這樣選項清楚,風險指數訂立明確,填完自我檢測表便能掌握資安防護究竟在什麼程度?某些行為(如使用開源軟體支持重要營運) 約略有多大風險?
另一種方法是借用這些問卷和檢測表的架構,自己先列出現有的措施為何?再進一步評估是否要針對該項目補強。例如我們以US-CERT 的CRR問卷為例,問卷內分為十大項目:
Asset Management
Controls Management
Configuration and Change Management
Vulnerability Management
Incident Management
Service Continuity Management
Risk Management
External Dependency Management
Training and Awareness
Situational Awareness
可以先自己試著列出在員工資安教育(Training and Awareness)這一塊上目前有什麼努力?希望達到什麼樣的目標?如果今天公司企業內完全沒有Vulnerability Management 弱點掃描管理,有什麼風險?是否要投資一套弱點掃描管理系統?還是架設、選擇一套弱點掃描系統自己定期掃描,勤於安裝更新修補?
若是覺得找到的檢測表或問卷不太清楚,想尋求外面的顧問團隊協助、進行資安健診,記得要簽訂non-disclosure agreement (NDA)保密契約,選擇有經驗、願意花時間了解需求的團隊。我其實很怕只會照著書本,一開始就拿ISO27001/27002或COBIT來逐條核對的人,因為我自己就可以逐條核對啊?何必花錢找你來?會向外找顧問最主要是希望藉由專家的經驗及專業,判斷那種評測方式適合我們公司規模和產業類型,提供客製化的評鑑,建議如何加強不足的地方,甚至推薦那些產品方案最能滿足當下大部分需求,或解決眼前最大的風險。