整理/趙家薇
編按:《網路星期二》於9月28日舉辦講座──給非營利組織的資安自保手冊,邀請戴夫寇爾 (DEVCORE) 執行長翁浩正分享NPO可以如何應對資安議題。NPOst整理該場講座內容,彙整成《公益團體的資安策略指南》系列報導,讓公益團體有更多知識與工具,預防資安破口!
面對層出不窮的資安攻擊事件,組織除了掌握現況、緊急處理、回復企業運作原貌外,戴夫寇爾執行長翁浩正也建議,解決燃眉之急後,組織應該防微杜漸,預測營運上可能遭遇的衝擊與問題,策動中長遠的規劃。
疫情下的遠距工作潮,許多企業採行BCP(Business Continuity Plan,業務持續營運計劃),甚至設定企業理想目標,進行避免中斷營運的沙盤演練計畫,評估不同等級事件所需之資源及成效,未雨綢繆是面對資安威脅更理想化的藍圖,亦是NPO可向企業取經之處。
而談到詳細的資安規劃,翁浩正提出兩點建議,主張以數位安全的架構(CSF)進行資安盤點,並輔以數位防禦矩陣( Cyber Defense Matrix) ,搭配軟硬體措施,補強組織的資安缺口。讓組織不僅能掌握資安事件現況、修復還原,同時能進行調查與定期監控,使組織回復正常營運狀態。
究竟安不安全?畫出矩陣就知道!
- NIST – Cybersecurity Framework(CSF,數位安全的架構)
NIST將資安切分為五大階段: Identify、Protect 、Detect、Respond、Recover,供企業判斷優先順序,選取對應實作之法。面對駭客的攻擊,首先須識別風險資產,進而以身分認證等防禦機制啟動保護,接著,在偵測到帳號被惡意登入等異常行為後,制定應變計畫,如更改帳號密碼、收斂攻擊者範圍等,最後將資料及系統回復至原先運作狀態。翁浩正建議,組織可採用上述五個數位安全架構下的功能,檢討內部資安策略的效果。
微軟發布的 NPO 數位安全和隱私政策指南,與NIST大同小異,從識別資安風險、應對威脅、發現事件、回應以及恢復,再加上應用特定與高價值的安全控制措施。而企業內部也有多層式的資安框架,第一線技術人員專責技術面的防禦執行;基層資安主管負責資安控制措施制定,高階資安主管則負責標準與規範框架,資安長則是風險評估的最高主管,各司其職,完整數位安全架構。
- Cyber Defense Matrix
在制定出數位安全的架構後,有了可依循的實作步驟及角色定位後,便是防禦的具體措施。定期備份資料與離線工作是必備,而網軍攻擊可分為0-day(零時差漏洞攻擊,係指廠商尚未發現漏洞)以及1- day(廠商已釋出更新修補程式,但組織內部並未立即更新),組織以按月或按季的頻率延宕更新,給予駭客更充裕的攻擊時差,翁浩正耳提面命,軟硬體的定時安全性更新絕不可馬虎。
此外,在數位工具的設定上,許多組織採用多因子帳號認證,利用兩步驟的otp驗證碼,雙重把關;而遠端連線下的VPN存取,需有安控配套,確實盤點帳號密碼及切割權限;其他防禦的安控包括防毒軟體及系統內建的阻斷與偵測系統;在設備管控上則需設有尋回或銷毀機制,降低風險。
不可不知的委外策略:從檢測與合約下手!
非營利組織有許多與委外廠商合作的機會,組織需要判斷廠商所提供的解決方案是否能對症下藥,便可利用上述所提到的CDM(Cyber Defence Martrix)矩陣,區辨防禦系統是否仍有漏洞,同時,組織也可以把現有內部資安措施放上矩陣,即可對照出資安上仍需補強的地方。
為了能幫助組織能進一步檢視系統的安全,翁浩正建議NPO與委外廠商合作時,可按《資通安全管理法》,要求廠商提供第三方之安全性檢測證明(如滲透測試、落點及原始碼掃描等),雖難辨報告之真偽,仍可提醒廠商善盡資安責任,防堵事後推諉。資安外洩可能發生在任何一個環節,若資安事件不幸發生,應先調查事件始末,找出問題來源(廠商或組織內部的伺服器系統或個人電腦),並提出後續資安強化相關說明,更需釐清角色與定位,才能明確定義責任歸屬。
組織在尋求外包系統商時,更應確認資安維護合約,與廠商明訂漏洞修補及資安事件回應時間;也須測試程式碼的安全及確認廠商的檢測報告。而在委外開發管理方面,若對購入之設備安全有疑慮,可依照不同安全等級限制內網存取權限,將其與核心系統的網段切割,避免相互感染,並落實定期的系統及軟體安全性更新。
供應鏈安全已成網軍與駭客的攻擊熱點,組織需留意供應商的資安措施,密切管理相關串聯之系統安全,防止較脆弱的外包系統成為駭客破口。下一篇指南將預設真實發生資安危機時,組織能如何運用工具去正確應對,阻斷破口的負面影響。
延伸閱讀:
