從2020十大資安趨勢與網路安全架構(Cybersecurity Framework)的應用

近年來流行的網路安全架構以識別、防護、偵測、恢復、還原，常被政府或企業用來建置資訊安全的框架，主要在於其實用性，IS027001標準而言，Cybersecurity Framework可作為實務應用；第一階段的"識別"再資訊安全建置環節中是非常重要的過程，您必須識別出組織的資訊資產，並分類分級，知道哪些資產對於組織的營運是重要的，識別出組織在營運必須面對哪些風險，識別出組織內部與外部的利害關係方，對營運的影響有哪些。

對於組織而言資訊安全，與其事後修補不如事前防範，所以前三個階段，識別、防護與偵測是至關重要的階段，唯有前期完善的規劃，盡量降低風險，在事件發生不致產生嚴重的損失，在下列十大資安趨勢中，分別對應到識別的類型，提前因應風險。

【2020十大資安趨勢1：資料外洩】
管理不周導致資料外流事件頻傳，企業、雲端業者、政府均應強化管理
ID.AM：識別組織的資訊資產，安全等級，辨識出什麼資料外洩後有嚴重影響

2019年的資料外洩事件，有不少是發生在外部廠商，或者是已經下線的系統，徹底盤點和控管，成為企業資安需要加強的面向

【資安趨勢2：勒索軟體】
IT服務供應商成勒索軟體新目標，針對委外業者攻擊，間接影響企業
ID.BE：組織的使命，目標，利益相關者和活動並確定其優先級，什麼資料或服務無法運用會產生嚴重影響

愈來愈多的勒索軟體攻擊行動，鎖定管理服務供應商或第三方服務供應商，因為只要發動一次攻擊，就能要脅到許多受害者

【資安趨勢3：OT安全】
工控環境正面臨真實發生的資安威脅，勒索軟體來勢洶洶

ID.BE：組織應了解組織運營（包括任務，職能，形像或聲譽），組織資產和個人面臨的網絡安全風險，辨識出什麼關鍵營運設施被攻擊會產生嚴重影響

在智慧製造與智慧醫療發展下，工控系統同樣面臨現有的網路威脅，資安問題已是不容迴避的挑戰，而近年勒索軟體盯上工業控制系統的態勢可要當心。

【資安趨勢4：身分安全】
AI冒用身分的攻擊現身，對於新興辨識技術的採用更顯迫切
ID.SC：哪些關鍵人員及哪些關鍵流程被利用會產生嚴重影響

Deepfake詐騙技術發展日趨成熟，合成與模擬影像畫面與聲音的門檻將降低，不只是對輿論的威脅，也讓新的身分冒用攻擊可能性大增

【資安趨勢5：物聯網安全】
連網裝置資安標準開始成形，企業應重視網路分析、偵測與反應

ID.AM：組織有哪些iOT，組織是否可偵測異常行為

臺灣推動物聯網資安標準一年多來，目前有8家實驗室獲得認可，針對視訊監視器、無線路由器，以及智慧運輸等方面，也有專門的檢測單位

【資安趨勢6：供應鏈安全】
攻擊型態趨於多元，供應鏈防護需涵蓋VPN網路與外部服務
ID.SC：可根據上下游來區分，以上游來看，駭客能針對DNS、PKI、雲端服務供應商、VPN服務供應商、網路服務供應商，以及合作夥伴

供應鏈攻擊事件趨於多元，資安業界開始將表單劫持，以及網站誤用被嵌入側錄付款資訊惡意程式的網路服務，認定為供應鏈攻擊

【資安趨勢7：法規遵循】
資安法適用範圍擴及關鍵基礎設施，個資法為了因應GDPR將修法
ID.GV：組織必須遵行的法令法規，以組織營運範圍思考

行政院資安處將在2020年初，完成資安法針對八大關鍵基礎設施的指定流程，包括電信業者即將完成競標的5G，也會是資安法列管對象

【資安趨勢8：資安標準】
資安產品驗證蔚為風潮，隱私保護有賴ISO 27701整合ISMS
ID.GV：組織營運需導入哪些標準，參考趨勢7

企業要怎麼在流程中落實隱私保護，臺灣BSI建議參考ISO 27001以及ISO 29100，而 BS 10012則規範了符合GDPR的個資蒐集、處理和利用原則

【資安趨勢9：5G資安】
NCC要求所有電信業者，5G資安要做到Security By Design

ID.GV：電信業者須遵行的法令法規與標準

國家通訊傳播委員會委員孫雅麗表示，5G網路將成為國家重要的關鍵基礎設施，要求所有電信業者，在打造5G網路的同時，就必須納入資安管理的概念

【資安趨勢10：資安人才】
培育學校生根有成，資安人才與產業接軌是關鍵
ID.BE：組織需要哪些資安人才或資安服務

儘管臺灣目前學校資安人才培育有成，該如何讓人才順利和產業接軌，並透過政府仍在規畫中的資安研訓院，持續提高人才培訓能量，才是生生不息的關鍵

【2020十大資安趨勢】引述於IThome

Cybersecurity Framework

NIST 網路安全框架(Cybersecurity Framework)

Cybersecurity Framework

識別(Identify)

1           資產管理(ID. AM)識別和管理使組織能夠實現業務目標的資料，人員，設備，系統和設施，以及它們對組織目標和組織風險戰略的相對重要性。

1.1         ID.AM-1：清點組織內的實體設備和系統

1.2         ID.AM-2：清點組織內的軟體平台和應用系統

1.3         ID.AM-3：組織通信和資料流

1.4         ID.AM-4：外部信息系統分類

1.5         ID.AM-5：資源（例如，硬件，設備，數據，時間，人員和軟件）根據其分類，重要性和業務價值確定優先級

1.6         ID.AM-6：確定了整個員工隊伍和第三方利益相關者（例如供應商，客戶，合作夥伴）的網絡安全角色和職責

2           商業環境（ID.BE）：了解組織的使命，目標，利益相關者和活動並確定其優先級；此信息用於通知網絡安全角色，職責和風險管理決策。

2.1         ID.BE-1：確定並傳達組織在供應鏈中的角色

2.2         ID.BE-2：確定並傳達組織在關鍵基礎架構及其行業中的地位

2.3         ID.BE-3：確定並傳達了組織任務，目標和活動的優先級

2.4         ID.BE-4：建立了提供關鍵服務的依賴關係和關鍵功能

2.5         ID.BE-5：針對所有操作狀態（例如在脅迫/攻擊，恢復期間，正常操作中）建立了支持關鍵服務交付的恢復能力要求

3           治理（ID.GV）：了解用於管理和監視組織的法規，法律，風險，環境和運營要求的政策，程序和流程，並為網絡安全風險管理提供信息。

3.1         ID.GV-1：建立並傳達組織的網絡安全政策

3.2         ID.GV-2：網絡安全角色和職責與內部角色和外部合作夥伴進行協調並保持一致

3.3         ID.GV-3：了解並管理有關網絡安全的法律和法規要求，包括隱私和公民自由義務

3.4         ID.GV-4：治理和風險管理流程可解決網絡安全風險

4           風險評估（ID.RA）：組織應了解組織運營（包括任務，職能，形像或聲譽），組織資產和個人面臨的網絡安全風險。

4.1         ID.RA-1：識別並記錄資產弱點

4.2         ID.RA-2：網絡威脅情報是從信息共享論壇和來源獲得的

4.3         ID.RA-3：識別並記錄內部和外部威脅

4.4         ID.RA-4：確定潛在的業務影響和可能性

4.5         ID.RA-5：威脅，漏洞，可能性和影響用於確定風險

4.6         ID.RA-6：確定風險回應並確定優先級

5           風險管理策略（ID.RM）：確定了組織的優先級，約束，風險容忍度和假設，並用於支持運營風險決策。

5.1         ID.RM-1：風險管理流程被建立與管理，並由組織利害相關者同意之。

5.2         ID.RM-2：明確定義組織的風險承受能力

5.3         ID.RM-3：組織在關鍵基礎架構和特定行業的風險分析中的作用決定了風險承受能力的確定

6           供應鏈風險管理（ID.SC）：建立組織的優先級，約束，風險容忍度和假設，並用於支持與管理供應鏈風險相關的風險決策。該組織已經建立並實施了識別，評估和管理供應鏈風險的流程。

6.1         ID.SC-1：網路供應鏈風險管理流程被定義、建立、評估與管理，同時由組織利害關係者同意之。(需求->評估->自行開發or委外開發or採購->系統分析->開發->設計-測試->上線->維護(變更管理、弱點管理)

6.2         ID.SC-2：供應商與第三方合作夥伴涉及的資訊系統、資訊元件與資訊服務應被識別與評估，並用於網路供應鏈風險評估流程中。(風險評估應包含委外服務所涉及的項目)

6.3         ID.SC-3：與供應商和第三方合作夥伴的合約用於實施適當的措施，以實現組織的網絡安全計劃和網絡供應鏈風險管理計劃的目標。(合約應有安全要求)

6.4         ID.SC-4：使用審核，測試結果或其他形式的評估對供應商和第三方合作夥伴進行例行評估，以確認他們是否履行合同義務。(委外稽核、技術檢測)

6.5         ID.SC-5：與供應商和第三方供應商一起進行回應和恢復計劃和測試。(還原演練)

防護(Protect)

7           身份管理，身份驗證和存取控制（PR.AC）：對實體和邏輯資產及相關設施的存取僅限於授權用戶，流程和設備，並根據評估的未授權存取授權活動和交易的風險進行管理。

7.1         PR.AC-1：為授權的設備，用戶和過程發布，管理，驗證，註銷和審核身份和憑據

7.2         PR.AC-2：管理和保護對資產的實體存取

7.3         PR.AC-3：管理遠程存取。(內部員工、外部人員)

7.4         PR.AC-4：管理存取權限和授權，結合了最小特權和職責分離的原則

7.5         PR.AC-5：網絡完整性受到保護（例如，網絡隔離，網絡分段）

7.6         PR.AC-6：身份被證明並綁定到憑據，並在交互中聲明

7.7         PR.AC-7：對用戶，設備和其他資產進行身份驗證（例如，單因素，多因素），使其與交易風險（例如，個人的安全和隱私風險以及其他組織風險）相對應

8           意識和培訓（PR.AT）：向組織的人員和合作夥伴提供網絡安全意識教育，並受過培訓，以按照相關政策，程序和協議履行與網絡安全有關的職責。

8.1         PR.AT-1：所有用戶都已了解並接受了培訓

8.2         PR.AT-2：特權用戶了解他們的角色和職責

8.3         PR.AT-3：第三方利益相關者（例如供應商，客戶，合作夥伴）了解他們的角色和職責

8.4         PR.AT-4：高級管理人員了解他們的角色和職責

8.5         PR.AT-5：實體和網絡安全人員了解其角色和職責

9           數據安全性（PR.DS）：根據組織的風險策略對信息和記錄（數據）進行管理，以保護信息的機密性，完整性和可用性。

9.1         PR.DS-1：靜態數據受保護。(資料在rest狀態)

9.2         PR.DS-2：傳輸中的數據受到保護

9.3         PR.DS-3：在清除，傳輸和處理期間對資產進行管理

9.4         PR.DS-4：有足夠的容量來確保可用性

9.5         PR.DS-5：實施了防止數據洩漏的保護措施

9.6         PR.DS-6：完整性檢查機制用於驗證軟件，固件和信息的完整性

9.7         PR.DS-7：開發和測試環境與生產環境是分開的

9.8         PR.DS-8：完整性檢查機制用於驗證硬件完整性

10       信息保護流程和程序（PR.IP）：維護安全策略（用於解決目的，範圍，角色，職責，管理承諾以及組織實體之間的協調），流程和過程，並用於管理信息系統和資產的保護。

10.1     PR.IP-1：結合安全原則（例如最低功能性概念）創建和維護信息技術/工業控制系統的基準配置

10.2     PR.IP-2：實現了用於管理系統的系統開發生命週期

10.3     PR.IP-3：組態變更控制過程設置

10.4     PR.IP-4：進行，維護和測試信息的備份

10.5     PR.IP-5：滿足有關組織資產的實際運營環境的政策和法規

10.6     PR.IP-6：數據已根據政策銷毀

10.7     PR.IP-7：保護過程得到改善

10.8     PR.IP-8：共享保護技術的有效性

10.9     PR.IP-9：已經制定並管理了回應計劃（事件回應和業務連續性）和恢復計劃（事件恢復和災難恢復）

10.10 PR.IP-10：測試了回應和恢復計劃

10.11 PR.IP-11：網絡安全已包含在人力資源實踐中（例如，取消配置，人員篩選）

10.12 PR.IP-12：制定並實施了漏洞管理計劃

11       維護（PR.MA）：按照政策和程序進行工業控制和信息系統組件的維護和修理。

11.1     PR.MA-1：使用批准和控制的工具執行和記錄組織資產的維護和修理

11.2     PR.MA-2：組織資產的遠程維護以防止未授權存取的方式被批准，記錄和執行

12       保護技術（PR.PT）：對技術安全解決方案進行管理，以確保系統和資產的安全性和彈性，並與相關的政策，程序和協議保持一致。

12.1     PR.PT-1：根據政策確定，記錄，實施和審查審核/日誌記錄

12.2     PR.PT-2：可移動媒體受到保護，並且根據政策限制其使用

12.3     PR.PT-3：最低功能性原則是通過配置系統以僅提供基本功能而納入的

12.4     PR.PT-4：網絡通信和控制措施受到保護

12.5     PR.PT-5：實施了機制（例如，失效保護，負載平衡，熱插拔）以在正常和不利情況下達到彈性要求

偵測(Detect)

13       異常和事件（DE.AE）：檢測到異常活動並了解事件的潛在影響。

13.1     DE.AE-1：建立和管理用戶和系統的網絡操作和預期數據流的基準。(正常值與異常值)

13.2     DE.AE-2：分析檢測到的事件以了解攻擊目標和方法。(Log分析)

13.3     DE.AE-3：從多個來源和傳感器收集並關聯事件數據。(SOC,SIEM,Virus Center,Firewall,IDS,AP System Log,Network log..)

13.4     DE.AE-4：確定事件的影響層級

13.5     DE.AE-5：確定了事件警報閾值。(資訊資產，資訊服務..)

14       安全連續監視（DE.CM）：對信息系統和資產進行監視，以識別網絡安全事件並驗證保護措施的有效性。

14.1     DE.CM-1：監視網絡以檢測潛在的網絡安全事件

14.2     DE.CM-2：監視實體環境以檢測潛在的網絡安全事件

14.3     DE.CM-3：監視人員活動以檢測潛在的網絡安全事件

14.4     DE.CM-4：檢測到惡意代碼

14.5     DE.CM-5：檢測到未經授權存取的移動代碼(Mobile code：technologies include, for example, Java, JavaScript, ActiveX, Postscript,PDF, Shockwave movies, Flash animations, and VBScript.)

14.6     DE.CM-6：監視外部服務提供商的活動以檢測潛在的網絡安全事件

14.7     DE.CM-7：監視未授權人員，連接，設備和軟件

14.8     DE.CM-8：執行弱點掃描

15       檢測過程（DE.DP）：維護和測試檢測過程和程序，以確保對異常事件的意識。

15.1     DE.DP-1：明確規定了偵查的角色和職責以確保責任制

15.2     DE.DP-2：檢測活動符合所有適用要求

15.3     DE.DP-3：檢測過程經過測試

15.4     DE.DP-4：通信事件檢測信息

15.5     DE.DP-5：檢測過程不斷改進

回應(Respond)

16       回應計劃（RS.RP）：執行並維護回應流程和過程，以確保對檢測到的網絡安全事件做出回應。

16.1     RS.RP-1：在事件發生期間或之後執行回應計劃

17       溝通（RS.CO）：回應活動與內部和外部利益相關者進行協調（例如，執法機構的外部支持）。

17.1     RS.CO-1：需要回應時，人員知道他們的角色和操作順序

17.2     RS.CO-2：報告的事件符合既定標準

17.3     RS.CO-3：信息共享與回應計劃一致

17.4     RS.CO-4：與利益相關者的協調與回應計劃一致

17.5     RS.CO-5：與外部利益相關者進行自願信息共享，以實現更廣泛的網絡安全態勢感知

18       分析（RS.AN）：進行分析以確保有效回應並支持恢復活動。

18.1     RS.AN-1：研究調查來自偵測系統的通知

18.2     RS.AN-2：了解事件的影響

18.3     RS.AN-3：進行鑑識取證

18.4     RS.AN-4：事件分類與回應計劃一致

18.5     RS.AN-5：建立了流程以接收，分析和回應從內部和外部來源（例如內部測試，安全公告或安全研究人員）披露給組織的漏洞

19       減緩（RS.MI）：執行活動是為了防止事件擴展，減輕其影響並解決事件。

19.1     RS.MI-1：包含事件

19.2     RS.MI-2：事故得到緩解

19.3     RS.MI-3：新發現的漏洞已得到緩解或記錄為可接受的風險

20       改進（RS.IM）：通過吸收從當前和以前的檢測/回應活動中學到的經驗教訓，改進組織的回應活動。

20.1     RS.IM-1：應對計劃應吸取教訓

20.2     RS.IM-2：更新了回應策略

回復(Recover)

21       恢復計劃（RC.RP）：執行並維護恢復過程和程序，以確保恢復受網絡安全事件影響的系統或資產。

21.1     RC.RP-1：在網絡安全事件期間或之後執行恢復計劃

22       改進（RC.IM）：通過將汲取的教訓納入未來的活動中來改進恢復計劃和流程。

22.1     RC.IM-1：恢復計劃結合了經驗教訓

22.2     RC.IM-2：更新了恢復策略

23       通信（RC.CO）：恢復活動與內部和外部各方（例如，協調中心，Internet服務提供商，攻擊系統的所有者，受害者，其他CSIRT和供應商）進行協調。

23.1     RC.CO-1：管理公共關係

23.2     RC.CO-2：事故後聲譽得以修復

23.3     RC.CO-3：將恢復活動傳達給內部和外部利益相關者以及執行和管理團隊