將資安投資的每一分錢都花在刀口上 建立威脅與弱點管理架構

更好或更糟？
對決策者來說，可能會懷疑「不是每年都投資那麼大一筆錢在資安上了，怎麼又有那麼多新東西要買？」；然而另一方面又想「不買這樣的產品，萬一真的出了事，好像又會使企業遭受巨大的損失，這我好像又擔當不起」。於是可能在半信半疑中，為了保險起見而花下了一筆錢。然而，這樣的產品或技術真的是迫切需要的嗎？其實並不見得。
更有甚者，花了大錢並不見得買得到心安，有時反而更糟。本質上來說，資訊安全的產品往往會帶來兩個效果：一個是因為做了安全防護，而使得使用者願意使用某服務的「吸引」(Inclusion) 效果；一個是抵抗外界駭客或有惡意人士攻擊的「排除」(Exclusion) 效果。因此，如果隨意套用安全機制，可能不但不能使顧客安心，反而因為造成不便，使得顧客都嚇跑了。
舉例來說，某家網路商店為了防止網路上的詐騙行為，採用了極嚴格的控管措施，凡是消費者要來消費，都要持有該公司所發的金鑰，而為了確認為其本人，必需要去該公司的特定據點做身份查驗後方可領取。雖然如此作法可以減少冒用他人金融資料去消費的問題。但很明顯的，使用者會去使用該公司服務的意願也會因為這些不便而降低。


威脅與弱點管理架構
因此，要如何選擇所需要的資訊安全技術，以致於能在「吸引」與「排除」間取得平衡，並進而使得每一分在資訊安全上的投資都花在刀口上（意即花的每一分錢都能達到最大的效果），就需要在內部建立一套「威脅與弱點管理」的架構。
威脅與弱點之間的關係可用上頁圖一表示。一個企業的內外在環境中通常存有許多弱點，及面對許多威脅。套用 ISO 13335 中對於威脅與弱點的定義：威脅是可能造成系統或組織傷害的可能因素；弱點則是可能受到威脅利用，而成為對系統或組織造成衝擊的源頭。基本上，一個資安事件的發生，就是某個威脅利用到弱點之結果。


知己知彼
當一家公司建立了威脅與弱點管理的架構後，就能夠知己（瞭解自己的弱點）知彼（瞭解到所面臨的威脅），進而評估資安事件發生的可能性以及所造成的傷害。這可以帶來以下好處：
在購買資訊安全產品或是做相關的投資時，應思考這個安全機制到底對這個企業有沒有意義。舉例來說，如果一個企業本身員工都是在同一個辦公室，而且並沒有遠端連線作業的需求，則不會有資料在經過公共網路時被竊聽的弱點，當然也不需要在虛擬私人網路的建置上做投資。
能夠瞭解與評估，採用資訊安全產品或建立資訊安全制度，對於企業本身的意義。像是在控制哪些弱點，或是降低哪些威脅發生的可能性。
能夠針對威脅或弱點而對症下藥，以達到最好的效果。
當資源（或預算）有限時，能夠依照資安事件發生的可能性以及其可能造成的衝擊，將資源做最妥善的利用。


威脅與弱點管理架構組成元件
安全資訊管理 (Security Information Management)：為威脅與弱點管理架構的核心。主要是運用資產管理、標準與政策管理 (Standards & Policies Management)、資料探勘與威脅弱點管理資料庫等技術來支援威脅及弱點的偵測及矯正。舉例來說，標準與政策管理，及整理企業經營所需要遵守的法令或相關規定，而這些資訊則可提供符合性測試 (為弱點偵側的要項之一) 之用。
威脅偵測 (Threat Detection)：主要是透過入侵監控 (Intrusion Monitoring)、病毒及惡意程式的偵測、未經授權技術使用的發掘 (Rough Technology Discovery) 以及記錄檔分析 (Log Activity Analysis) 等工具，去發掘與辨識發生或可能發生的安全事件與威脅。
弱點偵測 (Vulnerability Detection)：目的在於使用符合性測試 (Compliance Testing)、弱點掃描 (Vulnerability Scanning) 與作業可獲得性 (Operations Availability Analysis) 等工具，探測系統可能的弱點。
威脅與弱點矯正 (Threat & Vulnerability Remediation)：是透過資訊安全基礎建設 (Security Infrastructure Implementation) 或資訊安全機制或控制制度的採用，來控制所發現的威脅或弱點。


建立威脅與弱點管理架構之步驟
當一個企業要建構這樣的威脅與弱點管理架構時，其工作主要可以分為以下幾個階段：
(1) 分析 (Analyze)：包括確認企業、法律與資訊系統環境、評估組織安全需求與決定關鍵資產。
(2) 定義 (Define)：主要的工作在於由分析的結果定義整體架構。
(3) 設計 (Design)：本階段主要針對威脅與弱點管理程序的設計，而這又可以分為制度面以及技術面。就制度面來說，需要設計組織面安全結構；而從技術面來說，其目地是要設計威脅與弱點管理的技術面架構，如果不是整個架構都是自己開發的話（事實上，這樣做也並不划算），此階段需要對市面上威脅與弱點管理的工具與應用程式做調查，以決定到底要將哪一套納入架構中，並且考慮這些工具或應用系統該有的整合。最後，在設計階段要考慮與發展測試計劃及測試策略，以便在建置階段能夠及早做測試。
(4) 建構 (Construct)：此階段主要是技術面的活動，主要是建構與整合威脅弱點管理工具與應用系統，使之成為一套完整的系統。同時也要開始進行教育訓練，以確認這些系統的操作人員都能夠操作這些系統，並且撰寫相關手冊。當然，系統在完成後上線前必需要經過測試。
(5) 執行與落實 (Implement)：將整個威脅與弱點管理架構落實於組織之中，並且與組織制度相結合。
前面講的是威脅與弱點管理架構的建立，為了要使得威脅與弱點管理架構能夠持續有效，就需要對於既有機制不斷檢討與改進。一般說來，企業可以建立一套安全機制效能的評量標準，像是對資訊安全意外事件所造成的損失的比較。而藉由對於「預期」與「實際」差異的縮小，可使得威脅與弱點管理架構更朝向理想化邁進。