觀點

網路攻擊與防範新技術(下集)-SANS發表第六版重點資安控制項目指引

2017 / 01 / 06
林皇興/ CISSP
網路攻擊與防範新技術(下集)-SANS發表第六版重點資安控制項目指引

上集談及了新的CIS重點資安控制項目指引第六版內,所定義的二十個控制項目中的二分之一,接續我們將繼續進行後續二分之一的摘要說明,以作為管理上的參考。

CSC 10: 資料復原能力

透過管理程序與工具,確保重要的資訊資產有定期正確的備份,並且需要時能正確的還原資料。由於目前惡意勒索軟體猖獗,攻擊者入侵系統有可能會變更資料的內容或加密。

指引中第一點建議考量自動化並定期對系統、程式與資料進行備份。第二點需定期檢查備份的媒體,確保備份的資料能夠正確的還原。第三點需確保備份的資料之實體安全或適當的加密措施。第四點需確保重要系統的至少一份備份標的並不是隨時連接在作業系統上,此考量是避免攻擊者或惡意程式可以直接接觸到備份的資料而一起破壞。

CSC 11: 網路設備的安全設定

針對重要的網路基礎設施之設定進行安全設定管理(追蹤、報表、矯正)。有必要時可導入時下的自動化組態管理工具。管理面建議實施變革管理程序,任何的重要變更都應該經過評估、獲得許可並進行文件化記錄。指引中第六點建議網路設備的管理者,應當用特定的裝置來連線管理,而該裝置避免用來上網與收發電子郵件,以降低被攻擊的可能。

CSC 12: 邊界防護

單位的網路邊界需要適當的保護措施,使其有能力可以偵測、阻擋任何流經網路邊界的流量。通常企業會依據不同的信賴等級而形成不同的區域(Zone),例如將網路區分內部、DMZ與外部網路,也可能做更多的區分。然而跨不同的信賴網路區域即需要實施適當的存取控管,如防火牆、路由器AC;甚至佈署必要的防護機制,如IPS、IDS、Proxy代理…等。

但是隨著無線連網的普及,加上VPN甚至跨單位間特殊連線的需求,使得網路邊界的定義越來越複雜,管理上存在更多的挑戰。

CSC 13: 資料保護

透過適當的管理程序與工具,以避免資料的非授權流出,藉以保護隱私與敏感資料的外洩。因此指引中提到首要工作是需要能夠識別出需要保護的敏感資訊,並且實施加密與敏感性分類等措施。第二點,針對會攜出組織的筆電建議實施全硬碟加密,以避免在組織外部遺失時的資料外洩可能。第三點是於網路邊界佈署如DLP的內容過濾機制,以避免未經授權的外洩。其他關於敏感資料的盤點、USB隨身碟的控管等,都是指引中有提到資料保護需要考慮的項目。

CSC 14: 基於僅需要知道(need-to-know)原則實施存取控制

透過適當的流程與工具以追蹤、控制、防止,使用者對重要資訊資產的存取。採取的策略是將不同敏感等級的資訊,區隔在不同的系統或不同的VLAN網段中,並以防火牆實施存取控置,確保只有獲得授權的個人可以存取。

指引中並建議,敏感資料如果傳送過程中需要經過較低信任等級的網路,則務必要進行傳輸通道的加密。並且落實實施分權控管,讓各種角色的人員只能取得與其職務相關的資訊,降低其任意取得全部資訊的機會。

CSC 15: 無線存取控制

透過適當的流程與工具以追蹤、控制、防止、矯正無線網路、無線AP與端點的使用。無線網路可能的風險包含攻擊者可能於辦公室外,透過違規存取無線網路而入侵內部網路;也可能是可攜式電腦在外部連接由咖啡廳所提供的無線網路而受到感染,帶回辦公室後變成攻擊者存取內部網路的後門;也可能是有未獲授權的無線AP接在公司內部網路而帶來漏洞。

因此需確保內部網路所接的無線網路設備,都有適當的安全設定。並且需要有能力偵測無線網路中,是否存在沒有適當安全設定的裝置,以及非法的無線AP,並加以阻擋。一旦業務上需要採用無線網路,建議採用AES加密搭配WPA2協定,以及裝置的彼此認證採用EAP/TLS協定為最低的安全要求。

CSC 16: 帳號的監視與控制

需要針對各系統與應用程式的使用者帳號生命週期進行管理,包含帳號的建立、認證使用、暫時停用、移除,以降低攻擊者利用這些帳號來進行入侵的行為。指引中要求管理上需要檢視系統上已建立的帳號,並且將業務上不需要用到或不屬於任何人的帳號進行移除。在應用系統上應該能夠偵測當使用者超過一定的時間沒有動作時,需要將使用者自動登出。另也需要針對認證失敗多次的帳號鎖定一段期間。針對需要存取敏感系統或資料時,需要考慮透過多因素身分認證來提高認證的安全性。

CSC 17: 資安職能的評估與訓練

藉由資安職能盤點,可以識別出哪個角色的人員需要何種資安職能,並了解當前的能力狀態,以評估實施何種訓練活動來補足之間的差異。指引中建議資安意識宣導的重要性。也建議定期實施社交工程演練是針對全體同仁的重要訓練活動。

CSC 18: 應用軟體安全

舉凡內部自行開發的或採購進來的軟體,都需要進行安全生命週期的管理,以因應其可能帶來的安全弱點。攻擊事件經常藉由Web應用或軟體系統的弱點,而這些弱點可能是程式撰寫或邏輯上錯誤、也可能是沒有對使用者的過長輸入或不正確的內容進行適當的檢查與過濾。

因此,如果是買來的系統,除了要關注其是否有新版本以修補已知的弱點之外,也需要諮詢供應商關於佈署上的安全配置建議。如果是自行開發的系統,除了開發過程中需要考量面對不信任來源的輸入都要進行適當的處理與檢查,也可以在任何修改上線前藉由原碼檢測或基於Web的自動化掃描工具,以找出潛在的漏洞,並加以修復後才能上線。

CSC 19: 事件的處理與管理

為了保護組織的資訊資產與信譽,建立事件回應機制是有必要的。其中包含了事件處理計畫、參與的人員角色定義、溝通方式、管理階層的通報等都是需要列入事先規劃的。目的是攻擊發生後,如何快速有效的抑制其所造成的破壞,如何根絕該攻擊者的持續攻擊,並且恢復網路與系統的運作,都是這個單元建議的範圍。

CSC 20: 滲透測試與事件處理團隊(Red Team)的演練

藉由攻擊模擬演練可以得知整體組織的防禦整體能量,包含採用的工具與技術是否能發揮應有的效果,處理程序適不適當,處理人員做法是否正確、熟練等。因此指引中第一點即建議應該定期實施內部與外部的滲透測試(Penetration Tests),以了解既有系統是否存在可被利用的漏洞。並且定期為事件處理團隊舉辦演練活動,以便讓團隊的成員都可以熟練並快速的處理事件。

結論

要做好資訊安全,實務上應該沒有人敢說已經做好百分之百的準備,並確保不會有資安事件的發生。而是需要週期性的進行各種風險的評估,了解這些風險對於自身組織的關聯與發生的可能性。針對重要的風險項目,透過佈署適當的控制項目,達到降低風險發生機率甚至避免風險發生的目標。

因此本指引可以列為資安管理者一份不錯的參考資料,可以了解為有效因應時下的各種新興威脅,可以做的防護措施的全貌為何,再考量組織的業務屬性與資源現狀,能夠最大化的選取適當的防護策略。

參考資料網址:
https://www.sans.org/critical-security-controls

網路攻擊與防範新技術(上集)