在入職的前幾周,應該見什麼人、問什麼事、採取什麼行動?
文/屠震
聘用你來負責資訊安全的原因可能是由於一些需要快速解決的緊急事項,例如最近的稽核報告結果或主要客戶對其供應鏈安全的需求。這是當務之急,建議先尋求短期解決方案,優先堵住漏洞。
新進公司的前幾週,應該還處於「見面和問候」的探索模式,前幾站可安排與公司 IT 人員會面。
一、90 天行動計畫的第一部分 ─與公司的 IT 部門會面,達成以下目標:
取得全域網路架構圖,以了解公司網路進/出網際網路的路徑數量及位置
你應該會知道你的房子有多少扇門吧?要求提供可從外部存取的應用程式或服務的清單,例如通常位於 DMZ 區域的公司網站或其它公開服務。
但請不要感到驚訝,IT 部門可能無法提供完整的清單。那麼該怎麼辦呢?第 3–21 章「供應鏈安全」介紹了第三方安全評級服務,只需輸入公司的域名,即可幫助你找出所有可從外部存取的應用程式或服務清單和資安態勢。 如果公司尚未使用此類掃描工具,這應該是你需要優先採購的第一項工具:這是漏洞管理的入門第一課。
此外,你還應深入了解以下關鍵領域的現況:
‧遠端存取管理、桌上型電腦/筆記型電腦防毒措施、身分認證管理、
‧作業系統的安全修補實務、瀏覽器修補實務、電子郵件安全實務。
這些資訊將幫助你全面評估公司的安全狀態,為後續的安全策略制定提供基礎。
這是你的第一週或第二週,如果可以的話,和他們一起出去吃午餐或喝咖啡,給他們留下好印象 :)
二、90 天行動計畫的第二部分 ─制定你的初始行動清單
明確列出你的優先行動計劃,並及時向直屬主管匯報,確保其充分了解並支持你的工作方向。由於你仍處於蜜月期,請立即要求購買第三方安全態勢評鑑或其他態勢掃描工具。
[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 IG,與全球CIO同步獲取精華見解 ]
準備並提出第一套關鍵績效指標(KPIs)
▪第一部分:外部資安態勢
‧資安態勢評鑑目標分數:80%(初始目標)。
‧嚴重(Critical)漏洞需 3 天內修復。
‧高風險(High)漏洞需 2 週內修復。
‧未知主機的數量歸零。
‧暴露在外部之管理用通訊埠(例如:telnet、rdp、ssh)數量歸零。
如果沒有外寄電子郵件的 SPF 記錄,請與你的 IT 人員合作將外寄電子郵件伺服器公用 IP 新增至公司 DNS 伺服器。
▪第二部分:防毒
有安裝防毒軟體並在過去 2 週內更新病毒碼的主機百分比,目標是涵蓋 90%的主機。
你可能會驚訝地發現,找到這些資訊並不容易。你可以從這些 KPI 開始:
‧安裝防毒程式的辦公室 PC 佔 AD 網域中所有辦公室 PC 總數的百分比。
‧查看防毒管理控制台,計算在過去兩週內有多少防毒代理程式成功更新病毒碼。然後將此數字除以安裝了防毒程式的主機總數,以獲得百分比。
▪第三部分:安全性修補程式(應該基於現有的 IT 規範與實作。)
DMZ 主機:
一般漏洞評分系統(CVSS)評分高於 9 分的嚴重漏洞,必須在 3 天內修補。
常規作業系統安全修補程式必須在發布後2個月內修補。
▪執行一些你自己的稽核
例如檢查使用者帳戶終止狀態,確保離職的使用者不在 VPN 遠端存取授權清單中,以及確保轉職或離職的 IT 管理員不在 AD 或關鍵應用程式上擁有有效帳戶。
▪訂閱實用的免費服務:
‧美國網路安全與基礎設施安全局(CISA)網路安全警報和建議。
https://www.cisa.gov/news-events/cybersecurity-advisories
‧網路安全中心(CIS)CIS Benchmarks List(告訴你如何進行安全設定)。
https://www.cisecurity.org/cis-benchmarks
三、90 天行動計畫的最後部分 ─準備進行全面的風險評估
風險評估是資訊安全管理中的一個關鍵步驟,旨在識別、分析和優先處理可能影響組織關鍵資產的風險。
在文章〈策略性資安風險管理的 4 個關鍵步驟〉中,我介紹了風險管理流程的四個步驟,第三步驟就是根據國際資安標準和最佳實務,例如以 IT 一般控(ITGC)進行風險評估。(https://www.cio.com.tw/4-key-steps-for-strategic-security-risk-management/)
▪IT 一般控制(ITGC):
IT 一般控制提供了安全控制的基準,這是全球 SOX 合規性的基準。在第 3–10 章「建立資安保證專案(Purple Team — 紫隊)」中有詳細的 ITGC 介紹。
▪引導風險式分析流程(Facilitated Risk Analysis Process,FRAP)
引導式風險分析流程是一種有效的風險評估方法,由 Thomas Peltier 創建。
這種方法強調使用者參與,運用組織內部的業務主管、終端使用者對業務資訊需求的熟悉,以及對系統潛在漏洞和實際控制的詳細了解。正確的團隊成員組合可以帶來最佳的結果(包括:終端使用者、業務主管、法律、人力資源、勞工關係和 IT 系統管理員),我稱之為 FRAP 團隊。
「Facilitated」(促成或引導)指的是風險評估者運用其風險評估技能,引導 FRAP 團隊成員揭示潛在風險。
▪進行引導式風險評估:
一次只分析一項資產風險;資產可以是一個系統、應用程式或業務運作的一部分。
對於每個資產,使用 ITGC 對機密性、完整性和可用性來計算總體風險評分。
[ 推薦文章:從混亂到自信 ─ 5 種雲端安全架構 ]
例如,對於關鍵的財務 ERP 應用程式:在機密性方面,請 FRAP 團隊評估目前在「僅知原則」(need-to-know principle)基礎上暴露了哪些風險,他們可能會告訴你有共享帳戶、簡單密碼、缺乏年度帳戶管理審查等資安問題。
在完整性方面,詢問 FRAP 團隊是否存在可能讓某人能夠修改生產數據?答案通常與職責分離(SoD)問題有關,例如軟體開發人員可以存取生產系統;或是在未檢查 SoD 的情況下授予業務使用者角色,例如某人既可以申請又能夠批准付款。
在可用性方面,你可以詢問是否有定期的系統和資料備份、異地或本地備份副本、有沒有備份錯誤警報,或是否有定期的備份復原演練。此外,你還可以進一步深入了解 IT 災難復原(DR)和營運持續計畫(BCP)。
對於每個資產的每個類別分別使用 1 到 4 分(1 為不太嚴重、4 為非常嚴重)的評分系統,評比機密性(1 到 4)、完整性(1 到 4)、可用性(1 到 4)的分數,得出最終風險評分為 1 到 12 分,這可用於決定風險緩解工作的優先順序。
我必須強調,由 FRAP 生成的風險優先順序清單是基於「剩餘風險」,也就是在實施現有控制措施後仍然存在的風險。一位讀者曾詢問我,在兩個資產具有相同的風險評分時,如何決定優先順序?
對此,我提供了兩種進一步的區分方法:
考量風險緩解成本,優先處理較低緩解成本的選項。
進行業務財務影響分析,這個主題會放在〈IT 災難復原和業務連續性計畫〉中介紹。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
