降低网络攻击或灾损从事前防范做起，澳洲政府实施八大减缓策略

为了降低各种网络威胁，所引发的网络安全事件，许多政府也在积极采取行动。例如，为了因应网络威胁，澳洲国家安全局在2010年提出网络攻击减缓策略的指导方针，而这也成为日后政府单位、企业都能够参考的依据。

举例而言，为降低网络入侵的影响， 澳州政府共规划了35项的减缓策略，以及，便于政府机关可以依据相对应的技术手册，供单位完成相关评估与执行作业。在此当中，负责该国国防安全的澳洲通讯情报局（Australian Signals Directorate，ASD），评估出最重要的前四大网络安全减缓策略，包括应用程序白名单、应用程序漏洞修补、操作系统漏洞修补与限制管理者权限等，这是他们根据网络威胁环境现况，所规划出最有效的安全控制措施，并认为将可以阻挡或降低85％的网络攻击威胁概率。

在2017年，他们并更新了四大减缓策略，以及四项额外的控制，也就是所谓的Essential Eight，在上述四项策略之外，还包含关闭不信任的微软 Office宏、使用者应用程序管控、实施多因素验证与每日备份。简单来说，上述这些减缓策略已经被视为8个最基本的要求。

借由遵循8大基本策略，以降低网络安全的威胁 

在2018年7月，澳洲网络安全中心（ACSC）纳入至ASD旗下，该组织成立于2014年，前身为独立的网络安全运行中心（CSOC），包含对政府机 构提供全面的网络态势情报。现在， ACSC不仅成为法定机构，并吸收了来 自 CERT Australia与数位转型局的专家，在对应时下的资安情势，他们的职责是着重在网络攻击发生之后的恢复能力（Resilience），不论是关键基础设施、政府机构、中小企业、学术界，以及非营利部门、社群等。 

对于Essential Eight，ACSC也提出解释，由于没有单一的缓解策略，可以保证防止网络安全事件发生，而Essential Eight可以视为一个基准，更重要的是，实施这八项基本的缓解略，可以比回应大规模网络安全事件，更具成本效益。同时，他们未来也将不断更新这些策略，以因应网络威胁环境现况的改变。

最初公布于2017年的Essential Eight，最新版本在今年1月发布，内容仅有微幅调整，以最新的“Essential Eight Explained”报告来看，这8项缓解策略原本归纳为两大类别，现在则分成三大类别，包括避免恶意程式传 送与执行、限制网络安全事件的范围，以及资料复原与系统可用性。同时，ACSC也针对这8项做初步的解释。

第一类：避免恶意程式传送与执行 

● 应用程序白名单（Application Whitelisting）：仅允许已知的应用程序执行，以防止执行未经授权的恶意程式，包括：EXE档、DLL档、Script （Windows Script Host、PowerShell、 HTA）与安装程式。

● 更新修补应用程序（Patching Applications）：包括Flash、浏览器、微软Office、Java与PDF检视器，对于严重风险漏洞的更新修补，需在48小时内完成，并要使用最新版的应用程序。也就是说，要尽速修补这些应用程序的已知安全漏洞。 

●管控微软Office宏的相关设定（Configuring Microsoft Office macro settings）：封锁文件中来自互联网的宏，并且只允许信任位置的宏，而它们本身也就是受到权限控管与审查，或是使用凭证数位签署的宏。简单而言，就是要封锁不信任的宏。 

●使用者应用程序控管强化（User Application hardening）：禁止Flash、广告与Java在浏览器上执行，禁用微软Office的OLE功能，以及封锁网页浏览器与PDF检视器中不需要的功能。目的是为了避免这些易受攻击的功能被利用。

第二类：限制网络安全事件的范围 

●限制系统管理的权限（Restrict administrative privileges）：对于操作系统与应用程序的执行，需基于用户职责来提供对应的权限，并要定期重新验证特权账号的适当性。此外，不要使用特权账号监控电子邮件与网页浏览的行为。

●执行操作系统更新修补（Patch operating systems）：不只是电脑操作系统，还包括网络设备等，对于严重风险漏洞的更新修补，需在48小时内完成。建议使用最新版的系统版本， 并且不要使用已经终止支援的版本。

●实施多因素验证（Multi-factor authentication）：对于远端存取连线行为，如VPN、RDP、SSH等，以及所有用户执行特权操作，或存取重要资料时，应该要以多因素验证的机制来强化保护。

第三类：资料复原与系统可用性

●每日备份（Daily backups）：对于重要资料的新增或变更，以及软件与配置设定的备份，需要保留至少3个月。关于备份工作的验证，不仅要在一开始就进行，也要每年执行，每当IT基础架构变动时也要测试，以保持重要资料的可用性。

借助Essential Eight的成熟度模式，帮助组织单位落实 

另一方面，为了帮助组织单位实施 Essential Eight，ACSC在2018年还公布了Essential Eight Maturity Model，为这 8种网络安全减缓策略，定义了5个成熟度（Maturity）层级，包含了Level 0∼Level 4，来代表各项策略落实的程度。例如：

Level 0：不符合缓解策略的意图 
Level 1：部分符合缓解策略的意图 
Level 2：大多与缓解策略意图一致
Level 3：完全符合缓解策略的意图 
Level 4：适合高风险环境 

简单来说，Level 0是完全没做到缓解策略的诉求，他们认为最起码的安全基准来看，要达到Level 3才是完全符合，而Level 4将适合高风险环境采用。因此，企业应以力求达到成熟度级别3为目标。

举例而言，以使用者应用程序控管强化的策略来说，若是组织内的网页浏览器可自动播放Adobe Flash的内容，或是浏览器的Flash设定能被使用者变更，就是属于成熟度Level 0，完全没达到缓解策略的要求。

若是已限制浏览器的Flash设定不能被使用者更改，但网页浏览器上的Flash内容，使用者还是可以按一下就播放，则是属于成熟度Level 1。

更进一步的强化管控，就是要让浏览器封锁或不支援播放Flash内容，且封锁广告与来自网络的Java程式，这是成熟度Level 2。

若要能完全符合缓解策略的意图，做到成熟度Level 3的要求，还必须要关闭微软Office的Flash与OLE功能，以及关闭浏览器、微软Office与PDF检视器的非必要功能。

此外，未来ACSC将不断更新Essential Eight的内容，以因应最新的网络威胁局势。例如，在今年2月底，为了简化组织评估与执行Essential Eight，ACSC只列出Level 1、Level 2、Level 3成熟度级别，方便一般组织在每种缓解策略，都能朝向完全符合缓解策略意图的Level 3迈进。

而ACSC也提醒，在实施这些缓解策略之前，组织单位也应先识别那些系统需要保护，分析那些攻击者最有可能锁定自己的系统，以及确定需要何种级别的防护，并要持续提高目标，最终以符合每个缓解策略的意图。

ACSC将不断更新Essential Eight的内容，以符合最新情势