【用Cyber Defense Matrix搭配资安框架改善资安弱点】资安策略成效要靠真实威胁调整

企业在拟定资安策略后，如何验证，以及要让资安框架更有效果，仍要靠真实威胁调整。戴夫寇尔首席执行官兼共同创办人翁浩正表示，他们从自身帮助客户进行红队演练的经验，来说明在面对真实威胁时，可以如何透过活用资安框架，去缓解一连串的脆弱环节。

在先前的部分，他们已经说明了各管理阶层的考量，包含：资安长、资安官（资安高阶主管）、资安主管，与第一线资安人员，由上而下分别对应风险、程序、控制与技术的层面，各自有可以参考的资安框架，视为资安策略的基础。但不仅于此，从攻击角度来看，这样的4层架构，其实也能有助于做好资安的验证与精进。

戴夫寇尔事业发展经理锺泽华表示，当发生资安事件或进行攻防演练，也可透过由下而上的方式，来检视每一层是否能做好管控。

以最下一层的资安设备及服务而言，他举例，当厂商声称有一个100%防御无敌的解决方案，企业该如何搞懂实际该解决方案的适用范畴？对此，他谈到了一个安全模型Cyber Defense Matrix（CDM）。

这是2016年美国银行担任首席安全科学家的Sounil Yu所提出，并纳入OWASP，或称之为OWASP CDM，目前台湾较少人提及。

简单来说，这个CDM其实就是一个5乘5的矩阵，横轴分别是NIST CSF的五大类别，项目包括：识别、保护、侦测、回应、复原，并且加入了以资产类别画分的纵轴，项目分别是：设备（Devices）、（Application）、应用程序（Application）、网络（Network），资料（Data）与人员（User）。

透过这样的CDM矩阵，企业要知道每个解决方案所涵盖的面向，就能有较容易的方式，去看待与盘点这些产品。换言之，用CDM矩阵将能有更直观的方式，掌握到企业本身的资安缺口。而且，这种衡量方式，可以更简单去理解，一个解决方案无法解决一切问题。

不过，翁浩正也强调，这并不是要企业拼命买设备与解决方案，以填补资安缺口。若将先前所提的4层架构立体化，这个CDM矩阵，不只是可以应用在最下方的技术层，他们也提出可将不同层串接在一起的概念，如此一来，企业将可知道攻击由下而上穿透时，有那些部分还没有顾到。他举例，企业除了从最下层的方案面来着手，往上也能借由流程面的资安框架来因应，补足设备面的不足，但也不能全靠流程面来解决就是，因此需要平衡。

对于资安策略规划与精进，可从真实威胁来验证

为了让大家更好理解上述概念，翁浩正与锺泽华也特别从他们红队演练的经验，透过实际的案例来说明。企业除了由上而下做到资安策略规划，也能利用上述资安框架与模型，透过演练结果由下而上去回顾与精进。

利用红队演练结果案例找出实际威胁

翁浩正以一场实际红队演练来说明。他指出，在攻击过程中，他们先是找出了该企业对外网站上的漏洞，这是企业率先遭攻击的防御弱点。

值得注意的是，该网站是一个网站管理后台系统，但因疏于管理，所以被他们找到了任意上传档案漏洞，因此可以上传Webshell后门，之后透过内存分析得到管理者密码的杂凑，经破解密码，进而取得一个管理者的关键账号，而这个账号能够登入另外30多台主机，他们在这些主机上搜集帐密后，又找到一个主机的网站程式码，因此取得关键连线数据库的IP地址与账号密码，取得了企业的申请业务的敏感个资资料。

接下来，红队进一步瞄准目标内网的控制权，由于他们先前入侵的网站管理后台系统，本身也有串连到内部网络，因此红队循此路径，就进入了企业的内部网络。他们先是透过WMI取得内网一台主机的管理者账号，仿效先前的攻击手法，从内存分析出更多的账号与密码，包括取得了可登入RDP服务的子管理者帐密，可控制21台主机并且持续搜集帐密。

特别的是，他们还得到了另一台主机的PMPweb账号密码，以及从这些主机中得到一个备份的账号密码，最终，他们借由取得的一个网域／目录（AD）服务器的备份档，找出AD内的密码杂凑，破解后进而得到大量使用者的资料。翁浩正提醒，现在许多的备份方案，都希望企业的备份账号具有最高权限，等同于管理者账号，由于这个备份账号可以取得全部的资料，一旦被窃取，后果相当严重。

从上述攻击结果来看，企业会发现防御有那些问题？从一般简单的推想来看，锺泽华说明，首先就是程式写不好，所以该网站管理后台系统可以被上传Webshell，还有就是在侦测机制上的不足，回应时间不够即时，以及账号密码或网络管理的问题，但是，问题就只有这样吗？

对此，锺泽华特别强调，这也是企业为何需要框架或标准的原因，因为这些内容其实已经设想了多数常犯的错误，而透过将资安标准结合前述CDM矩阵的使用方式，将让企业可以更精确的盘点出完整防护能力，例如，在防御纵深的哪一阶段没有做好，才能知道要挑选何种设备、增加什么样的程序，以及需要强化的控制措施。

如果没有这样的架构，锺泽华强调，企业将无法知道问题，也就是看出风险或安全问题的全貌，而且，只要这些问题有一小部分没有解决，这意谓著这个风险其实是持续存在的。

该如何依据攻击演练结果修正资安问题？

对于企业待补强的防御纵深机制，锺泽华表示，在使用方法上，CDM矩阵不只适用于技术层，具体而言，往上也能对应到控制层与程序层，透过资安框架的活用，并要能够了解不同层之间如何串接在一起。

在控制层依循CIS CSC来管控

他以控制层为例，透过资安框架CIS CSC控件搭配CDM矩阵，说明上述红队演练结果所对应的内容。

在上述红队演练结果中，可以先整理出可对应的相关CSC控件，总共包含21项，例如：4.2的变更预设密码，6.3的开启更详尽的日志记录，12.1的维护网络边界清单等。

而这些项目，将可对应到CDM矩阵中的不同位置，让企业更具体知道其涵盖范围。例如，4.2的变更预设密码，是在设备与保护的面向：6.3的开启更详尽的日志记录，是在网络与侦测的面向；以及12.1的维护网络边界清单，是在网络与识别的面向。

同时，锺泽华还说明了一个重要的观念，就是要制定优先级（优先权），才能够一步步解决问题。简单而言，CIS CSC可分成基本型、基础型与组织型，并依据企业规模（Implementation Group）分成IG1、IG2与IG3，他表示，最优先要做的项目是基本型IG1，接着是基础型IG1、组织型IG1，再来才是基本型IG2，以此类推。

例如，在使用者与保护面向的4.2变更预设密码，就是该次红队演练后首要做到的控件，然后再陆续达到其他20个控件的要求。

从程序面借助ISO 27001来补强

进一步来看，在控制面之外，还有另一个重要关键，是在程序面是否能与控制面做结合，例如，这些控件是否对应到ISO 27001的项目。锺泽华表示，当控制措施对应程序层，才能够更完整思考企业防御策略的问题在哪里，例如，套用到Cyber Defense Matrix矩阵后，像是在网络与侦测面向的6.3开启更详尽的日志记录，从ISO 27001来看将是A16.1.5对资讯安全事故的回应，但此一程序面其实不只是包含于侦测，还有回应、复原。综合来说，可借此发现待补强的防御纵深机制。综合来看，透过设备、程序与流程面的搭配，才能够降低弱点被利用的可能性，而上述例子，也就是说明了要从更完整的角度，以检视面对真实威胁的缓解方式。

另外，锺泽华提醒，标准跟框架其实都是一个辅助工具，毕竟框架本身有些要求相当高标，即便国内大企业都不一定是有预算，就能做到，例如，一些控件要以自动化来完成，因此，企业最好将它们当成思考方针来看待，并依据资源决定要做到什么程度。

何谓Cyber Defense Matrix？

关于Cyber Defense Matrix的发展，这是2016年美国银行担任首席安全科学家的Sounil Yu提出，目前他任职SCVX Corp和FAIR Institute的董事会，并以兼职教授身份教授资讯安全。这个矩阵的横轴，是NIST CSF的五大类别，而纵轴则是资产类别，可帮助企业理解供应商产品的用途面，并让整体资安综合防护的评估更有逻辑与结构。特别的是，这样的矩阵也渐渐受到业界关注，例如，这个矩阵也纳入OWASP当中，而近年RSAC大会上，Sounil Yu也多次在发表相关内容，特别的是，在今年RSAC大会2020现场，会中也提供了Cyber Defense Matrix（CDM）Learning Lab的活动，让与会者能以互动形式，实际体验这项矩阵的用法。资料来源：Sounil Yu，iThome整理，2020年9月

对于Cyber Defense Matrix的应用，Sounil Yu提到几个实例。例如，可借由矩阵帮助资安防护产品分类，以盘点产品类型对应在矩阵上的范畴，也有类型是跨区块。以Network Security而言，涵盖面是网络的保护，而以DDoS Mitigation类型而言，涵盖是网络的侦测与回应，两者都是部分的网络面，不能涵盖到装置、应用程序、资料与使用者。

另一个应用实例，Sounil Yu在2019年也以当年RSAC新创业者来举例，用Cyber Defense Matrix将这些业者分类，可以看出该年资安新创的发展趋势，是聚焦在那个面向。

可借助将CIS CSC融入Cyber Defense Matrix的应用方式，做好控制层的资安管控与规划

以资安主管负责的控制层为例，将资安框架CIS CSC控件对应到Cyber Defense Matrix来检视，例如，图中浅蓝色是基本型控件、灰色是基础型控件，深蓝色则是组织型控件，可让企业更具体知道各控件的涵盖范围，并能用于制定资安改善优先级。资料来源：戴夫寇尔，iThome整理，2020年9月

如何透过演练结果调整资安策略？可将发现问题套用到与CDM结合的CIS CSC，再依最低实施要求依序强化

对应攻击演练结果，企业能够将资安标准与Cyber Defense Matrix结合使用，以盘点需要强化的设备、控制措施与程序。以上述红队演练结果为例，就控制面而言，企业在此案例中，可以利用CIS CSC，先找出需强化的21个控件，接着标示3大控制群组类型，再依据各控件的最低实施要求，来决定这项风险企业该补强的先后顺序。值得注意的是，这里建议的顺序排列，是从基本型IG1、基础型IG1、组织型IG1，再来才是基本型IG2、基础型IG2、组织型IG2，循序做到补强。在此例中，企业第一个动作就是针对“4.2变更预设密码”先做改善，有顺序性的达到目标。资料来源：戴夫寇尔，iThome整理，2020年9月

 相关报导  资安框架活用新思维