3月21日,美國白宮發布國家網路安全聲明,呼籲民間企業加強網路防禦,因俄羅斯駭客可能對美國關鍵基礎設施發動網攻,並強調必須加快改善該國網路安全的工作。同時,該公告也建議企業組織,參考CISA建立的「Shields Up」資安防護指引。

隨著俄國攻入烏克蘭後戰事膠著,即使面臨美方等經濟制裁施壓也不願退兵,先前美國總統拜登曾警告,俄羅斯為了報復經濟制裁,可能針對美國發動網路攻擊活動,最近在3月21日,美國白宮發布總統拜登對於國家網路安全的聲明,再度引發關注,當中不只呼籲民間企業與關鍵基礎設施,對於資安防護強化的腳步也必須加快,同時還特別彙整了緊急強化資安的方針,而這樣的作法,除了影響美國本身,也引起全球政府與企業的關注,可視為當今各國推動整體資安防護的一大借鏡。

保護國民仰賴的關鍵基礎設施及服務,所有企業均有責

在美國總統拜登的這份最新聲明中,一開始就針對該國資安現狀,說明幾件事情,我們將這些內容歸納成3大重點。

首先,是近期美方有情報顯示,俄國可能為了報復美歐的經濟制裁,正探索對美發動網路攻擊的各種可能,事實上,之前拜登對此不只提出一次警告,指出俄羅斯可能對美國進行惡意網路攻擊,但這次的呼籲顯然更具急迫性。

第二,對於現在的網路攻擊威脅,光靠美國聯邦政府是難以抵禦,儘管聯邦政府將會使用各種工具,來阻止、破壞各種網路威脅,並在必要時針對關鍵基礎設施的網路攻擊做出積極因應,然而,單單仰賴聯邦政府,並無法抵禦國家面對的各式網路威脅,畢竟,大多數的關鍵基礎設施都是民間企業經營,因此,這些業者也要加快角度來提升資安防護,同時,美國國土安全部網路安全暨基礎安全局(CISA)也將積極協助這些機構,保護其系統與網路的運作。

第三,白宮不只是呼籲當地企業及組織與關鍵基礎設施的經營者,需立即採取行動,防範潛在攻擊,同時還提供如何做好資安防護的相關指引。這當中提及CISA建立的「Shields Up」資安指引專區,可作為當地企業組織的參考,而對於不夠了解資安的企業,白宮也特別彙整出一份清單,當中條列8項企業應立即採取的資安防護工作。

從上述的聲明來看,美國政府最新公布的安全指引,國內企業與組織也值得參考,視為現今首當著重的基本資安防護面向與工作。

另一引發外界關注的焦點是,上述這些資安防護的宣導內容,是由美國行政體系最高領導人總統頒布,相較之下,過往美國政府大多透過CISA與FBI等機構發布相關安全指引,具有不同意義。

簡而言之,這次美國白宮最新發布的資安聲明,不僅顯示現今國際衝突下,網路威脅將變得非常劇烈,對於全球及我國政府而言,他們的推動方式也將成為新的典範,那就是:由最高行政首長帶頭,宣導企業與組織的資安策略。

還沒準備好的企業組織,可從8個重點開始落實資安防護

在美國白宮本次公布的資安指引中,有那些重點?

基本上,本次宣導的資安防護工作相關資訊,主要就是提供給未做好準備的的民間企業,以及關鍵基礎設施業者,最重要的就是希望更多的民間企業與關鍵基礎設施業者,都能了解與重視這些基本防護之道,並要採取行動、落實相關要求,因此,這個資安指引的內容,其實是更為普遍與實用的做法,而非過去所談的網路安全框架那樣抽象。

另一特別之處在於,白宮也特別針對軟體與技術商提出資安建議,其目的是因應長期的網路安全威脅。

具體而言,對於企業組織與關鍵CI來說,美國白宮認為,即刻需採取下列8項資安防護工作。

首先,最值得關注的是,導入多因素驗證(MFA)現成為第一要務,是最優先強調的防護策略。

其次,要部署現代化資安工具,還要做到持續偵測威脅與緩解威脅;第三項工作在於,漏洞儘速更新修補已經不斷被強調,同時也要注意變更密碼。

同時,企業必須知道資安事件難以避免,因此,第四到第六項工作,就是要妥善的備份、資安事件演練,以及妥善的資料加密。

最後兩項工作,是關於員工資安意識,以及公私聯防。

以前者而言,不論是員工或民眾,若欠缺資安意識,是企業與政府頭痛的問題,應盡量幫使用者認識攻擊者常用手法,例如,了解歹徒如何利用電子郵件或網站,來發動網路攻擊或網路釣魚詐騙,讓使用者更有警覺,並鼓勵員工在發現異常時,能夠及早通報;至於所謂的公私聯防,是要企業、組織與各個地方政府、執法單位積極合作,平時應建立聯繫管道,才能讓整個國家能夠更快因應新出現的威脅。

綜觀上述8項資安防護工作,最特別項目的是多因素驗證的導入,現在已經被視為必須的強化面,甚至提升到國家資安政策的最優先實施項目。白宮也指出,現下更強調需具備持續威脅偵測與緩解的資安解決方案。

至於其他項目多為資安界常年不斷宣導的重點,看似老生常談,但這些要求其實也點出過往我們容易忽略的關鍵。

例如,在備份方面,白宮提醒大家要注意離線備份的落實,對於資料加密的安全程度也要重視,才能在資料即便遭竊的狀況下,也無法被外人破解。

這裡也說明了公私聯防要積極推動,平時就應建立聯繫管道,而不是發生事件後才開始建立聯繫。

向科技與軟體業者喊話,推動產品安全可聚焦5大層面

除了從許多層面提出強化資安的重要工作項目,不僅如此,在這次白宮的聲明中,也針對科技與軟體商倡議產品安全,鼓勵廠商開始行動。

例如,近年一再強調的幾個概念,都納入白宮本次聲明,成為國家級資安政策。譬如,從產品設計就要考量資安,確保開發人員在撰寫程式碼時考量安全性,以及須推動開發流程安全的要求。

值得注意的是,這當中提到要讓開發人員知曉使用自動化安全測試工具,此舉至少能讓大多數的錯誤與漏洞,在軟體發布之前就被解決。

基本上,這裡並未一一列舉各種程式碼與應用系統安全檢測的作法,像是:程式碼審查、靜態分析、動態分析、模糊測試、威脅模型分析、滲透測試,以及紅隊測試與漏洞獎勵計畫等,但美國政府將相關要求聚焦於借助相關自動化工具之力,仍有很大意義,因為這至少能大幅縮減,或避免基本的軟體開發安全問題,使其不再發生。

另外一點,在產品安全漏洞修補之外,近年更是強調建立軟體物料清單(SBOM),這主要是因應開源程式碼的安全問題。這也是近年資安界最熱門的議題之一,同樣成為當前軟體廠商應該具備的安全防護意識。

另可參考Shields Up資安指引,建立現今基礎資安觀念

關於推動資安防護,白宮建議是參考CISA的「Shields Up」資安防護指引

這裡的規範其實不像一般資安標準或技術文件那樣複雜,主要分成4大部分,包括:所有企業組織的通用指引,給企業高階主管與執行長(CEO)的建議,遭遇勒索軟體的應變,個人與家庭自保資安觀念。後續我們會再逐一介紹

針對俄羅斯威脅有關的最新資訊,美國CISA提供了「Shields Up技術指南」的專區,當中彙整的情資包括攻擊參與者資訊,以及勒索軟體、破壞性惡意軟體、DDoS攻擊等,同時建立Shields Up防護指引的網站內容,讓民間企業與關鍵基礎設施業者都能借助其資源來做好防護。

___________________________________________

剖析8大即刻防護重點,導入多因素驗證成第一要務

面對潛在網路攻擊威脅攀升的可能性,美國總統拜登於3月21日示警,要求需加快改善網路安全,尤其是民間企業與關鍵基礎設施業者。

為了讓那些還沒準備好的企業,能快速理解基本資安防護重點,因此,在白宮對於該國網路安全的聲明中,特別簡要彙整出8大基本防護之道,希望督促企業能從這些面向著手行動,以保護該國關鍵基礎設施,以及人民所仰賴的關鍵服務。

特別的是,由於白宮條列的8個項目,都是以簡單幾句話來描述,為了幫助大家快速了解,因此我們他們列出的各項要點之前,加入簡短說明。

1. 導入多因素驗證(MFA)
在組織系統上使用多因素驗證,現在必須是強制執行,才能讓攻擊者入侵系統更加困難。

2. 部署現代化資安工具
需在電腦與裝置上部署現代化的資安工具,以持續尋找威脅與緩解威脅。

3. 漏洞儘速更新修補,變更密碼
漏洞請諮詢網路安全人員,確保系統是否做好漏洞修補,並針對所有已知漏洞做出防護,同時也應變更整個網路的密碼,這可使之前遭攻擊者竊取的用戶帳密變得無用。

4. 妥善備份資料
不只是備份資料,並要確保離線備份不會在惡意行為者的攻擊範圍。

5. 資安事件演練
制定應急應變計畫並實際演練,當事件發生時就能預先做好準備,可以做到快速回應,在遭遇任何攻擊後所造成的影響都能最小化。

6. 資料加密
需將資料妥善加密,才能在不幸遭遇資料竊取時,對方無法利用這些資料。

7. 培養員工資安意識
需教育員工認識攻擊者常用的手法與策略,像是攻擊者是如何利用電子郵件或網站來發動攻擊或網路釣魚,並鼓勵員工發現異常及早通報,一旦發現電腦或手機出現不尋常的行為、系統當機,或是電腦的執行速度嚴重變慢,應儘速通報公司負責單位或人員。

8. 與當地政府及執法單位積極合作
美國的企業與組織應與在地的FBI或CISA區域單位積極合作,在任何網路安全事件發生之前就要建立聯繫。並鼓勵公司的IT人員與資安負責人多利用CISA與FBI的網站,當中將有許多技術相關資訊,以及可以利用的資源。

整體而言,最受關注的就是多因素驗證導入已成必要,事實上,去年Google就有相關行動,將分階段強制用戶Google帳號啟用兩步驟驗證,而其餘老生常談的防護要點,也應該有效落實,並注意不該忽略一些細節,像是要注意離線備份,以及與政府、執法單位的聯繫,平時就該建立。

___________________________________________

5大產品安全建議,擁抱安全軟體開發生命週期概念

強化國家的網路安全,除了企業組織要改善其資安,從長遠面向來看,還有一個重要的面向,就是必須聚焦於技術與軟體公司的通力合作。而在美國白宮於3月21日發布的聲明中,除了督促企業強化資安,同時也鼓勵技術與軟體公司,要從傳統的產品開發設計,轉變為安全的產品開發設計,以及重視產品安全性。

以下是白宮所條列出5大重點項目,而我們在他們的各項要點之後,同樣加入簡短說明,幫助大家理解:

1. 產品設計開發就要考量安全
從產品設計一開始就要建立安全要求,過去有句口號:bake it in, don't bolt it on,意指將資安融入產品或服務,而不是將資安當成額外附加品,以保護業者的知識產權與客戶的隱私。

2. 開發軟體流程與環境的安全
在開發軟體時,僅在高安全性的系統進行,並只允許實際從事特定計畫的人可存取。這麼一來,將使入侵者難以從一個系統滲透到另一系統,並且難以攻破產品或竊取智慧財產。

3. 自動化安全測試
應使用現代化工具檢查已知與未知潛在漏洞,對於公司內的產品開發人員而言,其實有一些自動化的安全測試工具,可以幫助他們在軟體發布之前,或是惡意攻擊者利用之前,找出多數程式碼的錯誤或不安全之處。如果開發人員知道這件事,至少可以修復大多數漏洞。

4. 掌握程式碼來源
軟體開發人員應對產品中使用的程式碼負責,這也包括有使用到的開源程式碼。因為,大部分軟體的建構,均使用許多不同的元件與程式庫,而當中大部分都是開放原始碼,所以,需確保開發人員知道當前使用元件的出處及來源,並建立軟體物料清單(SBOM),以防未來其中一個元件出現漏洞時,可以快速找到並因應。

5. 政府軟體採購納入資安要求
美國企業組織應實施該國總統拜登行政命令(EO 14028)──改善國家安全。根據該行政命令,美國政府採購的所有軟體,現在都必須在其設計和部署方式上能滿足安全標準。而白宮也鼓勵企業組織,可以更廣泛地遵循這些作法。

整體而言,過去資安界早已強調安全軟體開發生命週期的概念,以及產品資安事件應變等,但這樣的資安觀念還不夠普及,開發人員或高層若沒有這樣的意識,難以從根本做起,現在連白宮也出面提出建議,呼籲業者是時候該改變。

不僅如此,現下還面對開源軟體安全的特殊挑戰,這也促使SBOM的議題受到重視,才能在元件發現漏洞時,快速知道那些產品受影響,而政府也設法從法規面將資安納入採購要求,促進廠商做出改變。


熱門新聞

Advertisement