資安新時代： 多層次整合防禦的最新發展

在2024 年 2 月，美國國家標準暨技術研究院(NIST)更新了網路安全框架 (Cyber Security Framework, CSF) 至 2.0 版本，最重要的更新包含針對的對象擴大至所有組織、供應鏈風險管理、新增治理功能……等等。其中，新增的治理 (Govern) 整合了原先的五項功能識別 (Identify)、保護 (Protect)、偵測 (Detect)、回應 (Respond)、回復 (Recover)，著重強調組織對於整體網路安全風險管理策略、期望以及政策的管理，包含制定、傳達和監控。

透過擴展過去美國銀行首席資安科學家Sounil Yu 所提出、結合 NIST CSF 1.0 與應保護的五種對象的網路安全矩陣(OWASP CDM)，可以看到治理 (Govern)不僅整合五項 CSF 重點功能外， 也意味著組織需要整合、建立多層次資安防護機制。儘管針對性的資安解決方案眾多，現今資安維運人力短缺，單一管理者需要負責多項解決方案，遇到問題時耗費大量時間來查找和分析。不論趨勢與實務，整體皆往整合所邁進。

多層次防護的各個階段

最外層的防護包括防火牆和防毒軟體，它們如同城牆，劃清分界、擋住明顯的攻擊。這些工具能夠攔截試圖繞過系統防線的惡意軟體和未經授權的訪問。

第二層防護是城門關口的驗證。基本的帳號密碼如同通關文書，用於識別進出人員的權限。多因子驗證則如同通關文書的加密防偽，使識別更為可信。最小權限原則限制了每個人識別通關後的活動範圍和可執行的操作，確保即便帳號被盜，損害也能被控制在最低限度。

第三、四層防護如同在城內對個體行為進行檢視與處理違規。偵測與回應階段負責監控行為是否合法以及是否需要應對。這包括端點、網路和設備行為的監控，藉此有效防範內部威脅。

這些監控工具能即時偵測異常行為，並迅速採取相應的回應措施，防止潛在威脅擴大。

整合式防禦縱深的重要性

儘管每一個城牆、城門關口、個體行為監控都行之有年，對於資安管理者而言，仍舊缺乏整合性的治理 (Govern) 方式仍是挑戰。例如，資安維運人員面對合規性政策的變動，可能需要到多個平台進行規則設定變更以及驗證。因此，現今多層次整合防護縱深成為最新的趨勢。

目前市場上已有端點偵測與回應 (EDR) 廠商對於資料庫結構進行調整，並蒐集系統日誌，達到跨源偵測與回應(XDR)， 並逐步往安全資訊和事件管理 (SIEM) 進行發展。也有網路偵測與回應(NDR) 廠商透過併購方式跨足 SIEM 市場。而既 有 SIEM 廠商則有陸續併購 EDR 及 NDR 團隊，逐步朝完整 XDR 進行發展。

透過整合不同層級的防禦縱深，企業可以在單一平台上將這些解決方案進行彙整，減少跨平台比較所需的時間。整合式防禦系統的好處不僅在於提升效率， 還在於提供更全面的防護。當所有的防禦措施都集中在一個平台上時，管理者可以更輕鬆地監控和管理整體資安狀況，快速識別和回應威脅，並進行統一的事件管理和報告。

結論

多層次整合防禦讓企業可以更有效地應對日益複雜的資安挑戰，提升整體防禦能力。這種策略不僅能夠提高資安防護的效率，還能夠更全面地保護企業的資產，確保在面對不斷演變的威脅時，企業能夠保持安全和穩定的運作。