企業將網路安全稽核(Cybersecurity Audit)作為企業優先要務的原因有很多,像是執行網路安全稽核可以協助企業組織找出問題並補救,以免因為違反法規遵循(Regulatory Compliance)、資料外洩(Data Breach)或其他嚴重的網路安全事故而付出昂貴的代價。網路安全稽核可以找出存在於網路安全流程及系統中的漏洞、威脅(Threat Vector)、危險的做法和脆弱環節。
什麼是網路安全稽核?
網路安全稽核是指對企業組織的網路安全和網路風險(Cyber Risk)進行全面性的評估和分析。
網路安全稽核的目標是主動找出網路漏洞、威脅及相關的緩解方案,以避免弱點遭到利用。
網路安全稽核會使用各式各樣的技術、流程和控制措施,來評估企業組織在網路、計畫、裝置和資料的安全防護是否足以抵禦風險及威脅。網路安全稽核(Cybersecurity Audit)需定期執行,稽核結果會跟既定的內部基準、業界標準及網路安全最佳做法相互比較。而這些稽核工作可交由內部 IT 和安全團隊,或是外部的第三方組織執行。
儘管網路安全稽核方式種類多元且繁雜,也會根據企業組織的類型和規模而採用不同,但大致目標皆是要幫助降低網路風險(Cyber Risk)並改善企業組織的安全狀態和形勢。網路安全稽核的執行好處包括:
- 避免企業公司因違反法律或規章而受罰。
- 主動抓出安全流程和系統的漏洞。
- 確認設有足夠的網路安全控制措施,以執行原則和程序。
- 確保敏感資料不會遭受到未經授權的存取。
- 找出並修補網路安全的風險。
- 改善安全系統和流程。
- 強化遇到網路安全事故的回應準備。
- 維護安全、風險基準和最低閾值。
- 符合內部和外部法遵規則的要求。
- 最佳化的安全培訓和教育計畫。
- 加強客戶、員工和合作夥伴的信任與公信力。
- 驗證安全原則和程序。
- 驗證所有人員和系統皆確實遵循安全原則。
協助企業做好應對網路安全風險的準備
網路安全計畫與網路安全稽核是相輔相成的。在進行網路安全稽核時會詢問的問題和評估項目包括:
- 採用的是否為新型的網路風險(Cyber Risk)管理計畫?
- 計畫是否考量到近期的資安事故和新的已知網路威脅?
- 企業組織是否已聯繫所有部門,確認網路風險管理計畫符合各部門的要求?
- 過時的技術工具是否已替換為新型解決方案?
- 程式是否定期套用更新和修補?
網路安全稽核的範圍
雖然網路安全稽核的範圍取決於諸多變數,但不論稽核規模為何,通常都會包含以下漏洞檢查的項目:
資料安全
- 存取控制(Access Control)
- 加密使用
- 對靜態和傳輸中資料的安全防護
- 敏感資訊處理
網路安全
- 存取點
- 防毒設定
- 可用性
- 網路流量監控 (如電子郵件、即時通訊和檔案)
- 存在於任何網路元件中的弱點
營運安全
- 評估是否確實遵守原則和程序
- 資訊和系統的安全防護
- 安全原則、程序和控制措施
實體安全
- 警報系統
- 大樓出入管控
- 實體裝置的儲存保護措施 (如鎖門、螢幕鎖定和磁碟加密)
- 監控能力
軟體系統
- 資料處理
- 應用程式防護
- 安全解決方案
- 軟體開發
系統安全
- 安全強化流程
- 修補流程
- 特權帳戶管理(Privileged access management, PAM)
- 角色型存取控制(Role-Based Access Control, RBAC)
外部與內部網路安全稽核
網路安全稽核可交由外部網路安全服務團隊或內部 IT 和安全團隊執行。
網路安全稽核的類型和細節取決於稽核目的、組織規模及所要收集、處理和儲存的資訊類型而定。
外部與內部團隊所採用的網路安全稽核,有以下幾種類型:
法遵稽核
法遵稽核(Compliance Audit)是最常見的稽核類型,因為規章和法律規定繁多,且許多企業組織都會受其影響。這類稽核的重點在於判定應符合的要求,並將其對應至現有的安全解決方案中,找出破口之所在。儘管法遵稽核並非全方位的網路安全稽核(Cybersecurity Audit),但它確實有助於找出安全防護系統中可能遭到利用的漏洞及破口。
滲透稽核
滲透測試(Penetration Test)是另一種網路安全稽核的類型,這類稽核會對系統發動模擬攻擊來尋找弱點。有些滲透測試可使用自動化工具進行,較精密的滲透網路安全稽核則會結合使用自動化與人為攻擊向量,挖掘出系統隱藏的漏洞。
風險評估稽核
風險評估網路安全稽核(Cybersecurity Risk Assessment) 比起其他類型更加複雜、耗時和昂貴,且無法呈現企業組織的安全狀態和形勢的全貌。風險評估稽核的重點在於分析潛在威脅、發生威脅的可能性,以及如果真的發生時所可能造成的影響,並透過執行上述流程找出漏洞,但搜尋漏洞的工作並非以確保系統健全和成效為優先要務。
外部網路安全稽核
外部網路安全稽核是由提供專業安全稽核服務的第三方來執行,這個類型的顧問或團隊具備豐富的網路安全稽核經驗,可以運用一整套先進工具和流程來找出網路安全計畫和協定中存在的破口與漏洞。
委託外部團隊執行網路安全稽核的優點包含:
- 精通法遵要求
- 獨立性
- 不會有內部偏見或利益衝突
- 專業經驗
外部稽核雖然具有優點,不過卻耗時,且費用比較高。能夠簡化並加速第三方網路安全稽核的訣竅包含:
- 選擇適合企業組織需求的服務團隊
- 收集和整理所有相關資訊
- 明確設定稽核的規模參數
內部網路安全稽核
內部網路安全稽核是由企業組織內部的專業團隊成員執行(包括 IT、安全、風險管理及法規遵循團隊)。這個類型的稽核透過企業組織自身的工具和流程來評估安全系統的成效和是否遵循法規要求。
內部執行網路安全稽核的優點包含:
- 能夠直接存取內部系統和流程
- 更具有成本效益
- 能夠更加頻繁的審查
- 對安全和法律遵循系統以及協定有更深入的了解
內部執行網路安全稽核可能出現的缺點包括:
- 缺乏客觀性
- 可使用的專業技術有限
- 可能存在偏見或利益衝突
網路安全稽核執行的頻率
根據下列因素,企業組織在網路安全稽核的執行頻率可以視情況而定,在每月、每季、每年,或隔更久執行一次稽核。
網路安全稽核的執行頻率取決於幾個關鍵因素,包括:
- 對 IT 和安全基礎架構進行重大修改
- 執行稽核所需資源的可用性
- 所持有資訊的重要性和價值
- 企業組織相關產業以及相關法規遵循要求
- 企業組織面臨的網路安全風險等級
- 發生重大的網路安全事故
- 收集和儲存資料的敏感性
- 企業組織 IT 基礎架構的規模
網路安全稽核的最佳做法
網路安全的最佳做法應包含下列考量。
確認網路安全稽核範圍並訂定明確目標。
在展開網路安全稽核前,先確認稽核目標、達成目標需涵蓋的稽核範圍,以及辨別關鍵利害關係人以及會牽涉到哪些人。此外,確定稽核的執行方式和評估內容也非常重要。
網路安全稽核常會考量到的領域包括:
- 法遵要求
- 敏感資訊的資料儲存、傳輸和安全防護系統
- 教育和培訓計畫
- 事故回應計畫
- IT 基礎架構 (如硬體、網路和軟體)
- 整體政策和程序
- 實體安全做法
利用網路安全和網路風險框架。
網路安全(cybersecurity)和網路風險框架(NIST Risk Management Framework)可以協助企業組織在稽核時有效尋找出漏洞並評估。關於框架的例子包括:
- 資訊系統稽核暨控制協會 (ISACA) 資訊及相關技術的控制目標 (COBIT)
- 網際網路安全中心風險評鑑方法 (CIS RAM)
- 國防部 (DoD) 網路風險框架 (RMF)
- 資訊風險因素分析 (FAIR)
- 國際標準化組織 (ISO) 與國際電工委員會 (IEC) 聯合制定的 ISO/IEC 270001
- 美國國家標準與技術研究所網路安全框架 (NIST CSF)
執行全面性風險和威脅評估。
分析細節如下:
- 資料的價值和敏感性 (如智慧財產權、財務資料或客戶資訊)
- 資料外洩(Data Breach) 可能造成的影響
- 稽核領域為何?有哪些風險類型?
- 企業組織面臨的威脅類型,像是分散式阻斷服務(DDoS)攻擊、惡意軟體(Malware Examples)、影子 IT(Shadow IT)、存取控制遭到入侵、意外和惡意內部威脅(Insider Threat)、零時差漏洞或網路釣魚(Phishing)
此外也要進行訪談和現場巡視,以獲取深入的可視性。了解風險和威脅有助於企業組織確認網路安全稽核目標和資源分配的重心。
了解法遵要求。
加州隱私權法案(CPRA)、歐盟的一般資料保護規範 (GDPR) 及支付卡產業資料安全標準(PCI DSS)等類型的法律和產業規章,是具有嚴格的安全和隱私權要求,執行網路安全稽核時應需納入考量。
跟基準進行比較,來評估安全原則、程序和控制措施
審查安全原則、程序和控制措施,並確認為防範特定威脅所採取的措施,以及這些措施的有效性。這也是找出破口和漏洞的機會。
利用既定的內部基準、外部最佳做法和框架,以及法規要求來衡量組織的既有安全原則、程序和控制措施,確保其符合業界的最佳做法和規章。
這部分的網路安全稽核應需檢查許多重要面向,包括:
- 存取控制機制
- 業務流程
- 資料存取和處理規則
- 資料分類系統和控制措施
- 資料加密協定
- 密碼原則 (Password Management Best Practices)
- 技術使用
- 使用者帳戶佈建(User Provisioning) 和取消佈建流程
主動技術測試。
透過像是設定審查(如防火牆和存取控制清單)的技術測試,進行滲透測試來評估安全控制措施的成效,以及掃描網路裝置、伺服器和應用程式的漏洞,以找出 IT 基礎架構的漏洞和弱點。從分析測試結果,找出需改善的地方並偵測攻擊者可能入侵的點。
審查安全記錄、應用程式資料和使用者活動報告,尋找並分析事故。
網路安全稽核進行的過程中,應挑選出安全記錄、應用程式資料和使用者活動報告,並從中尋找和分析事故。審查應包含所有可用來源的資訊,其中可能含有關於可疑活動或受感染跡象的線索。分析這些資訊有助於偵測進行中或未來的攻擊、原則違規及試圖未經授權存取的內容。
記錄所有稽核結果和建議。
在網路安全稽核期間和之後,務必將找到的漏洞、弱點及緩解或修復建議等所有稽核結果記錄下來。根據可能的影響力來決定採納建議的優先順序,並利用資訊來訂定或更新內部基準。
網路安全稽核中會列出的常見建議包括:
- 用於保護安全系統的預防、偵測和回應工具的記錄
- 事故回應計畫,以在發生安全問題或自然災害時,能將營運停機時間和中斷降至最低
- 修補漏洞的流程和程序,例如修補程式管理、網路分段及改善安全架構
- 安全意識和回應的培訓與教育資源
持續監控安全系統 (Monitor Security Systems)
實施網路安全稽核提出的建議後,在每一次稽核執行前的期間都必須持續監控所有系統。
網路安全稽核可提供主動式的安全防護
了解每個組織都會面臨外部和內部資源所引發的網路威脅(Cybersecurity Threats),將網路安全稽核視為優先要務也是理所當然的。企業組織可以靈活選擇執行適當的稽核選項,並定期執行。
網路安全稽核所需的時間和資源是很重要的投資,執行才能確保企業組織盡己所能找出及緩解可能招致網路攻擊(Cyber Attacks) 的漏洞。視網路攻擊的規模而定,小型會引發混亂,最糟糕則可能帶來毀滅性的影響,外加造成財務或聲譽上的損失。若能慎選正確的稽核類型,企業組織即可利用網路安全稽核保護網路、裝置和資料,避免受到未經授權的存取和竄改。
