关于CISA提供的“Shields Up”安全防护指引网站,分成4大部分。包括:1.提供所有企业组织适用的通用指引;2.提供企业高端主管与首席执行官(CEO)的建议;3.遭遇勒索软件的应变;4.以及个人与家庭自保安全观念。
综观这个Shields Up安全指引的内容,不仅提出防护重点,同时还包含由美国网络安全及基础设施安全局(CISA)创建的资源网站,让企业安全人员、首席安全官或个人,都能简便去运用。
在Shields Up的通用安全指引篇中,CISA指出许多企业在安全改进上找到相关资源就是挑战,因此集结了由CISA提供、开源,以及Cisco、Cloudflare、微软、Google、CrowdStrike、Tenable、AT&T、IBM、Mandiant、Splunk、VMware、Secureworks与Palo Alto Networks等企业发布的近百项免费网络安全工具与服务。 (网址是:Free CyberSecurity Services and Tools by CISA)
在此技术指引其中,最主要的部分,就是提供了通用防护指引。综观这部分的内容,其实并不像过去所谈的零信任、供应链安全那般复杂,而是简要的聚焦在NIST CSF网络安全框架中,五大功能面向中的后四个方面,也就是──防护、侦测、回应与恢复,并针对这些面向提供工作要点。
最特别的部分,就是Shields Up还针对高端主管与首席执行官提供建言,其中有一点,已经不单是强调设置首席安全官的重要性,而是更进一步强调首席安全官也要加入企业风险决策过程。
不仅如此,为了让整体国家安全防护都能强化,Shields Up所谈范畴,不只是企业组织,对于个人与家庭,这里也给出基础的防护观念。
另外,针对这几年持续横行的勒索软件攻击,由于事件不断与威胁加剧,也使Shields Up特别提出简要的应对步骤。
提供企业通用安全防护指引,让普遍企业都能有简单的依循方式
在Shields Up的企业通用安全指引中,指出不论企业组织规模大小,所有企业组织在网络安全与最关键资产方面的保护,都必须采用更高的安全水准与要求。
简单而言,在这份通用安全指引,其中主要聚焦4大面向,包括:防护、侦测、回应、恢复,并相当简要的,提出2到5项防护重点。
需降低破坏性网络入侵的可能性
1. 需验证所有企业网络的远程访问,以及特权账号或管理者账号的访问,都需具备双重验证(MFA)
2. 确保软件更新至最新版,并且优先更新CISA所识别的遭利用已知漏洞。 (https://www.cisa.gov/known-exploited-vulnerabilities-catalog)
3. 应确认组织内的IT人员,已禁用所有业务上非必要的网络端口与协议。
4. 若是企业内部有使用云计算服务,要确保IT人员已经实施CISA指南中的强式控制概述,并经过核实。 (网址是https://www.cisa.gov/uscert/ncas/analysis-reports/ar21-013a)
5. 注册使用CISA的免费网络卫生服务,其中提供漏洞扫描等安全检测功能,可帮助企业组织减少面临的威胁风险。 (网址是https://www.cisa.gov/cyber-hygiene-services)
需采取措施,快速侦测潜在入侵行为
1. 确保网络安全与IT人员,对于任何非预期或异常的网络行为,需专注在识别与快速评估,并要激活日志记录功能,以便更有效率地调查事件与问题。
2. 确认企业组织的整个网络受到杀毒或反恶意软件的保护,并要注意这些防护工具中的签章已经更新。
3. 若企业本身有与乌克兰组织合作,请特别注意──需监控、检查与隔离来自这些组织的流量。对于这些流量的访问控制需特别仔细审查。
确保组织已有准备,遭入侵时迅速回应
1. 筹划危机应变团队,负责处理可疑网络安全事件,其团队成员应包含技术、通信、法务与运营持续性的角色。
2. 确保关键人员都能找得到;确定为事件应变提供紧急支持的方法。
3. 通过桌上演练方式,确保所有参与成员都了解他们在事件中的角色。
组织应尽可能让安全韧性最大化,以应对发生破坏性安全事件
1. 针对备份程序进行测试,确保组织遭遇勒索软件或破坏性网络攻击的影响时,能够快速恢复关键资料;确保备份资料是在隔离的环境,无法与网络连接。
2. 如果使用工业控制系统(ICS)或OT技术,应针对手动控制进行测试,确保组织网络在不可用或不受信任的情况下,其关键功能仍然可以正常操作。
值得注意的是,由于CISA意识到许多企业组织在紧急改进安全上,光是找到相关资源就是一大挑战,因此,CISA今年制作免费工具与服务的目录页面,提供大家使用。网址是https://www.cisa.gov/free-cybersecurity-services-and-tools
面对企业组织没修补IT产品已知安全漏洞的情况,美国CISA持续汇集整理出一批已遭成功利用的高风险漏洞名单,提醒企业应优先处理,因为目前已有锁定这些漏洞的攻击。而在Shields Up企业组织通用指引中,也将这样的资源参考页面,列在确保软件更新至最新版一项,方便用户快速参考。
不只国家网络安全与企业安全,也呼吁个人与家庭要懂得自保
不仅企业组织要有安全防护概念,在Shields Up的内容中,也同时针对个人及家庭做出呼吁,这也强调了国家网络安全应是攸关全体,每个人都应该培养网络卫生习惯(Cyber Hygiene),并懂得如何自保。其实,基本的安全观念并不少,但CISA建议,至少可以简单从4件事做起,来确保自己的网络安全。
1. 在你的网络服务账户上,激活多因素身份验证。
这是因为只靠密码保护并不足够,利用第二层身份识别机制,例如SMS短信或电子邮件,或是利用验证App,或是基于FIDO的身份验证技术,这可以让你的银行、电子邮件服务商,或是你正在使用的其他网站服务,都能确保你的线上身份,就是你本人在使用。基本上,激活多因素身份验证后,可使账号被盗用的可能性大幅降低,因此,记得将你使用的电子邮件、社交媒体、线上购物、金融服务账户,甚至游戏等各式线上服务,都应激活多因素身份验证。
2. 更新你的软件,打开自动更新。
这是因为网络恶意分子会利用系统中的漏洞来入侵。基本上,手机、平板与计算机都需要更新操作系统,所有使用的应用程序与App也要更新──尤其是网络浏览器。最好是让所有设备、应用程序与操作系统,都激活自动更新。
3. 点击之前请深思。
这是因为有超过9成的成功网络攻击,都是始于网络钓鱼邮件。这是网络攻击者的社交工程伎俩,使邮件附带的连接与网页看来合法或逼真,目的是骗取密码、个人信息、信用卡等敏感资讯,使你泄露给对方,因此,如果是你不熟悉的网址,请相信你的主动,并在点击前都应该要三思而后行。此外,也要注意攻击者会设法让你的设备被植入恶意软件。
4. 使用强密码。
最好使用密码管理器来产生与存储密码。我们必须做好自我保护,同时也要保护我们所依赖的系统。
从上述4件事来看,多因素身份验证再次成为第一重点,甚至有三项其实都与个人帐密安全有关,换言之,对于身份盗用风险与防护,已是现代所有人们都该具备的基本常识。
针对勒索软件应变提供7步骤
较特别的是,由于勒索软件威胁持续多年不断,至今持续成为主要网络威胁之一,甚至美国政府也在评估,是否应将其威胁性提升,视为如恐怖主义同一等级。面对勒索软件的危害,先前美国政府在2021年时,已设立了StopRansomware.gov网站,并提供CISA MS-ISAC勒索软件防护指引。
而在Shields Up指引中,再次针对勒索软件的危害,强调7个应对上的要点,期望遭遇攻击的普遍企业组织,都能知道基本应对步骤。在此其中,关于截取系统镜像文件、内存镜像文件这一步骤,对于事件调查分析而言,至为关键。
1. 确定受影响的系统,立即隔离。
2. 仅在无法断开设备与网络连接时,进行关闭,避免勒索软件传播。
3. 对受影响的系统进行分类并恢复。
4. 咨询事件应变团队,在初步分析的基础上,从事件发生的发展与记录文件来获得初步理解。
5. 让企业的内部团队与外部团队,以及利益相关者共同参与,并从事件减缓、回应与恢复方面,了解各自可提供的支持。
6. 针对受影响的设备(例如工作站与服务器)截取系统镜像文件、内存镜像文件。
7. 向执法单位咨询可能的解密工具,因为安全研究人员可能已破解了某些勒索软件变体的加密算法。
除了上述这些美国政府提供的防护资源,对于台湾企业而言,我们在台湾也有勒索软件防护专区的门户网站,网址是https://antiransom.tw/,这个线上服务,是台湾计算机网络危机处理暨协调中心TWCERT/CC所规划,其中针对事前、事中与事后阶段,均提供相应的指南、资源与自评级内容,同时也提供了台湾通报的可联系渠道。
同时提供Shields Up技术指引,规整俄罗斯威胁相关情报资料
值得一提的是,在Shields Up的门户网站上,目前还提供了“Shields Up技术指南”,将提供与俄罗斯威胁有关的最新资讯,这方面内容是由美国CISA与全国性联合防御计划合作伙伴所分享,包括俄罗斯攻击者的相关资讯,勒索软件、破坏性恶意软件、DDoS攻击等情报资料,以及前面所提的Shields Up防护资讯等。
通过这一系列公布的技术资源,企业组织可以更快了解,掌握乌克兰最新遭受的网络威胁与攻击活动。
企业高层该注意的5大安全重点
在Shields Up安全指引中,不只汇集整理企业安全通用的防护指引与资源,最特别的是针对企业高端主管与首席执行官提出建言。
毕竟,要确保企业采用更高的安全水准与要求,企业领导者的态度至关重要,因此在CISA的建议中,包括首席信息官等所有高端管理者,应采取下列5项措施行动,首要就是首席安全官等级提升、参与决策。
1. 授权首席安全官(CISO)
几乎在每个组织中,要进行安全强化时,都会在业务的成本与运营风险之间权衡。而在现今威胁加剧的环境中,高端管理层应授权首席安全官,参与公司风险的决策过程,确保整个企业组织能了解安全投资,应是近期的重中之重。
2. 恶意网络活动通报门槛要降低
随着威胁加剧,每个企业组织向高层或政府报告潜在网络攻击时,需通报的事件级别,应比平常水准降低,以确保潜在威胁能立即发现并应对。企业组织的高端管理者应创建,即使恶意网络活动迹象被封锁或已经控制,但也应该通报CISA。要求所有组织大幅降低报告和共享恶意网络活动迹象的门槛。
3. 参与安全事件应变计划的测试
执行网络事件应变计划,不仅是要安全团队与IT团队的配合,还应该要包含企业管理高层与董事会成员。若是你还没有这么做,高端主管应参加桌上演练,以确保你能熟悉重大安全事件的管理,甚至不只是要对自家公司本身,还应该对你供应链中的公司。
4. 聚焦在运营持续性
应体认到资源有限,因此对于安全与安全韧性的投资,必须聚焦于那些支撑关键业务功能的系统上。高端管理层应确保已经识别出此类系统,并进行持续性测试,让关键业务功能在遭受网络入侵时,仍然可以运行。
5. 必须做最坏的打算
虽然美国政府没有关于美国本土面临的具体威胁的可靠资讯,但组织应该为最坏的情况做好准备。高端管理层应确保具有紧急措施,可在发生入侵事件时,保护组织最关键的资产,以及在必要时断开受到严重冲击的网络环境。