隨著勒索病毒(勒索軟體,Ransomware) 和變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)攻擊不斷增加,企業史無前例地紛紛投保了資安險來降低資安風險。根據 Zurich (蘇黎世保險) 公司指出,83% 的企業都已投保了資安險,這已創下近十年來的新高。然而,對於資安險的明確要求為何,以及資安長 (CISO) 和資安領導人到底需要什麼資安工具才能順利投保或續約資安險,至今仍有許多爭辯。
本文將探討可提升您網路資安成熟度以符合資安險投保要求的 5 項資安準備工作。
何謂資安險?
資安險又稱為資安損害賠償險,是一種可讓企業降低線上業務執行風險的商業保險合約。對於企業因網路攻擊引起的絕大部分資料外洩損害賠償責任,資安險都能理賠。資安險可幫忙分擔法務費用、恢復受影響客戶個人身分的成本、復原受損資料的成本、修復受害電腦系統任何損害的成本,以及通知客戶有關任何潛在資料外洩情況的成本。
投保資安險前的資安準備工作
沒有任何網路資安廠商能百分之百保證他們的解決方案可讓您以最低的費率獲得最大保障的資安險。但往好處想,為了達到資安險所要求的條件而改善您的資安,必定也能提升您的資安韌性 (當然,前提是要設定正確)。
以下是 5 項既能讓您符合資安險要求、又能協助您降低風險的資安準備工作:
- 選擇適當的資安廠商
- 採用多重認證作為實現整體零信任策略的一環
- 採用 XDR 來取代 EDR
- 按優先次序的修補更新策略
- 強化電子郵件防護
選擇適當的資安廠商
儘管有些網路資安廠商會說保險公司並無明確規定企業必須採用哪家資安廠商才符合投保條件。但最終,保險公司希望看到的是企業與某家資安廠商建立密切的關係來達成一定的資安成熟度。
資安成熟度的參考框架有很多,Nemertes Research 將知名的 NIST 網路資安框架 (Cybersecurity Framework) 簡化成四個階段:無準備、被動、主動、預測未來。
根據 Nemertes 表示,這個成熟度模型可評估企業網路資安措施在多個層面的成熟度,包括:人員、流程與技術。要進化到較高的階段 (主動及預測未來),企業必須善用最新的威脅防禦技術,如:人工智慧 (AI)、機器學習 (ML)、行為分析,以及 零信任 (Zero Trust) 之類的方法,而且最好是來自單一平台,這樣才有助於簡化流程,提供更快、更優異的偵測及回應,同時減少手動作業的麻煩。
所以,您所挑選的廠商最好不要只是賣您一套產品,而是提供一套真正的網路資安平台,將所有資安功能彙整,同時提供廣泛的第三方整合能力,進一步提升資安可視性。如此一來,您就能證明自己採用了一家專門致力提升網路資安成熟度並降低資安風險的創新廠商。
採用多重認證作為實現整體零信任策略的一環
勒索病毒的贖金要求越來越高是資安險投保條件日益嚴苛的主要原因。普遍來說,保險公司在提供報價之前都會看看企業是否採取了勒索病毒防範措施,如:多重認證 (MFA)。
雖然 MFA 是很棒的第一步,但企業的終極目標還是要盡可能提升自身的資安狀態以降低風險。理想上,MFA 還要再搭配其他零信任網路資安功能來提升資安成熟度,例如:零信任網路存取 (Zero Trust Network Access,簡稱 ZTNA)。
為何是 ZTNA?根據 CISA零信任成熟模型 (Zero Trust Maturity Model),MFA 是其前兩個成熟度階段 (傳統與進階) 的身分識別支柱。其最終階段則還包括持續的驗證與即時的機器學習分析,而這兩項以及 MFA 都包含在 ZTNA 當中。
採用 XDR 來取代 EDR
那些要求企業必須採用 EDR 作為資安控管措施的保險公司,應該都能接受 XDR 解決方案。既然企業的主要目標是提升資安成熟度,那麼企業就應該採用 XDR 來提供比 EDR 更好的偵測及回應能力。
簡單來說,XDR 是 EDR 的延伸,EDR 僅在端點層次進行偵測,而 XDR 則會蒐集並交叉關聯來自端點、伺服器、雲端、網路及電子郵件的威脅活動。只要做得好,XDR 能為威脅資料提供情境,而且只會在遇到重大事件時才發出警示通知,而非讓資安團隊整天忙著應付誤判情況。透過以攻擊為主體的圖形化時間軸檢視,資安營運中心 (SOC) 就能更清楚了解使用者如何遭到感染、首次入侵點在哪裡、威脅如何擴散,以及各種協助控制攻擊範圍的實用資訊。
正如先前提到,保險公司希望看到企業是否建置了必要的資安工具來防範勒索病毒。當XDR 與 ZTNA 結合時,您將更有勝算對抗高成本的勒索病毒攻擊。這是如何運作?首先,ZTNA 會強化基礎架構防範惡意攻擊的能力,提供單一事實來源以方便認證、授權及持續監控存取動作。此外,還有網路分割可阻礙駭客的攻擊速度,減少他們在企業內橫向移動的情況。
接下來,XDR 會將所有可偵測潛在攻擊的各元素集合在一起,以方便分析,例如:入侵指標 (IoC)、網路流量記錄、可疑端點行為、SaaS 服務請求以及伺服器事件。如此就能提供一個良好的基礎,在 XDR 分析偵測到危險行為時採取有效的回應。
這套方法既能改善您的資安狀況,又能向保險公司證明您如何有效防範勒索病毒攻擊。
按優先次序的修補更新策略
當企業遭遇零時差或 N 日攻擊時,因系統停機而造成的營業損失,以及復原、公關與法律相關的成本,通常都包含在資安險的保障範圍內。所以,保險公司在提供報價單之前,會先看看企業是否擁有一套有效的修補管理策略。
任何問題都修補的時代已經過去,現在,從漏洞揭露到駭客發動攻擊之間的時間,已縮短到幾分鐘,而非幾天。例如,當 Microsoft 公布了某個 Microsoft Exchange Server 零時差漏洞之後,短短的 5 分鐘內,Hafnium 駭客集團就開始掃描此漏洞。對比網路犯罪集團很快就能發動攻擊,廠商卻需要好幾天的時間才能釋出修補更新,因此您的系統和營運都將出現一段危險的空窗期。
良好的修補更新管理在於優先次序的掌握,企業必須優先處理與其應用系統相關的漏洞。在這樣的前提下,資安團隊再去核對那些一直遭到攻擊的漏洞是否出現在自己的關鍵基礎架構中。
想知道哪些應用程式或作業系統的漏洞一直在遭到攻擊,可參考 CISA已知遭到攻擊的漏洞 (Known Exploited Vulnerability) 目錄。
請記住一點,您需要完整掌握受攻擊面的可視性,才能有效判斷修補更新的優先次序,而這正是為何一套全方位網路資安平台對資安團隊如此重要的另一個原因。零散不連貫的單一面向產品,很容易造成可視性的盲點,進而導致您的修補更新策略出現漏洞,讓一些老舊的應用程式、網路、系統、裝置和伺服器未受到保護。
強化電子郵件防護
儘管勒索病毒經常登上新聞版面,但他們的散播方式卻鮮少有人討論。超過 90% 的網路威脅 (包括勒索病毒在內) 都是經由電子郵件散播。不僅如此,電子郵件攻擊造成的損失甚至還超越勒索病毒。2021 年,FBI 報告指出變臉詐騙造成的損失金額高達 24 億美元,反觀勒索病毒造成的損失僅有 4,920 萬美元。
請尋找一些最先進的電子郵件防護功能,例如:可偵測外部與內部惡意郵件的閘道、寫作風格與電腦視覺分析,並且要與其他資安解決方案整合。良好的電子郵件防護策略不僅能提升您的資安成熟度,還能向保險公司證明您已擁有風險導向的主動式防護。
下一步
提升網路資安成熟度是一個過程,絕非終點。在您升級資安防護時,千萬別只想達到網路資安險的最低基本要求,而是應該要從被動防護轉型為主動防護,這意味著您應超越傳統資安,改用 ZTNA、XDR、虛擬修補等更創新的方法。
如需有關資安險與前述資安功能的更多資訊,請參閱以下文章: