先前的文章有針對目前常見的幾種資安防護的服務及其做法做了大略的介紹，（各位有興趣可以在看一次，文章傳送門：2019 10 大資訊安全防禦服務概念簡介），接著開始就有人詢問，那實務上應該怎麼設計規劃呢？

簡單來說，我們應該從營運持續的角度來看資安這個面向，如果發生了資安事件，對於公司、對於個人會造成怎麼樣的影響？是否會讓公司沒有辦法經營下去（BCP 企業持續營運計畫 , Business Continuity Planning）？造成損失有多大？停擺的時間有多久？上述的問題是先了解客戶可以接受的最大損失範圍為何，而依照這個範圍我們來制定一個最低限度的防護架構，再以這個架構為基準設定二個到三個更完整的階段與規劃。

本文我們簡單的以一家中小型的電商為例，對外銷售的平台主要是放在委外開發的購物平台上，使用獨立的主機放置網站。在這樣的電商情境下，該怎麼進行防護呢？

首先我們分成基礎 / 標準 / 進階三個階段來設計，先求做完基礎的防護後，再一步一步往更高階進行。

基礎防護 –

此為基本一定要做的防護行為，在現在攻擊程式這麼發達的時代，如果這些基礎沒有做，很容易就會有意外發生。

• 防火牆：只允許我們想要開放的服務可以在外部進行存取，另針對管理介面的存取則需進行 VPN 或者限制 IP 的條件設定，以避免外部可以存取到任何敏感資料。
• 防毒軟體：在系統安裝基本的防毒，對於系統的檔案進行即時的防護，至少對於已知的病毒是有用的。
• 標準 WAF：採標準版本的 WAF 防護服務，直接針對一般的網頁資料輸入與存取進行過濾，使用標準的設定值。
• 黑箱測試：定期進行網站黑箱測試，並且針對測試報告結果進行修正，確保網站沒有已知或者可疑的漏洞。

標準防護 –

除了基本防護的設定外，我們需額外增加以下工作。

• IDP：IDP 系統的安裝與設定，自動將某些已知的威脅擋掉。
• 白箱測試：直接進行原始碼的掃描，確保原始碼在撰寫的時候就已經做好安全性的判斷，而不是全依賴 WAF 來阻擋。
• 社交攻擊防護：定時測試內部的社交防護敏銳度，避免內部被社交攻擊，造成駭客在公司內部植入木馬，即使我們做了網站系統的防護，駭客還是可以直接透過內部網路進行存取。
• 安全設計檢視：一一確認所有可以存取的雲端或內部系統，並限制 API 無法直接在沒被允許及有效憑證的狀態下進行存取。近期常出現的狀況都是使用了雲端儲存服務，但是沒有做好設定，所以直接將內部資源暴露在網路上。

進階防護 –

• 進階 WAF 設定：除了標準的 WAF 阻擋外，進階可由專人去針對網站的輸入進行過濾規則的設定。
• DDoS 防護：當網站的收入越來越大受到阻斷時的損失就會相對提高，不管是實質的收入減少或者商譽的損失都是，這時候我們可以投入部分的資源在 DDoS 防護服務上，當網站遭受攻擊時仍能確保網站可以持續對外營運。
• 資料庫防火牆：針對資料庫的存取與寫入進行監控，並且直接過濾掉惡意或可疑的行為。
• 加強系統安全設計：針對現有系統的架構與資料儲存進行檢視，如果有採明碼儲存的個資或者密碼資料，都應該進行程式修改，若不幸資料庫外洩發生，可讓公司受最小傷害及損失。這部份由於牽涉到最多的修改成本，因此我們列為進階防護的工作。

其他加強 –

上面沒有列到的部分防護，像是 APT 進階持續威脅防護……，這些都要看客戶的屬性與真實狀況去規劃。

結論：資安的防護設定沒有 100% 安全的，相同的服務由不同的團隊做規劃與操作，都會影響其最終的成果與達成效益。

除了透過管理者的經驗外，亦需與客戶做更多的溝通，來確保能夠從各個面向提供符合客戶實際需求的建議與規劃，也因此有經驗的管理者及服務團隊並不會一股腦地將所有的防護服務方案都提供給客戶，而是寧願花更多的時間先與客戶溝通，透過溝通的過程除了能讓客戶更理解到資安防護的整個規劃外，也可能客戶理解此服務是需要時間、金錢與人力的投入，以避免淪為僅是形式上的防護。最重要也千萬不能忽視的一點是，資安防護是需要定時檢視架構、並因應最新的資安威脅變化去做相應調整的。

Image by Gerd Altmann from Pixabay

歡迎轉載！請見：轉載原則。