華經科技股份有限公司 資深主任/施輝燦
隨著數位轉型與雲端應用日益普及,企業所面對的資安威脅也日益複雜與多元。駭客攻擊、內部資料外洩、勒索軟體及供應鏈風險已成為企業營運的重大挑戰。要有效防範這些風險,企業需建構系統性、全面性的資安策略,而非單一技術的堆疊。
本文以 NIST Cybersecurity Framework 為理論基礎,結合 OWASP Cyber Defense Matrix,構建系統性且可實踐的企業資訊安全策略,並探討 Security Operations Center(SOC)、Security Information and Event Management(SIEM)、Endpoint Detection and Response(EDR)及 Threat Intelligence Platform(TIP)等現代資安技術在企業中的整合應用。
以 NIST CSF 為基礎的企業資安策略設計
NIST CSF(National Institute of Standards and Technology Cybersecurity Framework)是美國國家標準與技術研究院提出的資安管理框架,廣泛被全球政府與企業採用。以下針對該框架的五大核心進行說明:
圖 1 NIST 網路安全框架
1. 識別(Identify)
識別階段強調企業應全面了解自身的資產、風險、業務流程與法規義務。其目的是建立資安治理的基礎,內容包括:
- 資產管理(Asset Management)
- 風險評估(Risk Assessment)
- 資訊保安政策與治理架構
- 第三方風險管理
2. 保護(Protect)
此階段聚焦在建置保護措施,以確保企業關鍵資產不易受攻擊。重點包括:
- 存取控制(Access Control)
- 資訊保護流程(Data Security)
- 員工教育訓練與資安意識
- 身份識別與認證(IAM)
維護安全環境(如打補丁、端點保護)
3. 偵測(Detect)
再強的防護措施也可能被突破,因此企業需有能力即時偵測異常行為與潛在入侵。偵測層級的重點包括:
- 持續監控系統(Continuous Monitoring)
- 偵測異常行為(Anomaly Detection)
- 安全日誌分析(Security Logging)
4. 回應(Respond)
當發生資安事件時,快速與妥善的回應能有效降低損害與營運中斷。該階段包括:
- 事件應變計畫(Incident Response Plan)
- 資安事件溝通流程
- 法律應對與證據保存
- 改善計畫與教訓學習
5. 復原(Recover)
企業需具備災後復原的能力,使營運能迅速恢復正常。包括:
- 業務持續計畫(Business Continuity Plan, BCP)
- 災難復原機制(Disaster Recovery)
- 營運恢復策略與測試
在確立了資安治理架構之後,企業下一步須針對各類資產建立具體防護措施,OWASP 所提出的 Cyber Defense Matrix 即為有效落實的工具之一。
利用 OWASP CDM 建構防護措施
在資安策略設計的下一階段,企業需依據所面臨的威脅情境選擇適當的防護機制。OWASP(Open Worldwide Application Security Project)提出的 Cyber Defense Matrix (CDM),是一個幫助企業對應 NIST CSF 架構,挑選技術、流程與人員配置的視覺化工具。
CDM 將 NIST CSF 的五大類別放在橫軸,縱軸則依據資產類別分為:
- 設備(Devices)
- 應用程式(Applications)
- 網路(Networks)
- 資料(Data)
- 使用者(Users)
表格1 Cyber Defense Matrix (CDM)
| 識別 | 保護 | 偵測 | 回應 | 復原 | |
|---|---|---|---|---|---|
| 設備 | 裝置管理 | 裝置保護 | EDR 端點偵測與回應 | 異地備援 | |
| 應用程式 | AP 管理 | AP 層保護 | SIEM 威脅情資 |
紅隊演練 藍隊演練 |
|
| 網路 | 網路管理 | 網路加密 | DDOS 流量清洗 | ||
| 資料 | 資料盤點 | 加解密 資料外洩防護 數位版權防護 |
暗網情蒐 | 數位版權管理 | 資料備份 |
| 使用者 | 人員查核 生物特徵 |
教育訓練 多因子認證 |
使用者行為分析 (UBA) | 異地備援 | |
| 依賴程度 | 偏技術依賴 偏人員依賴 | ||||
- Cyber-Defense Matrix 是一個檢視企業內部資安整體狀況很好的方法論,以更全面的方式檢視目前資安防護是否有漏缺或重複投資的部份。
- 本架構圖引自https://www.ithome.com.tw/news/145710
運用範例:
- 在“偵測”+“回應” 與“設備” 這個交叉點,企業可導入EDR(Endpoint Detection and Response)。
- 在“偵測” 與“應用程式” 這個交叉點,企業可導入SIEM(Security Information and Event Management)。
- 在“回應” 與“應用程式” 這個交叉點,企業可導入紅隊演練。
- 在“保護”+“使用者”這個交叉點,企業可部署多因子認證(MFA)、安全意識教育訓練、權限控管工具(如 RBAC)。
- 在“偵測”+“使用者”交叉點,則可導入使用者行為分析(UBA)。
透過這種方式,企業可系統性盤點哪些區塊已有防護、哪些仍有資安缺口,並優先填補高風險區段。
資安實作架構:SOC、SIEM、EDR 與 TIP 的角色與整合
在完成策略與工具選型後,企業還需建立整體性的實作架構,使資安管理得以持續營運。以下是四個核心架構的介紹:
1. SOC (Security Operations Center)
SOC 是企業的資安作戰中心,負責全天候監控、偵測、回應資安事件,核心功能包括:
- 日誌收集與彙整
- 威脅獵捕 (Threat Hunting)
- 安全警示分類與處理
- 事件通報與指揮調度
2. SIEM (Security Information and Event Management)
SIEM 是 SOC 的核心工具,用於集中收集與分析網路設備、應用程式、伺服器、端點等的安全事件與日誌,具備:
- 集中化日誌管理
- 實時事件關聯分析
- 威脅偵測與自動通報
- 報表產出與合規檢查
3. EDR (Endpoint Detection and Response)
EDR 專注於端點設備(如個人電腦、伺服器、行動裝置)上的威脅偵測與事件回應,提供:
- 實時行為監控與惡意活動追蹤
- 可疑活動的記錄與取證
- 遠端隔離感染設備
- 跨端點的攻擊路徑分析
EDR 通常與 SIEM 整合,將端點上的可疑活動匯入 SIEM 進一步分析與通報。
4. TIP (Threat Intelligence Platform)
TIP 負責整合來自內部與外部的威脅情報,幫助 SOC 更有效獵捕未知攻擊,功能包括:
- IOC(Indicators of Compromise)匯入與比對
- 威脅來源關聯分析
- 威脅評等與回應優先級建議
TIP 可與 SIEM、EDR 串接,形成自動化的威脅辨識與反應系統。
5. SOC/SIEM/EDR 的整合應用
現代企業資安防護架構的成功關鍵,在於這些系統的整合應用,彼此聯動以形成一個高效率的偵測與回應循環:
- EDR 發現端點異常活動後,可即時將事件上報至 SIEM,由 SIEM 執行跨設備的關聯分析,判斷是否屬於更大規模的攻擊行動(例如 lateral movement、credential dumping)。
- SIEM 根據規則或威脅情報(TIP)判定事件風險等級後,可自動通知 SOC 團隊 或觸發自動化回應流程(如自動隔離受感染端點、封鎖可疑連線)。
- SOC 人員在 SIEM 中查詢事件來源與進程路徑,同時透過 EDR 對其他端點進行掃描與取證分析,確保事件範圍受控。
若 SIEM 整合 SOAR(Security Orchestration, Automation and Response)平台,更可透過自動化 playbook 快速落實封鎖 IP、撤銷存取權限等回應動作,提升效率並降低人為錯誤。
整合應用不僅提升可視性、縮短偵測時間,也能強化事件回應效率,進而達到資安成熟度的全面提升。
企業面對的資安挑戰不斷升級,唯有透過系統性的策略、嚴謹的治理架構與持續監控機制,才能確保業務穩定與資訊資產的安全。從 NIST CSF 作為治理骨幹,結合 OWASP CDM 作為工具選擇指南,再透過 SOC、SIEM、EDR 等現代化架構落實防禦,企業得以建立具備偵測、防禦、回應與復原能力的資訊安全體系,邁向資安成熟與營運韌性。
整體資訊安全建構的成功關鍵
要打造一個可持續的資訊安全治理體系,除了上述框架與工具外,還需關注以下關鍵因素:
1. 高層參與與治理承諾
資訊安全需納入企業治理的一環,董事會與高階管理層的支持對於預算、人力與推動力至關重要。
2. 組織內部協作
資安並非資訊部門的單一責任,法務、人資、營運單位等皆應參與風險評估與控制流程。
3. 持續演進與測試
隨著攻擊技術演進,企業也需定期更新威脅模型、進行滲透測試與紅隊演練,提升資安韌性。
4. 合規與審查
企業應依據產業法規(如金融、醫療、個資法)建置相符的資安控制措施,並定期自我稽核與審查。
解決方案
華經資訊針對產業趨勢與客戶不同領域的專業需求,著力於推展雲端運用、擴大虛擬化應用層面、強化資安、海量資料應用之解決方案。我們的服務包含企業公/私有雲基礎架構建置與規劃、網路系統規劃、資訊安全、備份備援規劃、金融機構資訊整合服務、雲端監控管理、軟體發展、專案開發、資訊影像處理、文件數位化、物流倉儲管理系統、軟體品質檢測、保險軟體、保險產業資訊服務及資訊設備委外維護管理等全方位資訊整合服務,並以提供專業整體委外服務為努力的目標。
以下為華經資訊網路管理與資訊安全解決方案:
- Data Loss Prevention (DLP)資料外洩防護
- Pretty Good Privacy (PGP)硬碟、檔案、郵件加密
- Critical System Protection (CSP)主機系統防護
- Endpoint Protection端點防護
- Network Access Control (NAC)網路存取控管
- Security Information Manager (SIM)安全管理平台
圖2 網路管理與資訊安全解決方案
[參考文獻]:
[1] NIST Cybersecurity Framework 2.0
[2] OWASP Cyber Defense Matrix. https://cyberdefensematrix.com/
[3] Gartner (2024) Magic Quadrant for Security Information and Event Management (SIEM) Magic Quadrant
[4] MITRE. (2022). ATT&CK Framework.
[5] ENISA. (2023). Threat Landscape Report.
[6] SANS Institute. (2022). SOC Maturity Model.
[7] NIST SP800-207 Zero Trust Architecture
[作者簡介]:
華經科技股份有限公司 資深主任/施輝燦
ISO/IEC 27001:2022 Lead Auditor (Information Security Management Systems)
PMI Project Management Professional – PMP
IBM Certified Specialist – eServer p5 and pSeries Administration and Support for AIX 5L V5.3
VMware Certified Professional – VCP
EMC Proven Professional-Specialist-Technology Architect – EMCTA
Cisco Certified Network Associate – CCNA
Cisco Certified Network Professional – CCNP
Microsoft Certified System Engineer– MCSE/MCP
Certified ITIL – Foundation Certified in IT-Service Management
Fluke Certified Cabling Test Technician – CCTT