網路安全管理仰賴組織對於系統環境全般了解與掌握,可謂「知己知彼,百戰不殆」,而其又可分為被動式監控與主動式監控。本次解析新版ISO27001:2022中的「活動監控(Monitoring activities)」為被動式監控重要的一環。
看到這裡大家可能會覺得奇怪,這不就是舊版ISO27001:2013的A.12.4 存錄及監視嗎?其實舊版的A.12.4 存錄及監視在新版叫做A.8.15 事件存錄(Logging),之所以將「活動監控」抓出來討論其目的主要在於偵測異常行為和潛在的資訊安全事件,透過在網路流量中找到異常的癥候,以達到持續性的防護作為,採取適當的應對措施。
過去活動監控並不容易,需要大量經驗累積才能準確抓出隱匿在大量網路封包中的問題。所幸在網路設備不斷優化的世代,智能化設備已然誕生,幫助節省封包篩濾的時間,更能夠在活動監控上做得盡善盡美。ISO/IEC 27002:2022建議,具體執行方式可運用先前提到過的威脅情報蒐集與運用循環機制、以機器學習或AI來進行監控、使用黑名單/白名單、執行弱點掃描/滲透測試、安裝並確實執行防毒軟體/檢測軟體等。完善的活動監控操作大致可分為幾個面向如下圖:
最後,網管人員妥善利用網路設備進行活動監控是重要的事情。然而在網路攻擊型態不斷日新月異,推陳出新下,網管人員亦應保有持續學習新知的理念,更新現在新型態網路駭侵手法,才能最大化利用網路設備的特性與效能,幫助所屬企業單位維護資訊領土的安全與完整。
-艾斯飛利國際ISMS主任稽核員 Johnny Su
Comments