零信任架構的端點資安管理最佳實務

Risk-Based Vulnerability Remediation Solution

C. K. Lin (林傳凱)
大中華區首席技術顧問, BigFix HCL Software
chuankai.lin@hcl.com
[ZTA 101] NIST SP 800-207 第二章第㇐節: 零信任原則

（１）所有的資料來源與運算服務，都要被當作是資源。

（２）不管與哪個網路位置的裝置通訊，都需確保安全。

（３）對於個別企業資源的存取要求，應以連線為基礎去判斷是否許可。

（４）對於資源的存取需要有動態政策來決定，包括要基於客戶端識別、應用服務，以及要求存取資產可觀察到的
狀態，可能還包括其他行為或環境屬性。

（５）企業對於所有自有與相關的資產，需監控與衡量其完整性與安全狀況。

（６）在允許存取之前，所有的資源的身分鑑別與授權機制，都要依監控結果動態決定，並且嚴格落實。

（７）企業應該要盡可能收集有關資產、網路基礎架構與通訊的資訊現況，並用這些資訊來增進安全狀態。

3
企業需要什麼端點資安管理解決方案?

弱點掃描/弱點管理?

NAC – Network Access Control ?

先連上網路還是先檢查???

Vulnerability & Misconfiguration

4
端點資安管理是㇐項普遍挑戰

“things” to secure personal data records stolen lost to cybercrime

端點資安
是必不可或缺的，
但是充滿挑戰 冗⾧的修復時間 太多工具 缺乏 技能 合規
和 agents 可視性 缺乏 任務

幾乎有 1/3 典型的組織 沒有針對所有端點 2023年，約有350 對於大型全球品

檢測到的漏洞 使用 14 種端點 的單㇐整合的管理 萬網路安全職位的 牌來說，監管罰
㇐年後仍未修正 管理工具 檢視會增加資安風 缺口 款可能造成數百
險 萬美元的損失

5
2023年的新挑戰：如何在攻擊之前阻止威脅?

60% 60天 <15天

的入侵事件是因為已有修補程式 組織修補關鍵 (critical) 弱點所需
駭客利用已經發現的弱點
的已知弱點未修補而發生 的時間

ITOps 與 SecOps IT 營運需要具備

自動修補弱點
需更緊密的協同合作 提前應對最新資安威脅的能力

6
BigFix and Zero Trust
“never trust, always verify”
2.1.5 – The enterprise monitors and
什麼是零信任？ measures the integrity and security
posture of all owned and associated
assets.
零信任是㇐種資訊安全模型，預設情況
下拒絕對應用程式和資料的存取。威脅
防護是通過僅利用跨使用者及其關聯設
備的持續、上下文、基於風險的驗證提 3.3 – Trust Algorithm BigFix feeds
2.1.7 – The enterprise collects as
much information as possible about
供政策來給予對網路和工作負載的最低 the TA. Supports the Asset the current state of assets, network
Database with the known status
存取權限來實現的。 Enforce Continuous Compliance
infrastructure and communications
and uses it to improve its security
and Secure DevOps Processes posture

零信任的核心原則

• 預設情況下，所有實體都不受信任。 3.1 – Industry compliance system:

3.0 – Continuous diagnostics
and mitigation (CDM) system:
• 強制實施最低權限存取。 This ensures that the enterprise This gathers information about
remains compliant with any
• 實施全面的資安監控。 regulatory regime that it may fall
the enterprise asset’s current state
and applied updates to
under (e.g. FISMA) configuration and software
components.

Source: https://www.forrester.com/blogs/the-definition-of-modern-zero-trust/

7
公認的領導者
Gartner Peer Insights for UEM Quadrant Knowledge Systems

8
端點資安管理最佳實務㇐部曲 – BigFix 提供完整的可視性
BigFix覆蓋範圍包括：

Windows
Mac OSX
IBM AIX
HP-UX Curated, prebuilt,
Solaris QA’d and tested
RHEL Content
SUSE
VMWare ESX Server
CentOS
Debian
Ubuntu
第三方應用程式
IoS/IPadOS
安卓
遠端使用者
未連接使用者
多雲端
多重業務功能
戰略整合

BigFix提供可視性、簡單性與保證
企業報告：可視性 多重業務用途：簡單性 業務連續性：保證 開放的基礎架構
• 內建平臺報告 • 端點生命週期管理 • 更新網路上的機器裝置 • Rest API
• 向Tableau或PowerBI擴展 • 組態實施 • 消除組態飄移 • ServiceNow
• 趨勢性、基於時間的情境報告 • 軟體資產管理 • 執行修補，軟體版本基線 • Qualys
• 來自不同資料源的資料關聯 • 在家工作保障 • 證明符合內部標準與監管標準 • Tenable
• 法規遵循性與風險報告 (NIST/CIS/PCI等) • Carbon Black
• CMDB資產發現/更新 • Ansible

Copyright © 2022 HCL Technologies Limited | www.hcltech.com 9

端點資安管理最佳實務㇐部曲 – BigFix 提供完整的可視性
不只是作業系統弱點, 應用程式弱點知多少?

** from iThome news

Copyright © 2019 HCL Technologies Limited | www.hcltech.com

端點資安管理最佳實務㇐部曲 – BigFix 提供完整的可視性
快速定位資安風險, 讓威脅無所遁逃 – BigFix CVE search

Copyright © 2019 HCL Technologies Limited | www.hcltech.com

使用當前工具進行弱點補救
IT營運
資安分析師 IT營運

掃描 部署與補救
網路
手動打包修補程式
手動打包修補程式
研究每個漏洞
Researches each vulnerability
研究每個弱點
研究每㇐個漏洞 更新試算表
Update spreadsheets
更新資料表
更新試算表

10K-1M+ 漏洞= 20-100小時/月

10K-1M+漏洞=
10K-1M+漏洞= 小時/月
20-100小時/月
20-100 幾小時/幾天
幾小時/幾天 幾週-幾個月

幾分鐘 幾小時/幾天 幾週-幾個月

使用 BigFix 進行弱點補救
資安分析師 IT營運 IT營運

• 減少工作量 - 壓縮補救時間
• 減少錯誤 - 消除手動流程
智慧化
部署與 • 降低資安風險 - 減少攻擊面
掃描 審查與 修補程式相關性
網路 區分優先順序
確定修補操作 與自動化 補救
修補操作
的優先順序 補救
Fixlet建立

幾分鐘 幾分鐘/幾小時
Copyright © 2019 HCL Technologies Limited | www.hcltech.com
端點資安管理最佳實務二部曲 – BigFix IVR 整合弱點掃描工具
可用的 BigFix Fixlets 在 WebUI 呈現關聯結果:
1. 選擇排過優先等級的漏洞 3. 選擇目標端點, 排程, 並點擊
2. 點擊 ‘Remediate’ ‘Deploy’

漏洞資訊 BigFix
Operator

Data
Analyst
BigFix
Insights

Business Intelligence 報表 (MS PowerBI, Tableu):

• 現有 + 新的總結報告
• 根據客戶回饋的 額外報告/增強
Copyright © 2022 HCL Technologies Limited | www.hcltech.com 13
端點資安管理最佳實務三部曲 – BigFix CyberFOCUS
重新定義最佳弱點補救優先順序

Copyright © 2019 HCL Technologies Limited | www.hcltech.com

** from iThome news
 3P：
BigFix CyberFOCUS Analytics 是什麼?
優先
（Prioritize） 1. 內建於 BigFix 弱點補救解決方案中的㇐套統㇐的分析方法。

2. 獲取 BigFix 獨有的資訊和資料 (例如，是否應用了安全修補程

指示 式? 修補程式內容是否可用?) 並整合資安威脅情資
• 為 ITOps 提供協作工具，以便與 SecOps 合作，按照最佳
（Prescribe） 優先順序進行補救 (例如，哪些修補程式的破壞性最小並
能阻止最多的威脅？)

保護 3. 透過對保護等級協議 (PLA) 的支援，協助 SecOps 和ITOps 與

高階管理層進行合作，衡量業務目標的風險並證明網路風險
（Protect） 的降低。

Copyright © 2019 HCL Technologies Limited | www.hcltech.com

 14 Tactics, 193 Techniques, 401 Sub-techniques

MITRE 是美國的非營
利組織，透過聯邦政
府資助進行國防領域
技術研發，近年來協
助多項資安相關研究，
負責維運 CVE 弱點資
料庫。他們在2015年
提出ATT&CK框架，
是目前最典型的由攻
擊面出發的資安框架

** from Mitre

Copyright © 2019 HCL Technologies Limited | www.hcltech.com

進階持續性威脅(APT) CVE 分析儀

1. 依據BigFix是否修補了CVE?確 進階持續性威脅CVE分析儀
認對已知被MITRE ATT&CK
Groups利用的CVE的高優先順
序弱點。

2.包含CVE補救模擬器，可對弱
點攻擊面的變化進行瞬時、
即時的「what if」分析，指
出應採取哪些具有最大保護
能力和最少中斷的補救措施。

3.將所需的BigFix修補程式內容
與有關CVE的未修補裝置相關
聯，提供即時保護。

Copyright © 2019 HCL Technologies Limited | www.hcltech.com

 CISA KEV (Known Exploited Vulnerabilities)

美國資安最高主管機關「網路
安全暨基礎設施安全局」
（Cybersecurity and
Infrastructure Security Agency,
CISA），日前在其發行的「已知
遭駭漏洞」（Known Exploited
Vulnerabilities, KEV）清單中新增
五種已遭駭侵者用於攻擊的資
安漏洞，並要求美國聯邦政府
旗下各單位限期修復漏洞完成。

** from 資安人

Copyright © 2019 HCL Technologies Limited | www.hcltech.com

CISA KEV 揭露分析儀
1. 依據BigFix是否對CVE進行了
修補，確認CISA已知遭開採
弱點目錄中CVE的高優先順序
弱點。

2. 將您的環境與CISA指示的CVE
到期日進行比較，並將您的
表現與到這些到期日進行比
較。提供有關暴露的設備數
量和設備弱點密度的相關資
訊。指示需要進行修補的最
大攻擊面缺口。

3. 將所需的BigFix修補程式內容
與可疑CVE的未修補裝置相關
聯，為組織提供保護。

Copyright © 2019 HCL Technologies Limited | www.hcltech.com

 保護等級協議分析儀

• 「當SecOps確定需要針對來自
Cobalt Group的CVE弱點進行補救
時，該團隊在10天的保護等級協
議(PLA) 補救天數之內，為線上銀
行伺服器確定了修補程式優先順
序並指示了修補程式。」

• 「協助我們維持了收入和營運彈
性，並保持在CEO確定的資安風險
承受能力範圍之內。 」

Copyright © 2019 HCL Technologies Limited | www.hcltech.com

Thank You

Copyright © 2019 HCL Technologies Limited | www.hcltech.com