前美国太平洋舰队最高指挥官Patrick Walsh：企业面对网路威胁骤

台湾最大规模的2017台湾资安大会今日（3/14）一连两天在台北盛大登场，前美国最大海军舰队最高指挥官，也是现任FireEye客户培训资深副总裁Patrick Walsh担任大会第一天首场Keynote讲者。他表示，企业要面对不可避免的网路威胁挑战，得靠强化团队的应变作战能力，透过建立一套更有效落实的团队实战学习模式，以训练资安团队，学习从实际的资安模拟训练环境中，来建立起能面对各式网路威胁应变处理的一套更有效的资安防御机制。

过去数十年都在海上从事军事作战演练的Patrick Walsh，长年协助美国海军拟定军事战略并为国家安全把关，所以面对各种危机事件处理都有他基本一套应对的态度，后来他更将他过去在海上作战面对威胁的种种应对经验带到资安这个新战场上来，即使Patrick Walsh这次是第一次来台，但他对于台湾现在面临的资安处境却一点也不陌生。

Patrick Walsh表示，现今的台湾已经成为全球最容易受到网路攻击的国家之一，不只是政府部门容易受到骇客锁定目标，许多高科技产业和金融业都面临到来自不同的潜在安全威胁难题，急须要被加以解决。而他认为，网路威胁?? ( Cyber Threat)是最大的资安威胁，需要人、科技和流程上的高度整合，建立一套应变规範，才能更有效应对。

Patrick Walsh也提供了一个如何帮助企业做好威胁应变準备的金字塔型发展架构，这也是过去他长年因应海上军事威胁準备的一套紧急应对策略，也同样适用在资安，并依造企业资安整备程度高低将金字塔分3层，最底层是战术威胁感知（Tactical Threat Awareness）层，指的是从培养资安团队开始着手，建立一套有效以实作为主的团队学习模式，以训练团队成员学习从攻击方着手分析骇客的思维模式、犯罪动机和攻击手法等，从中找出保护企业资安重要资产的新方式。

金字塔的中间层则是整合作业环境（Operational Interation）层，代表的是透过使用情报（Intelligence）来源蒐集到的资讯来建立出一个可以与真实作业环境连结的模拟训练情境，以训练资安团队应对网路威胁的能力，以及最上层建立策略危机管理（Strategic Crisis Management）机制。当企业越往上层金字塔来发展，代表的是，企业已从始终趋于被动的一方，到发展成已能主动出击、进行资安侦察、进阶分析，甚至做到资安风险的评估和管控。而要帮助企业向上来发展，「这得要从资安团队培育上和训练着手。」Patrick Walsh说。

Patrick Walsh也强调，资安团队作战能力对一家企业资安能力养成的重要性。他说，以前企业在资安培育上倾向是派有资安专才的人出外受训一定期间回来后，期望他可以对公司的资安团队发挥很好的带头作用，可是这样的作法，Patrick Walsh却认为要发挥实际效果往往太慢，而无法因应现在快速变动的资安环境。他认为，现在更好的学习作法，不是仰赖特定学有专精的资安专家，而是靠一群人组成的资安团队，透过定期协助他们接收和学习最新恶意软体的威胁情报，强化他们的资安危机意识，才能够让他们做起事来专业又能发挥到资安防护的效果。

因此在强化团队训练方面，Patrick Walsh认为，靠的是要建立起一套网路威胁情报（Cyber Threat Intelligence，CTI）的能力，他指出，企业现在要防御网路威胁非得要有CTI能力不可，因为当企业每天平均面对少说上千个资安警讯，甚至有时还更多，光是被动等到发现事后才来做因应处理，事情根本处理不完，而必须要透过建立CTI能力，让企业可以化被动为主动来侦查找出潜在攻击威胁的蛛丝马迹，让企业内部的资安监控中心可以即时应变，才能最快时间决定哪些是必须先被进一步分析处理的重大网路威胁。

Patrick Walsh建议，企业要建立CTI的第一步，是要先找到企业所需要的CTI需求是什么，这也是企业要建立CTI能力的最重要一步，这可以透过情蒐先了解你的敌人的攻击动机及接下来可能的发展情势后，再来决定企业的CTI需求，同时企业也要必须了解自己已经拥有CTI能力的程度高低，才能够知道自己是否具备有足够能力来应对不同潜在资安威胁。

要做到网路威胁的情报蒐集内容，Patrick Walsh表示，可以从3种情报的来源取得，包括有像是从敌情有关蒐集到的情报，还有来自实际受骇企业的情报，以及从众多企业内部可读机器蒐集到的情报。并利用这些情报来源蒐集到的讯息来建立出一个可以与真实作业环境连结的模拟训练情境。

Patrick Walsh也强调，这些资安情境的模拟训练并不是在玩游戏，「资安模拟训练必须要真枪实弹，这件事做起来才有意义。」他说，这么做的目的是要创造出一个能让企业面临威胁的真实环境，如在员工电脑实际植入一个带有网路间谍或勒索软体，来训练资安团队是否有能力侦测得到，来培养团队面对不同情境下的紧急应对能力。最终目标是要能帮助资安团队自己有能力去独立作战，这也是一个持续长久学习的模式

Patrick Walsh也举他在海军舰队用于空军模拟驾驶舱演练当例子，怎么把训练驾驶员开飞机能做到应对不同真实飞航场景的应变能力带到资安。他表示，如果在模拟训练时，驾驶员只会一切照规则来，那就失去了模拟训练的意义，而是必须学习应付各种突发的紧急状况，并从其他人的错误当中学习到正确的应对经验，在训练过程中，他也提到会有情报分析专家从旁协助，等到练习做完后会重新检讨刚做的决定哪些可以改善或做得更好的，在资安模拟训练上也是如此，目的是希望网路资安专家可以从别人的错误当中学习经验，以便于随时做好準备面对未来资安威胁的挑战。

?