在資訊安全的變化趨勢中，每年資安漏洞都有超過上萬個被發現，且數量持續增加中。面對不斷進化的攻擊策略和方法，網路安全應變策略應與時俱進，才能在提升資安韌性、減少威脅衝擊、降低系統風險等層面，將損害降至最低，這是組織所必須面臨之挑戰。本論文研究不同資通安全框架及統計分析實際攻擊，用以檢視組織現行資通訊安全防護管理的有效性。藉由分析近期我國常見駭客組織入侵手法及資安事件，比對資訊安全監控中心監控規則對應至資通訊安全框架後，進而檢視組織資安政策之調整或擬訂調整方向是否合適。研究結果顯示組織雖然無法降低駭客攻擊量，但能透過資通訊安全框架政策的擬訂，有效地阻斷攻擊鏈，降低或避免損失，顯示調整後的防禦及阻斷是有效的。資通訊安全框架目的是為了確保實施的一致性和可重複性，利用資通訊安全框架針對組織定期執行規劃、執行、查核及行動的管理循環以維持及改善資通訊安全管理運作的有效性，並檢視資安政策是否符合組織策略及組織之資安治理成熟度，是持續保持安全的方法。

In the changing trend of information security, more than tens of thousands of information security vulnerabilities are found every year, and the number continues to increase. Faced with the continuous evolution of attack strategies and methods, cyber security response strategies should keep pace with the times to minimize damage in terms of improving information security resilience, reducing threat impacts, and reducing system risks. This is what organizations must face the challenge. This paper studies different information security frameworks and statistically analyzes actual attacks to examine the effectiveness of the organization's current information security protection management. By analyzing the recent common hacker organization intrusion methods and information security incidents in China, and comparing the Security Operation Center monitoring rules to the information and communication security framework, we can then examine whether the adjustment of the organization's information and communication security policy or the proposed adjustment direction is appropriate. The research results show that although the organization cannot reduce the amount of hacking attacks, it can effectively block the attack chain and reduce or avoid losses through the formulation of the information and communication security framework policy, showing that the adjusted defense and blocking are effective. The purpose of the information security framework is to ensure consistency and repeatability of implementation. The information security framework is used to implement of the management cycle of planning, doing, checking, and action for the organization on a regular basis to maintain and improve the effectiveness of the information security management operation, and to check whether the information security policy is in line with the organizational strategy and the maturity of the organization's information security governance is a way to continue to maintain security.

目錄

第一章、 緒論	1
第一節、 研究背景與動機	1
第二節、 研究目的	2
第三節、 研究範圍	3
第四節、 名詞解釋	4
第二章、 文獻探討	7
第一節、 政策法規及國際標準	7
第二節、 網路安全架構、網路攻擊及防禦類型	18
第三章、 研究方法與步驟	31
第一節、 研究架構及流程	31
第二節、 研究對象和方法	32
第三節、 研究資料蒐集	34
第四章、 研究分析與討論	50
第一節、 研究分析	50
第二節、 研究討論	58
第五章、 研究結論與建議	62
參考文獻	64
 

圖目錄

圖 1、資安管理法及六項子法架構[3]	8
圖 2、CDM矩陣[29]	16
圖 3、資安防護產品分類[29]	17
圖 4、資安業者分類[29]	17
圖 5、資通安全框架的應用[29]	18
圖 6、新興科技的應用[29]	18
圖 7、BeyondCorp Enterprise[20]	20
圖 8、Cyber Kill Chain 7步驟[30]	22
圖 9、ATT&CK資安框架-1[18]	23
圖 10、ATT&CK資安框架-2[18]	24
圖 11、Shield資安框架-1[26]	30
圖 12、Shield資安框架-2[26]	30
圖 13、研究架構圖	31
圖 14、研究流程圖	32
圖 15、每月SOC通報量	58
圖 16、緩解措施的TOP10	60
圖 17、NIST 網路安全框架實施等級	61

表目錄

表 1、CIS Controls V7.1的20個控制項[25]	9
表 2、NIST CSF的框架核心5個面向及23個類別[28]	12
表 3、NIST CSF導入7步驟[28]	14
表 4、CMMC等級及描述[23]	15
表 5、緩解措施[18]	24
表 6、每月SOC通報總量	33
表 7、攻擊技術[18]	34
表 8、主動式防禦技術[26]	43
表 9、攻擊技術、緩解措施與主動式防禦技術之對應	47
表 10、SOC規則對應網路攻擊鏈的7個階段及Mitre ATT&CK	50
表 11、2019年11月至2021年4月每月SOC通報量	55
表 12、NIST 網路安全框架實施等級	56
表 13、攻擊手法偵測的數量	59

[1]公部門一定要認識的 NIST CSF —各國都在使用的熱門資安架構。檢自https://medium.com/upas/%E5%B8%B6%E4%BD%A0%E8%AA%8D%E8%AD%98nist-cybersecurity-framework-303fb84e252c (Dec 15,2020)。
[2]行政院國家資通安全會報，中華民國108年4月修正，國家資通安全發展方案(106年至109年)。
[3]行政院資通安全處，資通安全管理法施行情形期中檢討與精進建議v10。檢自https://nicst.ey.gov.tw/Page/D94EC6EDE9B10E15/b0d602bc-ad12-4005-a7ac-01b5bbe24487 (May, 2019)。
[4]行政院108年國家資通安全情勢報告。檢自https://nicst.ey.gov.tw/Page/7AB45EB4470FE0B9/143d5289-6de4-4d81-a9a1-5611b01be72d  (2020年6月)。
[5]李宗翰，【資安框架】CIS Controls V7針對網路攻擊的防禦，提供一套處理動作的建議。檢自https://www.ithome.com.tw/article/129576 (Apr 20, 2019)。
[6]沈大白、黃追，會計研究月刊，(401)，網路風險與資訊安全管理之重要性，2019。
[7]張京文、紀佳妮、方耀宇、黃博禮，國家資通安全會報技術服務中心，102年度雲端資安防護整合服務委外服務案 SOC參考指引(V2.0)，2013年7月。
[8]蔡在昇，海軍學術雙月刊第五十四卷第二期，淺談科技與網路安全防護趨勢發展，2020。
[9]金融聯合徵信中心 資安部 蘇柏鳴(2020/12)。MITRE ATT&CK 框架概述，金融聯合徵信 第三十七期 。
[10]梁德昌、莊李福，全國資訊安全會議,第20屆，網路隔離技術之研究-從資訊安全管理角度探討，2010。
[11]羅正漢，用MITRE ATT&CK框架識別攻擊鏈，讓入侵手法描述有一致標準。檢自https://www.ithome.com.tw/news/129054 (Mar 30,2019)。
[12]羅正漢，【快速認識NIST網路安全框架】從五大構面評估企業資安防禦現況與目標。檢自https://www.ithome.com.tw/news/133170 (Sep 26, 2019)。
[13]羅正漢，調查局首度揭露國內政府委外廠商成資安破口的現況，近期至少10個公家單位與4家資訊服務供應商遇害。檢自https://www.ithome.com.tw/news/139504 (Aug 19,2020)
[14]羅正漢，新世代主動式防禦興起，牽制駭客也成攻防手段之一（上）。檢自https://www.ithome.com.tw/tech/143477 (Mar 30,2021)
[15]羅正漢，新世代主動式防禦興起，牽制駭客也成攻防手段之一（下）。檢自https://www.ithome.com.tw/tech/143478 (Mar 30,2021)
[16] Evan Gilman & Doug Barth & 江湖海，2019，零信任網路：在不受信任的網路中建構安全系統 Zero Trust Networks，歐萊禮，台灣
[17] 10 Cybersecurity Metrics You Should Be Monitoring。檢自https://cipher.com/blog/10-cybersecurity-metrics-you-should-be-monitoring/。
[18] ATT&CK Matrix for Enterprise。檢自https://attack.mitre.org/matrices/enterprise (April 29,2021)。
[19] BeyondCorp。檢自https://cloud.google.com/beyondcorp?hl=zh-tw (2020)。
[20] BeyondCorp Enterprise: Introducing a safer era of computing。檢自https://cloud.google.com/blog/products/identity-security/introducing-beyondcorp-enterprise?hl=zh-tw(Jan 27, 2021)。
[21] BENEFITS OF ISO 27001 CERTIFICATION。檢自https://clearcomm.org/services/iso-27001/。
[22] CVE。檢自https://cve.mitre.org/index.html。
[23] CYBERSECURITY MATURITY MODEL CERTIFICATION (CMMC) Version 1.02。檢自https://www.acq.osd.mil/cmmc/draft.html(Mar 18,2020)。
[24] CNS 27001  X6049 資訊技術－安全技術－資訊安全管理系統－要求事項 Information technology − Security techniques − Information security management systems − Requirements 。檢自https://www.cnsonline.com.tw/?node=result&generalno=27001&locale=zh_TW(Nov 7, 2019)。
[25] CIS Critical Security Controls，SANS。檢自https://www.sans.org/critical-security-controls (Apr 21, 2021)
[26] MITRE Shield。檢自https://shield.mitre.org/
[27] National Institute of Standards and Technology. NIST Special Publication 800-207 Zero Trust Architecture。檢自https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf (Aug, 2020)
[28] National Institute of Standards and Technology. (2018). Framework for Improving Critical Infrastructure Cybersecurity. U.S Deportment of commerce. 檢自 https://www.nist.gov/cyberframework
[29] OWASP Cyber Defense Matrix。檢自https://owasp.org/www-project-cyber-defense-matrix/
[30] the Cyber Kill Chain。檢自https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html