【神預測】C-RAF 2.0年底推出 增認證資格紓緩專才荒

    網絡攻擊愈趨複雜及精密,加上銀行業又是公認的攻擊對象,面對如此高危的環境,香港金融管理局 (HKMA) 於2016年公布網絡安全防衛計劃 (Cybersecurity Fortification Initiative, CFI),通過三方面提升金融業的網絡攻擊防禦力。其中之一的網路防衛評估架構(Cyber Resilience Assessment Framework, C-RAF)是一套以風險為基礎的評估框架,內裏的評估項目多達400多項,主要分為三個部分。

    首先是自身固有風險 (Inherent Risk Level) ,評估標準會根據銀行採用的科技、服務渠道、以往被攻擊的記錄等因素作評級(High、Medium、Low) ;其次會通過審核現有的安全措施,包括監管、偵測機制、保護工具、危機管理及應對政策,以釐定網絡安全成熟度 (Advanced、Intermediate、Baseline) 。如果審核評分未能達到固有風險評估的相對要求,銀行就要按照金管局建議的改善措施提升安全成熟度,直至合符相應的要求。如果金融業的固有風險達到中至高程度,就必須實施網絡攻擊模擬測試iCAST (Intelligence-led Cyber Attack Simulation Testing) ,它是一套利用情報主導的網絡攻擊情境,評估其對網絡攻擊的識別和回應的能力。 

    而在這套監管制度下,上述金融機構必須聘請擁有指定認證資格的專家 ,才能進行合資格的 iCAST 測試,但由於香港擁有這些認證的專才不足,導致金融機構在過去兩年為了請人而疲於奔波,突顯了 C-RAF 在落實執行方面所面對的問題。

    早前 wizlynx group, Cyber Security Services Director (Hong Kong and Taiwan),Mike Lo (盧振宇) 舉辦的網絡研討會,就針對現有情報,預測 C-RAF 2.0 內有關主要的轉變。首先無論是 C-RAF Assessor 或 iCAST專業執行要求的認可資格方面,將加入新的CREST對應認證,例如 C-RAF Assessor 角色相等認證則加入 EC-council 的 CEH 認証,在 iCAST Threat Intelligence Specialist角色建議加入了 CREST Certified Threat Intelligence Manager or Analyst (CC TIM) 認證要求,作為這個情報主導框架的一個重要角色, 而在對應認證就加入 GCTI 及 CCIP 兩張認證; iCAST Specialist對應認證亦新增了 OSCP 這張 Pentester 必考的實作認證,由於這些認證都著重實戰技巧而非理論主導,所以有關改動建議可為金融業提供更多能對應CREST資歷的專才選項,紓緩CREST人才不足的問題。

    其次是 C-RAF 2.0 將推動 Blue Team 協作演練的角色,令金融機構在進行 iCAST 方案時,不是單單以 Red Team演練單向主導,模擬攻擊重要金融業系統的漏洞,而是鼓勵有 Blue Team 同步進行防禦及記錄相關攻擊詳細過程,這種 Purple Team 概念將有助金融業界更全面了解自身資訊風險的抗壓能力,並從而以實戰情報主導模擬攻擊演練,訓練相關網絡安全人員,務求使他們面對真正攻擊時,能夠架輕就熟地應對。此外,金管局亦將就 iCAST 不同的情景部份提供具參考性的模版, 使金融業在執行相關要求時更能準確到位, 落實 CBEST 中以情報主導框架的精神、評分準則及報告樣本 (Sample)專業性 ,有了這些更新, 令到業界更有效去執行相關法規要求, 減省不必要的測試程序及人力資源投入。

    在職場發展及人材培訓方面,Mike Lo 認為,如有志成為市場上炙手可熱的資訊安全專才,應該要考取 CREST 個人認證 ,如 CREST CPSA 或 CRT;而資安公司也應盡快申請成為合資格的 CREST 認證公司會員,以回應市場需求。Mike Lo 解釋,C-RAF 融合了美國聯邦金融機構檢查委員會 (FFIEC) 所提出之網路安全評估工具 (Cybersecurity Assessment Tool) 及英國註冊道德安全測試員委員會 (CREST) 所提出之情報主導的網絡攻擊測試框架 (CBEST), 而 CBEST 亦為歐州眾多銀行所採用。作為CBEST框架的推行機構,CREST 旗下有一套非常嚴格的認證制度,所有高級個人認証資格都必須完成實戰 Lab Test 才能通過測試,可說是資安業界的「金漆招牌」,在香港金融管理局的網絡安全防衛計劃嚴緊要求下,是個不折不扣的信心的保證。

    參考資料:HKMA – Cybersecurity Fortification Initiative

    #CBEST #CFI #CRAF #HKMA #iCAST #Pentest #PurpleTeam

    相關文章