上下文在安全漏洞管理中，佔了重要而不可或缺的必要地位。不僅如此，上下文帶來的作用遠遠超出了漏洞管理的範圍，並且實際上在企業IT安全的所有領域（尤其是在安全威脅情報方面，以下簡稱情報資訊為情資）都具有重要的意義。安全威脅情報的核心目的是獲取有效訊息資訊，以有效地保護網路及資訊系統。不論在防護上或安全評估當中，Context Analysis意味著更少的誤報和更多的有效發現。令人遺憾的是，由於大部分安全系統缺乏上下文資訊，使得許多防護工作未能取的應有的優勢。

甚麼是Context上下文

根據牛津辭典的解釋，“Context上下文”的定義就是“構成事件，陳述或想法的發生情境，可以被充分的理解和評估”。從這定義中，可以看到出上下文在安全威脅情報的必要性：就是上下文內容在安全威脅情報中提供了有效的清晰度。而清晰度是在處理安全事件時，可以保持高度操作效率的因素。清晰度可以換個角度理解，就是被越少的雜訊干擾就越清晰。

安全事件的清晰度很少是由單一訊息就可以提供的。相對的，它來自專業人士無數的經驗淬鍊和現有手邊可取得的調查跡證。近來在“威脅情報整合”概念的推動下，使得越來越有一種趨勢；朝向更深入的整合黑名單和其他取證蒐集技術。儘管這些情報數據非常寶貴，但缺乏上下文分析，又沒有適當調整，可能會導致資安管理上效率低下，難以成為有效解決方案。

舉例來說，發佈黑名單的依據是基於以IP情報為準。這些組織捕獲的訊息是大量直接勞力工作下的結果。其中包括檢測威脅，弄清它們在做什麼，確定其來源，確定其造成威脅的作法(行為特徵)以及其他訊息。可惜的是，所有這些工作通常都侷限於單一資訊，例如IP地址或DNS名稱。

對於採用該整合情報資訊，作為其關鍵資安政策判斷的人員而言；如此運作的最後結果是導致分析效率低下。這是由於資安專業人員必須操作各種過濾篩選，與經驗判斷過程，才能有效利用所萃取出的情資；並確保這些訊息與網路、設備裝置上所發現的上下文，具有一定程度相關性。

上下文資訊在資安上的幫助

這些情資整合有很大落差（例如單純以IP為基礎的資訊來源）的現象非常普遍，主要是因為要建立包含上下文，具有情報價值的資訊非常困難。以前發展成熟的安全團隊(例如SOC team)，能夠通過大量的團隊合作，和團隊間訊息共享的模式，利用適當的平台整合，建立上下文有關情資。但由於發展至今，訊息體系結構的複雜性和檢測威脅所需的工作量，正在迅速爆量增加，這樣的運作模式已超過人類可合理管理的上限。

最終結果是，我們需要對收集的資訊進行集中化分析，和自動化處理人工手動的程序。目前的現實是，絕大多數已採用的安全技術或產品，大多集中在針對攻擊行為的特定技術發出警報，而不是針對攻擊的起始來源肇因提出警告，因此將偵測的過程高度自動化可能是非常困難。為了更進一步實現自動化偵測，需要將多種安全事件與情境訊息結合起來，以分析事件的上下文關聯的內涵真相，並據此實施正確的反應行動措施。

採取的反應行動策略，主要取決於組織對特定事件類型安全策略。此外，當此事件訊息集中在日誌管理解決方案，或端點資訊監控系統時，對制定上下文分析及反應策略會很有幫助。

 

建立上下文資訊輔助判斷

例如，如果洩漏防護系統、使用者活動監視的事件中心，在發出特定警報的情況之下，為了確定事件的嚴重性，以及對此事件施以適當反應，必須思考以下問題：

由直接資訊判斷

• 什麼事件發出的警報？
• 事件的來源是什麼？
• 造成警報的流量(通訊協定等)的詳細資訊是什麼？是實際攻擊還是誤報？

而上下文資訊可以進一步提供

• 警報可靠嗎？還是因誤判導致？
• 此事件常見嗎？以前是否將類似事件記為誤報？
• 關於事件訊息來源細節？
• 是否曾經因為與流量相關的原因而將其列入黑名單？
• 是否還有其他事件，可能使攻擊者觀察獲得了執行此攻擊所需的權限？
• 系統上是否有相關事件？
• 攻擊前或攻擊後流量異常嗎？
• 是否已知該目標系統，本身容易受到此類攻擊(已知已存在的漏洞)？
• 還有其他有用的訊息嗎？

看起來簡單的警示，若找出有了這些訊息關聯，就可以進一步的過濾不必要的雜訊；精確地觸發自動化反應流程。這是由於包含上下文訊息的安全情報，可以更精確地指出事件肇因所在。最終結果不論人工分析人員或自動化集中式分析，都將能夠更準確地識別問題並提供更好的回應行動。

為什麼攻防難對稱 ? 攻擊者具備的優勢

實體戰場通常易守難攻，考慮後勤補給問題，有武器攻擊密度問題，有地形障礙，場地空間容量限制等。虛擬世界的戰場剛好相反，幾乎沒有限制；而且攻擊者具有無限複製分身的特性，可以來自四面八方。

存在技術落差

通常攻擊方具備專業技術上的優勢，通常隱身於世界任何一個角落，有網路便可以發動攻擊。一些組織公布揭露的弱點資訊，原本的美意是讓資安人員修補系統加強防禦。但那正好是駭客的攻擊工具準備清單。 現在的普遍現象就是：弱點公佈當天就是攻擊起始日，而望穿秋水的原廠修補可能還未開始。

商業獲利模式驅動

不像實體世界，想要增兵援助得大費周章；真實的生物病毒壽命有限，而數位世界則可以無限制的複製與傳染。以往攻擊電腦系統的動機，不外乎是為了炫技、報復懲罰或者只是好玩。在比特幣發明之前，雖然也有恐嚇、詐騙、勒贖，但無法成為大規模經濟活動。比特幣發明之後，因交易幾乎無法被追蹤的特性，使利益成為主要動機驅動著駭客經濟。綜合以上變化的趨勢，跟以往電腦犯罪不同的是，不再需要挑選特定目標了，直接無差別攻擊。

防禦的劣勢

大家都明白防禦這些危害的重要性，但建置佈署資安防禦，會面臨到的現實問題

• 組織經濟規模不足以支撐資安團隊。在台灣中小企業佔整體企業97.64%，在員工數本來就不高的情況下，不易組成專屬資安人員編制。
• 人力配置不足，通常組織會優先滿足生產力人員，接下來才會考慮專業IT人員，資安人員通常是非不得已後的配置。IT或資安部門甚至還會由其他部門(如：管理部門)兼任或輪派，人員配置偏低。
• 專業技術訓練不匹配，一般以IT管理系統訓練優先，針對資安技術、資安治理的專長訓練比例低，問題一旦發生，可能無法由內部尋求協助。
• 求證不易舉證困難，攻擊方為了隱藏行蹤，可能會毀滅跡證。無法調查來龍去脈，將來也難於防範。
• 環境變化快速，攻擊方時時磨練新功夫，或使用現成自動化工具，而防守方常處於被動的形勢難以跟上。
• 資訊系統或通訊協定先天設計的缺陷，未被發現或無法修補，造成就算已知也無法補強的情況。

防守的盲點

大家都知道修補防守的重要，專家也常常提出建議，告訴我們要更新修補。但不幸的現實是，有一些議題常被忽略：

• 雖說時時更新，但生命週期結束服務中止?不少的設備在採購的當下，作業系統可能已經EOS(End of Service)，更別提在上面的應用程式。更有不少的設備，是必須在不能更新的隔離環境工作。
• 已知的漏洞好補，如果是未知(被揭露)的，雖然大部分的資安系統，都可以十分可靠的幫你找出已知的漏洞、威脅。但最難管理的是未知的未知 (the unknown unknowns)，目前卻是沒有明確的解決方案。
• 防守難以全面覆蓋，我們使用的設備包羅萬象，有各種不同作業系統，硬體架構。不是每一種都可以找到對應的防護方案。
• 基礎建設不足，該具備的必要防護措施不齊全。可能礙於經費、組織規模等考量，組織決策接受風險。但對比於防疫觀念，不做防護卻可能害了其他人。
• 外包管理，不論是上下游供應商，維護服務商。不論是用他們自己的設備或使用組織提供的設備，基於管轄權問題，很難維持跟組織資安要求一致的水準。還有一個考量，該負責對外業務單位可能根本沒有資安人員，或設備並非由資安(IT)管理單位所管轄。
  
  

盤點被忽略的治理盲點  尋回防守優勢

組織可能常會依賴資安廠商或顧問的建議來進行相關系統/設備的採購。的確，工欲善其事，必先利其器；適當的系統/裝備有助於管理成效。但盤點前述被忽略的議題，多半與資安治理有關，並非光靠設備就可以解決。如果負責的資安人員缺乏經驗，或專業程度不對等，可能造成投資的浪費。盤點環境中設備，或檢視管理上的疏漏，能讓資安人員與組織高層更清楚到自身環境所缺。檢討最迫切補強的地方著手，才能讓企業找回對資安防護的主導權。