歐盟網路安全局 (ENISA) 發布了一份行動指南，提出了一系列關於在產品生命週期中應用「安全設計」和「預設安全」原則的原則和切實可行的指導。該指南強調，網路安全不再是靜態的控制層，而是貫穿產品生命週期的持續性體系，從設計到部署再到復原都離不開它。指南強調，安全必須儘早透過架構設計、威脅建模和安全預設設定來集成，而不是事後添加，因為現代系統面臨著不斷演變的威脅。

這份名為《ENISA安全設計與預設策略手冊》的文件指出，營運彈性取決於執行，而不僅僅是設計。組織應保持快速漏洞管理、結構化事件回應和經過測試的復原能力，包括明確的角色、自動備份和清晰的復原流程。該指南強調，組織需要朝著「安全設計與預設策略」的方向發展，即在建置系統時最大限度地減少攻擊面，強制執行最小權限原則，並在組件發生故障或遭到入侵時仍能保持彈性。

重點在於透過優先考慮基於風險的修補程式、確保日誌記錄和監控的可見性，以及透過快速遏制和復原來應對不可避免的事件，從而降低實際風險。這些要素共同體現了網路安全向工程驅動型網路安全的轉變，在這種模式下，韌性在整個產品和營運生命週期中得到持續驗證和強化。
手冊將「安全設計」原則分為兩大類：架構基礎和運作完整性。前者闡述了系統的設計和建構方式，後者則著重於系統的管理和維護。同樣，「安全預設」原則也分為「預設強化」和「引導式保護」。前者確保產品以安全且受限的狀態啟動，後者則旨在透過清晰的預設設定、警告和恢復機制，幫助使用者維護安全基線。

該指南的核心在於強調持續存在的結構性缺陷，這些缺陷不斷加劇網路風險，包括不安全的預設配置、糟糕的身份管理以及漏洞和修補程式流程的不足。指南強調，許多安全漏洞源於配置錯誤和人為因素，因此預設安全原則至關重要，例如強制執行強身份驗證、最大限度地減少暴露的服務以及自動化更新。該指南還強調了供應鏈安全、日誌和監控以及事件響應準備的重要性日益凸顯，並指出韌性取決於可見性、快速檢測以及在攻擊升級為系統性故障之前將其遏制和恢復的能力。

ENISA 的這份文件旨在為軟體和產品開發人員、系統工程師以及負責在產品開發生命週期中實際實施安全設計和預設安全原則的技術負責人提供技術指導。它面向需要將高層次的安全概念轉化為可操作的工程實踐的專業人員。

軟體開發人員和工程師可以利用這些指南，在保持快速交付週期的同時，將安全性直接嵌入到程式碼庫中。技術產品經理可以在平衡功能需求和基礎安全彈性需求方面獲得支援。中小企業安全負責人可以從中受益，獲得將企業級框架應用於預算有限、需求特殊或團隊規模較小的環境的實用指導。系統架構師可以應用這些指南，從開發初期就優先考慮安全性，從而設計出強大的基礎架構。

在產品生命週期中落實「安全設計」和「預設安全」原則時，ENISA 指南明確指出，「安全設計」和「預設安全」不能僅限於開發階段，而必須貫穿整個產品生命週期，從最初的概念到最終的退役。這種端到端的方法對於互聯繫統尤其重要，因為不斷演變的威脅、供應鏈依賴以及較長的運作壽命，如果治理和保障措施無法持續有效，都可能逐漸削弱系統的安全性。有效的實施取決於合理的工程決策，以及結構化的組織機制，例如方法、工件、指標和審查機制，這些機制能夠使風險可見，決策可重複。

生命週期本身涵蓋多個階段，每個階段都需要明確的安全考量。這些階段包括需求定義，在此階段確定預期用途和安全預期；隨後是設計階段，在此階段製定架構和系統規範；之後必須在開發和實施過程中嵌入安全措施，並透過測試和驗收進行驗證，並在部署和整合到生產環境的過程中進行維護；最後階段是維護和更新週期

貫穿整個生命週期的一個關鍵主題是，安全和風險管理並非線性過程，而是迭代的。隨著系統的演進，風險評估必須不斷更新，尤其是在出現新的漏洞、安全事件或部署變更時。後期階段（例如測試或實際運作）的發現通常需要重新審視早期階段（例如設計或需求）。為了支持這一點，該指南強調輕量級、風險驅動和自動化優先的方法，尤其是在敏捷環境中，持續整合、自動化控制和快速安全關卡有助於在不減慢開發速度的情況下維護安全性。

ENISA 指南將「安全設計」視為一種根本性的轉變，它將保護措施直接嵌入到系統架構和建置流程中，而不是在部署後才套用。這些原則分為架構基礎和運作完整性兩部分，確保系統結構及其維護有助於提升系統的韌性。這種雙重關注點反映了這樣一個現實：安全的系統必須在設計之初就做到精益求精，並且需要在整個生命週期中持續管理。

預設安全機制是這種方法的補充，它確保產品無需用戶干預即可啟動到安全狀態。預設的加固機制從一開始就降低了風險，而引導式保護機制則幫助使用者長期維護這種安全基線。這包括設計能夠防止不安全配置、強制執行強身份驗證以及限制不必要服務的系統，從而降低因配置錯誤而導致的安全漏洞發生的可能性。

核心主題是認識到人為因素仍然是主要的風險來源。因此，這些原則強調以使用者為中心的安全措施，例如強制性的註冊步驟、自動更新和清晰的安全回饋。透過在使用者體驗中嵌入提示、警告和恢復機制，系統旨在防止使用者無意中削弱安全性，同時保持可用性和營運連續性。

ENISA 的文件詳細闡述了操作手冊如何將這些高層次原則轉化為可重複執行的實用操作，並應用於整個開發週期。它們被設計成輕量級、注重執行的指南，使團隊（尤其是資源有限的團隊）能夠在不增加沉重管理負擔的情況下，實現「安全設計」和「預設安全」。每個操作手冊都將一項原則提煉成可操作的步驟，這些步驟可以在不同的產品和版本中重複使用。

每本安全策略手冊都遵循結構化的格式，包括所應用的原則、目標、關鍵操作清單、證明實施所需的最低證據，以及定義通過/失敗標準的發布關卡。這種結構使團隊能夠從抽象的安全目標轉化為可衡量的結果，同時也將安全檢查直接嵌入到開發和發布流程中，包括 CI/CD 管線。

該指南強調，安全策略手冊應被視為動態更新的文件。團隊需要將其整合到發布準備評審中，透過程式碼庫和自動化輸出維護證據，並根據安全事件、新出現的漏洞和產品變更持續更新。這確保了安全實踐能夠隨著系統的發展而演進，而不是停滯不前或過時。

報告還指出，機器可讀的安全證明標誌著合規性從靜態的、基於文件的合規性轉變為動態的、可驗證的安全聲明。這些證明以 JSON 或 YAML 等結構化格式編碼，並聲明已實施特定的安全控製或流程。與傳統報告不同，它們可以自動產生、更新和使用，從而實現對產品安全狀況的持續驗證。

透過將這些安全認證嵌入到開發流程中，安全性成為工程流程不可或缺的一部分。需求可以定義為程式碼，並直接連結到實作證據；部署系統可以透過阻止缺少有效安全認證的版本發布來強制執行自動化把關。這種方法減少了對人工審計的依賴，並透過持續的、機器驅動的驗證來加強安全保障。

該方法還解決了複雜數位生態系統中固有的透明度挑戰。機器可讀的認證記錄能夠建立產品從開發到部署的端對端安全狀態的防篡改記錄。這使得利害關係人能夠獲得一致且最新的風險視圖，從而實現供應鏈中信任關係的自動化，並增強對互聯繫統安全性的信心。

上個月，歐盟網路安全與資訊安全局 (ENISA)發布了《網路安全演練方法論》，為各組織機構提供從設計、實施到評估網路安全演練的全面指導。此方法論提出了一個端到端的理論框架，確保合適的利害關係人和相關人員在適當的階段參與其中。它藉鑒了經驗教訓、行業最佳實踐和網路安全專業知識，並配套提供包含模板和指導材料的工具包，以幫助規劃人員組織有效的演練。

料來源：https://industrialcyber.co/secure-by-design/enisa-playbook-calls-for-security-by-design-across-product-lifecycle-urges-shift-to-continuous-cybersecurity/