聲明:這些都是我個人的主觀見解,或有失偏頗,請讀者在閱讀時也要有自己的判斷!
在此之前我都沒有參加過賽門鐵克的任何資安研討會,這是第一次參與,雖然不免推銷自家產品,但其中也有值得參考的觀念建議,個人感覺還蠻值得的。
首先由Symantec台灣區總經理Dylan Wen開場,他提出資安321的檢視方法:三個問題、二項觀念、一個架構。
三個問題:
1.資訊環境防護安全嗎?
我相信沒有人回答的出來,安全無絕對,只要你夠大咖,駭客一定盯上你,所以我個人覺得這根本不是問題,而是行銷手法。但他以某家金融CIO的看法來闡釋此題,個人倒覺得很貼切:和四周的同業比較,只要比他們安全就值得了。因為駭客也是挑軟柿子吃。
2.如何規劃資安架構?
這一題其實沒什麼好回答的,現今已有成堆的「標準」或「準則」,反正照做就對了,要不然怎會有一堆機關、廠商號稱通過XYZ認證,這此認證制度都會提供多如牛毛的事前盤點、分類、規劃、風險評鑑,事中稽查、確認及事後的成熟度評估。但我個人覺他們都忽略「人性」,只要有人在的地方,就不可能實行「zero trust」,人是起點,也是終點,所謂「徒法不能以自行」,任何制度或方法論,若忽視人性,註定不會成功,偏偏所有的制度或方法論都無法加入「人性管理」,因為人性最重要在於「信任」。
3.資安人力資源足夠嗎?
這一題也沒什麼好回答的,在台灣,資安人力一直都不夠,不是沒有人才,而是老闆向來不重視,在台灣無形資產向來不值錢,老闆可以花大錢買設備、買硬體,但一遇到軟體、智能技術,就會死命壓低價錢,老闆覺得「軟體再複製就可以多一套,就可以分攤成本」,同樣也認為「智能技術」只要形之文字,就可以再創造一位高手(如果那麼簡單,還要老師幹嘛?)。在老闆眼中,資安人才「養成」是這麼容易,因此,他所認為的5名資安人員,其實抵不上一位真正的資安人才,更何況資安威脅千變萬化,必須集結各種專才而成的防護網才足夠應付,所以資安人力資源怎麼會足夠?
二項觀念:1.慎選廠商;2.可擴充平臺。這兩個觀念很容易理解,沒什麼好解釋的,但我覺得很難實踐,如果沒有比廠商更厲害,怎麼判斷廠商夠不夠格?如果對公司的資安環境及需求沒有通盤了解,又如何評斷平臺擴充到哪一種程度才是合乎需要?所以這二項觀念歸結起來還是「人才」因素。
一個架構:就是不要讓公司的資安設備孤軍作戰,不要彼此成為不相干的孤島,簡單說,就是各式資安設備(如防火牆、IPS/IDS、防毒閘道...)要達到聯防目標。理念很不錯,要實現還是得靠人。
聽完Dylan的演講,我很想再加一項中心「人」,不重視「人才」,投注再多預算依然得不到效果,車子再會跑,沒有好駕駛,它也只能待在車庫裡。
第二場是Victor Law介紹2019資訊安全趨勢、挑戰及機會,敝人資質愚鈍,聽不出什麼重點,好像是說我們可以靠AI協助提高安全防禦,而駭客也會利用AI強化攻擊。一直以來不都是這樣嗎?矛 &盾都是藉用相同的技術在競爭,也一直相伴在進步,任何攻防皆是如此,要不然,另一方早消聲匿跡。
第三場是Dylan Wei、Maha及Alber Tsao介紹次世代上網最佳防護-網頁隔離管理,這是產品介紹,也就是Symantec的隔離上網技術,使用者上瀏覽網頁、收信或下載檔案時,這些資料並不是直接落地在使用者的PC上,而是暫存在隔離伺服器(看作Proxy吧),隔離伺服器會對內容進行檢查,「內容」包括從Internet進來的,和從使用者PC出去的,如此不僅能防止外部攻擊,也能防止使用者有意無意洩露資料。他們號稱可以100%保護上網安全,但我認為沒有經過時間焠煉,一切都只是假設,畢竟系統是人設計的,不可能絕對完美。我就想到一種情境,既然隔離伺服器會檢查內容,如果駭客透過惡意內容利用隔離伺服器的漏洞,就能單點達成攻擊多位使用者。
第四場由Dragon Chang主持的專題探討專題探討(面對明日多重威脅與挑戰,企業該如何從智能情報及資安架構著手),邀請友達光電(林經理)、臺灣大哥大(陳處長)、TWCERT(陳永佳博士)、Victor Law,以一問一答方式介紹不同產業面對資安威脅的因應方式,這些建議確實值得在規劃、施作資安防禦的參考,我聽到的兩個重點(來自友達及台哥大):有多少預算做多少事;從內部培養資安人才。可想而知,安不安全,高層的支持很重要,這兩項因素都不是資安人可以決定的。
後半段分兩軌進行:Track A 駕馭資安;Track B 融合未來。我選擇Track A,共有兩個主題。
● 加強資安應變能力以抵禦未來攻擊(Andy Chow)
● 資安人力的不足?專業顧問服務團隊協助您(Ben Li)
這個兩場的論述內容不難理解,而重點在於「Symtantec能夠幫助你」,簡單說「有資安需要,找Symtantec就對了」。至於Symtantec能不能解決問題,反正廣告嘛!哪有人說自己不行的。
倒是Ben Li提到資安面對的是人、響應的也是人,與我的觀念相近。買再多設備、制定再多規則,沒有「人」,這些都是死的,只要「人」不用心,這些都無法發揮功效。很多專案在建置時,因為要驗收,廠商很用心調校,例如防火牆,第一年可以發揮很好功效,但之後,鮮有「人」仔細檢視日誌及比對規則,慢慢地,規則就過時了,只要沒有顯明的徵兆,也不會有人去看日誌,最後成了「求心安」的平安符。
可惜,老闆們都能體認「工欲善其事,必先利其器」(因為機器不會抱怨),卻不願意多給資安人員一些信任、資源及授權。我的老闆也是這般,他的中心思想就是立下「制度」,所以訂了一堆規則,以為有「規定」大家就會照著執行。然而,上有政策、下有對策,陽奉陰違者,有之;便宜行事者,有之;阿諛奉承者,有之;暗渡陳倉者,有之,規則依舊在,裁量各不同,何況多如牛毛的規定,誰記得(誰願意花時間去記?)
個人心得
制度很重要,它是路標,指引我們走對的方向。但「人」更重要(制度不也是人訂的),這裡的「人」不是隨意指派,必須要「願意做、有能力做、有時間做」,雖說三個臭皮匠勝過一個諸葛亮,我情願有兩位諸葛亮,也不想要六個臭皮匠。
踏入資安後,參加許多場研討會,大家拼命介紹產品有多神、如何防禦未知的攻擊(到現在我都還納悶,「未知」如何防?),鮮少有廠商真心告訴老闆們:你們公司需要哪些資安人才。不知道哪一天老闆才會覺醒:「人」真的很重要!
很精闢的分享。
回覆刪除感謝讚聲!
刪除