2008年7月26日 星期六

低調、詭譎與資安

資安是很低調的:
進行資安防禦策略與運行,都要很低調,畢竟讓人家知道你用哪一種防毒軟體就是一個漏洞,其他資安策略與防護當然也是。所以很多人都說資安要很低調的做...漂亮!
出了事,可能網站被竄改、主機被入侵、資料外洩...很常見的資安事件,但都一定是冷處理,低調處理到主管、管理階層都完全不知道...有夠低調,低調到不行;哪你還期望企業能對資安做何管理呢?抱怨企業不重資安嗎?管理階層會主動關切嗎?...一切都走樣了對吧!
網站被竄改→哪就把竄改的做復原,主機被入侵→把惡意程式移除,資料外洩→哪就給它加密,還是DLP一下的;幾乎都是這樣處理的吧,是阿...表面上都沒問題了。但...真正的問題才開始呢?
網站被竄改→竄改原因?漏洞管道?→是否還有其他相同問題?→如何補救?如何防護?...
主機被入侵→如何發現(這很重要的)?入侵原因?入侵管道?→是否還有其他主機也被入侵?→如何查?哪裡有線索?...
資料外洩→這問題就更複雜了,沒有前面處理經驗,這題無解→無解就亂解,給它加密還是DLP一下的...
未來挑戰只會更大...

資安是很詭譎的:
外在威脅是很詭譎多變的,這是一定的,畢竟要攻其不備;有人說也造就了資安產業,講這句話的通常都是出問題才找解決方案的,講這句話的通常也是把資安產業當流行產業的,跟著流行走的人往往也是不知自己的風格與品味。
內部的威脅也是很詭譎的,每個人都說資安等同不方便,不方便卻變窒礙難行,打著資安名義進行各種所謂控管,但也不知有沒有效或管到重點。就像台灣交通,未了所謂交通安全訂出不少交通法令與規則吧!!但你我都知道,不管開車、騎車、腳踏車還是行人,根本不能完全遵守交通規則。如果是為了所謂安全,哪應要動搖國本也應該先把路面給搞平吧,20年了路也還沒平,現在連路燈都快沒了,怎會有安全呢?

我想,資安觀念與管理需要不斷成長的,技術的獲取及成長或許很容易,但觀念與管理卻沒有跟上,沒有觀念與管理配合的技術,結果大家應該很清楚。所以企業內部需要不斷討論、研究與分析,彙集內部能量然後進行測試、實作與調校,來達成預期的目的,這是很重要的。
每年全球各地都有駭客年會,其實,我一直覺得也應該有"甲方資安年會",透過經驗交流與資訊分享方式,是最快也最省資源的方式。

沒有留言: