2008年11月4日 星期二

資安,攻擊容易還是防守容易

這問題應該很多人有討論,但,似乎都沒有很明確的結論。
我認為這問題很重要,企業或單位內部資訊人員每年都應該辦一場辯論賽,可以從中激發很多內部資訊問題,要提出問題才能有解決的機會。如果「解決」資安問題,都是靠可能是、應該是「某個」問題,所以去解決它,解決問題時全憑意測;認為解決後,又無法衡量問題是否已經被完全解決,或被部分解決,或者跟本沒有解決的,所以期待資安問題的再次發生,這些都是很衝突的想法。希望這裡過一些問題探討,能給大家一些省思。

攻擊容易的論點或說法:
1.漏洞太多,問題防不勝防
2.壞人太多,技術能力高超
3.該買的也買了、該做的也做了,卻一直「解決」不了問題
4.需要有錢做防禦工事
5.人力有限
6.管理階層並不重視或不知道資安所衍生的問題

防守容易的論點或說法:
1.有正確的資安觀念與心態
2.有「良好」的資安技術能力
3.團隊合作
4.管理觀念、資安防護架構完整
5.主動做資安,重點強化防禦

我的重點是,你必須思考目前您自身資安的現況,去了解為何會「攻擊容易」及「防守容易」的原因,而其中「攻擊容易」的部分就是自身資安需要加以改善的重點,這樣也可以「發掘」一些資安問題所在;「防守容易」的原因,就是目前自身資安工作上的優勢,是需要保持甚至再加強的,甚至給予一些獎勵措施的。

我的想法:
1.資安攻守是一場不公平的戰爭
戰場由你決定、地形地物也是由你安排,如果敵人可以「如入無人之境」、「來無影去無蹤」,這應該是有大問題的。如果你的優勢盡失,那就自然會處於不利局面,這是必定的;「主動」做資安才是正確觀點,再強調一次「要挖掘資安問題,而非解決資安問題」,因為都是等出事了,才會有要「解決」的方案;挖掘資安問題,才能避免資安問題的發生。
2.有錢不一定能做好資安工作
買入越多防護產品或系統,相對的會需要更多人去維護管理,就成本而言很容易把資安預算吃光光。但大多數的企業或單位,寧願買十台車,卻仍只保留一個駕駛的編制。況且有錢往往都會亂花,卻不見任何成效,這也是 IT 部門被詬病的最大要因;最後,疊層架屋的防禦架構,很容易把整體資安防禦壓垮哩。沒錢,絕對有沒錢的做法,只是要看你的使用者或管理者能不能接受它。
3.有人才是關鍵所在
把經費放在培養人才上,資安的預算將會獲得逐年減少,資安問題才能得到控制。而且,當你培養出真正資安人才後,你會發現「能用」的資安產品或軟體,是少之又少,能到「堪用」就阿彌陀佛啦,很多地方還是需要靠人與制度、管理來補足的。
4.需要建立完善的體制
目前 ISMS 是很常使用的一套機制,但,它絕對不夠,況且很多都把它當門面,大玩表面功夫、兩套制度。需要靠體制建立完整的資安團隊,這一直是管理者最大要務不是嗎?
5.管理面的充分支持
這我就不用說了吧!沒有上級的支援,只能寄望藍波 (Rambo) 在現。不過,不少單位真的是靠藍波在撐的。希望這個人不會有單點失效的問題。
6.防守比較容易,且資安會越來越好做
漏洞越來越珍貴的年代,重大的系統漏洞或 0-Day 漏洞會更不容易找,找到了價值不斐,這類漏洞不會輕易用在一般攻擊上,所以未必會用在你我身上。資安防護要有重點與技巧,尤其是社交工程術,才是未來重點中的重點。

最後,僅以本文給予資安人員一些鼓舞,資安真的沒這難做。

沒有留言: