攻擊與防禦思維 II

有鑑於前一篇「攻擊與防禦思維」太過於消極，所以這邊平反一下，還是要正面思考...(丟筆...

一、「攻擊者積極，防守者消極」
1.防守士氣：這點是非常重要的。主官如何激勵士氣，為首要要務。如果沒有士氣，砸再多資安防護設備也是枉然。士氣有多重要，可以看看這個新聞，不過一般常見士氣不彰的結果，是會造成人員異動頻繁的。話說回來，不只是資安單位，整個公司的氛圍更重要，這不是多高薪水能禰補的，唯一不受影響的只有肥貓。且一旦士氣萎靡，要提升可不是短時間就可以達成的，務必多加留意。
2.內部該「一致」對駭客：很多狀況是，明明野生動物在門口拉的一坨屎，兩鄰居卻大打出手，終身不相往來。如何避免這種狀況，考驗主管們的 EQ 了。很多問題其是沒有對錯的。
3.資安未必是專責，資安至少要成為共同語言：這一點其實我也有點矛盾，到底是應該資安專責專才呢？還是要全民皆兵呢？我想了很久；應該要配合公司體質吧！我深深的覺得有時候「資安觀念就跟衛生觀念一樣，你的社區有個衛生習慣很差的人，往往整個社區烏煙瘴氣」。電腦技能目前已經成為職場必要技能了，我想資安觀念也該成為基本技能之一了。
4.培養 IT 人員的資安專才：這是持續長久的工作，也是計畫。甚至培養 IT 人員的資安第二專長，逐漸建立企業內部的資安專業人才。
5.建立資安人脈：有了技術，就該用技術出去交流了。企業的上下游、資安供應商...等，都該保持良好關係的。也可參考「我不是教你使詐」一文。

二、「木桶理論」
1.建議重新檢視網路架構開始：只要網路架構有問題，結果應該跟 IT 團隊士氣潰散差不多，甚至更糟，它可是所有架構的根基啊。
2.在端點安全無法求的安全前，全面切割內部使用者，接觸核心系統的可能；反之，如果無法與核心系統切割，哪，使用者就必須與外部切割。舉個簡單的例子，你有看過銀行行員處理金融業務的電腦可以上網嗎？可以收 E-Mail 嗎？現實問題大多是使用者過於寬鬆的電腦使用權限，IT 部門收不回來。
3.參考「資訊安全-管理、制度」系列一文。
4.ISMS 已經提很多了，積極管理、有效落實吧。

三、「風險的變遷」
1.了解自己的系統架構：這是基本的，如果對於自己使用了哪些系統平台或架構不清楚，哪...「風險 = 資產價值 + 安全威脅 + 安全弱點」該如何評估呢？很明顯，風險變化跟資產、威脅、弱點都有極大關係的，而這裡面的每一點都跟你擁有的系統有關聯。
2.資安盟友：有時資安圈都有一手的小道消息，這時你就知道「意義是三小，我只知道義氣」道理了。
3.自我研習：嗯嗯啊啊！這點大家的問題應該都是「有空再說」。這點需要有誘因的，獎勵措施往往都是最有效的方法，否則，只能單靠個人的熱血或熱情支撐吧，難道，資安工作也靠個人的熱血或熱情支撐？
4.資訊吸收與分析：訂閱資安技術消息、資安通告、駭客技術發佈...等 RSS 文章。情蒐是很重要的，主要問題在於要消化卻是不容易的。

四、「商業邏輯問題」
1.對於「B to C」及「C to C」的業者，建議應該有「防詐騙官」的角色，來協助解決各種防詐騙的技倆，並加以防治。
2.「為何有人會造成這問題」：主要還是「當初設計時沒有想到」的問題。換句話說，在架構或機制設計時，只有考慮功能面，沒有資安或防詐騙的觀念融入。
3.「誰會利用這問題」：透過「防詐騙官」的角色，可以找出已經被利用的問題，並設法加以解決，企業衍生的社會問題，得要拿出企業社會責任。
4.其他比較一般性的問題，「滲透測試」大多可以發現，前提是「好的」滲透測試。
5.我比較贊成類似「Yahoo!奇摩 Open Hack Day」的方式，也許可以僅限公司內部、或企業對企業、或企業上下游...等方式來舉辦，同時還可以提升 IT 團隊的工作士氣，也能促進跨企業 IT 人員之間的互動。這點也是我寫「滲透測試之全民公測」的起因之一。要相信一點，人人都有功夫，網路上人人都是 Hacker，這真的無關太多技術，即使「誤用(Misuse)」也一種 Hacking。

五、「未知弱點」
這點跟「風險的變遷」有頗大的關聯。
1.對於目前使用的系統，接收相關漏洞揭漏的資訊來源。
2.思考如何掌握「未知」變成「已知」的關鍵時刻：這點是許多人不敢想的，說穿了，要不就沒人發現，不然，只能比駭客還早發現，但，你有哪些作為來掌握此關鍵時刻呢？滲透測試？你一定得要想些不用成本的，或好幾種措施才行。
3.資安或 IT 圈子之間的互通有無。
4.是不是也該有點內部的舉報獎勵措施呢？花錢請人找漏洞，怎不給自己人一點機會...XD。舉辦類似「Hacking Day」的活動也不錯。
5.對使用的技術、系統、架構、平台...等，持續保持研究的態度。如果 IT 是你的核心業務支助的話，絕對不能只會開車，而不會修車...這樣是不夠的；況且，很多企業是請一個人來開車、另一個來修車的，因為你很難確實掌握車況，結果卻是一天到晚「顧馬路」。

六、「資安打手」
no comment...

七、「有發生啥事嗎」
唯有正面面對一途。

最後，提一點，企業對資安的設備(或技術)、人才、管理上，三方面的投資比重是多少？比例該多少才合理呢？我不知道，也沒有答案。我也希望有人提供資料給我參考哩！但我想，如果花在資安的設備(或技術)達八九成以上，是不合理的。