攻擊與防禦思維 II

有鑑於前一篇「攻擊與防禦思維」太過於消極,所以這邊平反一下,還是要正面思考...(丟筆...

一、「攻擊者積極,防守者消極」
1.防守士氣:這點是非常重要的。主官如何激勵士氣,為首要要務。如果沒有士氣,砸再多資安防護設備也是枉然。士氣有多重要,可以看看這個新聞,不過一般常見士氣不彰的結果,是會造成人員異動頻繁的。話說回來,不只是資安單位,整個公司的氛圍更重要,這不是多高薪水能禰補的,唯一不受影響的只有肥貓。且一旦士氣萎靡,要提升可不是短時間就可以達成的,務必多加留意。
2.內部該「一致」對駭客:很多狀況是,明明野生動物在門口拉的一坨屎,兩鄰居卻大打出手,終身不相往來。如何避免這種狀況,考驗主管們的 EQ 了。很多問題其是沒有對錯的。
3.資安未必是專責,資安至少要成為共同語言:這一點其實我也有點矛盾,到底是應該資安專責專才呢?還是要全民皆兵呢?我想了很久;應該要配合公司體質吧!我深深的覺得有時候「資安觀念就跟衛生觀念一樣,你的社區有個衛生習慣很差的人,往往整個社區烏煙瘴氣」。電腦技能目前已經成為職場必要技能了,我想資安觀念也該成為基本技能之一了。
4.培養 IT 人員的資安專才:這是持續長久的工作,也是計畫。甚至培養 IT 人員的資安第二專長,逐漸建立企業內部的資安專業人才。
5.建立資安人脈:有了技術,就該用技術出去交流了。企業的上下游、資安供應商...等,都該保持良好關係的。也可參考「我不是教你使詐」一文。

二、「木桶理論」
1.建議重新檢視網路架構開始:只要網路架構有問題,結果應該跟 IT 團隊士氣潰散差不多,甚至更糟,它可是所有架構的根基啊。
2.在端點安全無法求的安全前,全面切割內部使用者,接觸核心系統的可能;反之,如果無法與核心系統切割,哪,使用者就必須與外部切割。舉個簡單的例子,你有看過銀行行員處理金融業務的電腦可以上網嗎?可以收 E-Mail 嗎?現實問題大多是使用者過於寬鬆的電腦使用權限,IT 部門收不回來。
3.參考「資訊安全-管理、制度」系列一文。
4.ISMS 已經提很多了,積極管理、有效落實吧。

三、「風險的變遷」
1.了解自己的系統架構:這是基本的,如果對於自己使用了哪些系統平台或架構不清楚,哪...「風險 = 資產價值 + 安全威脅 + 安全弱點」該如何評估呢?很明顯,風險變化跟資產、威脅、弱點都有極大關係的,而這裡面的每一點都跟你擁有的系統有關聯。
2.資安盟友:有時資安圈都有一手的小道消息,這時你就知道「意義是三小,我只知道義氣」道理了。
3.自我研習:嗯嗯啊啊!這點大家的問題應該都是「有空再說」。這點需要有誘因的,獎勵措施往往都是最有效的方法,否則,只能單靠個人的熱血或熱情支撐吧,難道,資安工作也靠個人的熱血或熱情支撐?
4.資訊吸收與分析:訂閱資安技術消息、資安通告、駭客技術發佈...等 RSS 文章。情蒐是很重要的,主要問題在於要消化卻是不容易的。

四、「商業邏輯問題」
1.對於「B to C」及「C to C」的業者,建議應該有「防詐騙官」的角色,來協助解決各種防詐騙的技倆,並加以防治。
2.「為何有人會造成這問題」:主要還是「當初設計時沒有想到」的問題。換句話說,在架構或機制設計時,只有考慮功能面,沒有資安或防詐騙的觀念融入。
3.「誰會利用這問題」:透過「防詐騙官」的角色,可以找出已經被利用的問題,並設法加以解決,企業衍生的社會問題,得要拿出企業社會責任。
4.其他比較一般性的問題,「滲透測試」大多可以發現,前提是「好的」滲透測試。
5.我比較贊成類似「Yahoo!奇摩 Open Hack Day」的方式,也許可以僅限公司內部、或企業對企業、或企業上下游...等方式來舉辦,同時還可以提升 IT 團隊的工作士氣,也能促進跨企業 IT 人員之間的互動。這點也是我寫「滲透測試之全民公測」的起因之一。要相信一點,人人都有功夫,網路上人人都是 Hacker,這真的無關太多技術,即使「誤用(Misuse)」也一種 Hacking。

五、「未知弱點」
這點跟「風險的變遷」有頗大的關聯。
1.對於目前使用的系統,接收相關漏洞揭漏的資訊來源。
2.思考如何掌握「未知」變成「已知」的關鍵時刻:這點是許多人不敢想的,說穿了,要不就沒人發現,不然,只能比駭客還早發現,但,你有哪些作為來掌握此關鍵時刻呢?滲透測試?你一定得要想些不用成本的,或好幾種措施才行。
3.資安或 IT 圈子之間的互通有無。
4.是不是也該有點內部的舉報獎勵措施呢?花錢請人找漏洞,怎不給自己人一點機會...XD。舉辦類似「Hacking Day」的活動也不錯。
5.對使用的技術、系統、架構、平台...等,持續保持研究的態度。如果 IT 是你的核心業務支助的話,絕對不能只會開車,而不會修車...這樣是不夠的;況且,很多企業是請一個人來開車、另一個來修車的,因為你很難確實掌握車況,結果卻是一天到晚「顧馬路」。

六、「資安打手」
no comment...

七、「有發生啥事嗎」
唯有正面面對一途。

最後,提一點,企業對資安的設備(或技術)、人才、管理上,三方面的投資比重是多少?比例該多少才合理呢?我不知道,也沒有答案。我也希望有人提供資料給我參考哩!但我想,如果花在資安的設備(或技術)達八九成以上,是不合理的。
Questo articolo è stato pubblicato in Senza categoria da Crane_Ku . Aggiungi il permalink ai segnalibri.