資安管理與防範駭客這件事,企業應如何看待?

資安管理與防範駭客這件事,企業應如何看待? – DEVCORE 翁浩正專訪

「說全世界的資安或許太廣,就說我們最關心的台灣中小企業好了!『防範駭客』經常是一件很飄渺、很遠的事。」 「說穿了,防範駭客這四個字對於中小企業內部工程師來說,總是感到徬徨,我們有責任幫助他們了解資安管理該從何下手。」 前述這兩件事,是從我們與 DEVCORE CEO 翁浩正(以下稱 Allen)認識以來、到近期討論訪綱都一直在談的事情,而與他及 DEVCORE 公司的認識、信任及合作,已經要追溯到好幾年前了,在這麼多年裡頭,我們一直一起為台灣企業的資安觀念奔走,舉辦了大大小小的研討會及訪談,為的就是不斷喚起企業資安管理該建立的心法。

英國保險公司權威 Lloyd’s 統計,全世界的企業因為駭客攻擊而造成的損失,每年高達四千億美金,也許這個數字如天文觀星一般,看得明瞭卻碰觸不到、感受不深,若是以知名的產業公司 Frost & Sullivan 在 2018 年 5月的研究報告來看,台灣光是 2017 年因為資安威脅就造成約新台幣 8100 億元的經濟損失,這個數字轉換成 GDP 的概念,就是佔了總值大約 5% 左右,這筆錢不僅是消失無蹤,還讓駭客食髓知味進行下一次的攻擊取財,如此一來,居住在台灣這塊島嶼上的我們,應該大多都能體會到網路攻擊對台灣企業及經濟帶來多大的衝擊。

回頭觀想約莫三年前,資訊安全話題漸長,當時似乎大家都看待為一個看得到摸不到的議題,就像每天下班坐在客廳看著晚間社會新聞卻認為這些事情不會發生在自己身上,而時間回到三年後的現今,令人欣慰的是,台灣的企業已經開始主動提出「我們要找 WAF 的 solution」、「請幫我們的網站先做弱點掃描」或「請你們來討論看看我們公司的資安管理有哪些部分需要做」,企業詢問的雖是點點到位,但,是否有針對企業資安管理建立一套全面性且長期抗戰的策略、在每一次發生資安威脅事件都能用正確的思維、循脈絡而行,這是我們 20 年來管理企業網站、主機等數位資產過程中所擔憂的。

Allen 常說:「講到企業的資安管理,其實是有一套心法的,企業必須先認知這是一件要長期且持續穩定做下去的事,而我們最重要的責任就是提醒並協助企業找出他們哪裡的防護最薄弱、需要採取甚麼樣的措施先將缺口補好,然後擬定至少三至五年的企業資安管理策略。」

我們則詢問:「但實際上,許多企業不是沒有在做,而是可能開始的地方不對或思維不對,或是急著想要一步到位而無限上綱到企業整體 BCP,擴大範圍是否反而容易造成企業及工程師對於資安管理的目標迷失與執行層面的障礙?」

Allen 表示:「我一直都覺得資安跟看病很像,這個譬喻就例如現在有很多的補品,各家都說這個吃了很補、對身體很好,但是又太多種補品,每種聽起來功效都很強,那到底要買哪一個?資安就跟這很像,但其實問題在於你如果不知道你缺什麼,你就不知道該買什麼。例如:胃不好有補胃的藥、肝不好有補肝的藥,並不會因為一個大補丸,一吃了全身都好了。所以這時候應該要先做的是健康檢查,利用現在有許多的智慧醫療檢測或工具,先清楚知道自己哪裡比較弱,先把比較弱的地方補起來;企業應該也要先盤點、知道自己缺口在哪裡,針對這個缺口擬定戰略才去決定要買什麼,而不是聽哪家廠商說這個設備或這個軟體很強很好就買,而是已經知道自己需要什麼、才買什麼,資訊安全不是一蹴可及的,就像預防醫學的概念,先找出問題採取主動式的防禦戰略,才是正確的做法。」

Allen 此一番話,也呼應了近年國際很多資安機構的研究報導,近兩年的攻擊手法,有將近八九成以上是全新的手法,因此以往被動式的資安防禦,也就是惡意資料庫中有什麼、或大家已經遇到什麼,才防什麼,已經不夠有效,必須更加主動的先面對自己的弱點,針對弱點主動防禦,不論是採買設備、採用軟體工具或雲端的安全防護服務,都必須採取主動式的防禦,事先下手為強,防微杜漸。

Allen 接著說:「因此前面說的,就是企業通常對於資訊的落差與認知的不對稱,企業內的工程師面對資安的時候,應該先了解現在的駭客都針對企業的哪些地方做攻擊、現在的惡意行為多數對企業哪些部分造成衝擊,至於要怎麼知道跟預防,除了盤點缺口以外,可以多看國內外的事件新聞或專題報導,可以詳細了解什麼樣的企業在哪個點、因為什麼原因而被駭了,重點是企業後續做了什麼措施?」

講到這裡, Allen 推薦國內整理、翻譯得不錯且詳細的報導媒體,可以直接參考 iThome,國外的資訊,則是勤於追蹤、訂閱資安新聞,或追蹤同產業的資安新聞,更能知道自己的企業遇到類似情況時能採取什麼樣的措施,而Allen 個人則是閱讀:KrebsonSecurityDARKReadingthreat postReddit,他特別提醒,此些平台的資訊量豐富龐雜,因此要找到對自己有幫助的文章,最好能先有具備較多的資安概念並花時間對文章做篩選與整理。

而面對企業在尋求資安服務時,也會面臨採用雲端服務或設備服務的選擇問題,因此我們詢問:「一般企業若已經對資安有充分的概念,需要擬定資安戰略,通常應該會同步尋找軟硬體及雲端的服務,我們一直都認知設備有極限、資料庫也有未納入的惡意特徵,你認為軟硬體工具跟雲端的服務兩者是互相效益的、抑或是現在雲端的服務已經可以完全取代設備了呢?」通常這個問題也會直接被企業對於資安投入的預算所影響。

Allen 回答:「如同前面說到的,問題是在於資訊的不對稱,思維的錯誤會影響企業編列資安預算及策略的謬誤。一般企業通常會找資安廠商一同擬定戰略,但很多資安業務是為了賣設備而賣設備,告訴企業這台幾乎什麼都能防,而設備也許可以擋很多惡意連線,但不全然能擋駭客人為的攻擊,並且設備都有明確的型號及對應的黑名單資料庫,駭客很容易繞過這個範圍來攻擊,因此,設備的防禦概念是加強資安的強度,真正該做的事,還是應該針對企業本身的缺口、漏洞修補完備,而不是買設備來擋,只治標不治本;還有另外邏輯性的謬誤,很多網站主會說我們用某套工具來對網站做掃描,但若是資料庫寫法邏輯錯誤,例如客戶 A 的個資能從外部某個點被客戶 B 看到,那工具式的掃描就絕對掃不到;再另外,就是企業一般針對主要服務,例如入口網站都已經做了不錯的防禦機制,駭客就會挑那些邊界的服務下手,因為攻擊成功機率高,繞過的技術成本低,能更輕鬆的駭進去。因此,資訊安全是必須由雲端及地面各種軟硬體工具、結合真人去做才會全面有效的,這也是為什麼我們會主打紅隊演練的原因。」

針對紅隊演練的模式 Allen 詳細說明:「紅隊演練是由我們一群具備駭客思維及技術的專家,以整個企業為單位,從攻擊者的角度盤點駭客取得核心資產的路徑及防禦缺口。建議企業從盤點軟硬體資產開始,認知弱點在哪裡,再來根據需求安排弱點掃描、滲透測試,針對有風險的地方做檢測,檢測完依照風險嚴重度高低及防護的先後順序,根據改善及修補的建議執行。最後安排真人紅隊演練盤點整個企業的全盤風險,重新評估防禦戰略及資安預算方針,擬定至少三至五年的長期戰略計畫。紅隊演練必須持續定期的做,才能幫助企業不盲目的編列資安防禦的預算,並且能清楚知道自己的弱點在哪裡、需要採購哪些軟硬體,在不斷有新的攻擊手法出現的年代,都能保有一定的防禦程度。」

 

「所以紅隊演練解決的問題,其實就是企業最根本的問題:資訊不對稱,幫助企業找出那些駭客最容易下手、所謂的邊界服務」… Cloudmax.

 

我們也請 Allen 分享:「對於台灣許多幾十年的老企業,你們在做紅隊演練時,是否有一個經驗的歸納,知道企業最常漏掉的邊界服務有哪些?我們可以藉此提醒企業客戶審視幾塊可能的弱點,選擇適合的防禦措施」,Allen 提供了幾個可以注意及審視的部份:「最常出現的屬於企業幾乎都會有的測試機環境、所謂的 Lab,還有一個很大部分是老舊卻未完全淘汰的舊系統,例如檔案備份系統、人資系統、企業員工平台等…」

 

就本次訪談的內容,其實已經剖析了『防範駭客』與『資安管理』這兩件事情的正確思維,而最後,我們也請 Allen 幫我們總結企業若要採取行動,在內部及外部應該如何開始執行呢?以及提醒我們幾個執行時須要注意的重點。

我們將重點以條列式整理於下方,期望各位讀者能前後回顧、融會貫通,並作為企業自身在面對資安及駭客時的指引:

第一:無論企業是否已開始面對資安管理這件事,都必須先有正確的思維,了解:
  • 資安不是一個單一的問題,不能用單一的做法去面對
  • 資安不是一蹴可及的,必須做好長期抗戰的準備
第二:資安管理,必須擬定至少三至五年的策略,並且堅定持續的更新防禦、調整企業體質
第三:可以藉由紅隊演練 –
  • 從盤點開始,先盤點既有風險,將新的軟硬體資產也納入盤點,釐清自身的缺口及弱點在哪裡
  • 再來檢測,針對風險檢測發生的機率及優先順序
  • 接著改善,依據檢測結果擬定戰略,尋找最適解法(對未發生的事件主動防禦、對已發生的問題根本做改善修補)
  • 長期規劃,擬定每年的資安防禦目標,紮實的做好每一步
第四:定期更新資安知識,經常性的閱讀或與同業互動都是好方法,多了解產業的資安動態與措施,增進自己面對資安事件的能力
第五:藉由累積的資安知識,用豐富的資料、證據、數據與企業內部對話,加強資安觀念、理解資安管理的原由及影響,讓資安管理的執行更順利
第六:找對廠商,一家廠商若自己本身的資安做得好、觀念正確,又能同時用彈性開放的態度,以雲端、地面、軟硬體及真人團隊資安服務來與你共同擬定真正適合你們企業的資安策略,那就是一間對的廠商
第七:將 PDCA 觀念納入,定期執行 –
  • 新舊資產的盤點
  • 重新檢測及定義風險
  • 擬定改善計畫
  • 檢視成效、調整策略

 

資安管理說回來還是需要建立一套脈絡,且每一道脈絡都必須細細處理,知其所以然,才能極大化的發揮資安的防禦效益,而每一道脈絡如何仔細處理,在專訪中深入談到的細節,我們也整理於專訪後記,希望能幫助企業獲得更加清楚的資安管理 Guideline。

 

更多詳細內容記於:資安管理與防範駭客這件事,企業應如何看待? – DEVCORE 翁浩正專訪後記

翁正浩 Allen 曾家愛 Vicki

 

受訪者簡介:

翁浩正 (Allen Own)
DEVCORE 戴夫寇爾 執行長、 台灣駭客協會 常務理事
具備多年駭客技術研究以及滲透測試經驗,擔任學術及政府單位專任講師及顧問,並熱衷於社群經營及分享。專長於網站應用程式安全、滲透測試、專業教育訓練。

歡迎轉載!請見:轉載原則。