臺灣vArmour安連網路資安技術顧問徐千洋表示,企業應該要避免IT人員兼任資安任務,避免球員兼裁判,反而會掩飾企業面臨的資安風險。

圖片來源: 

iThome

如果,公司前幾天剛發布的App,出現一直出現連不上App伺服器的情況,IT部門認為,這一切都是駭客攻擊造成的,但是經過資安部門的調查,這其實是開發部門程式沒寫好,造成App一直連不上伺服器。

如果,你是這間公司負責調查的資安人員,你該怎麼辦?說實話,此後開發部門的主管就會跟你勢不兩立?不說實話,可能維持同事之間的情誼,但也怕類似的事情無法真正解決,會一而再、再而三地重複發生。你的選擇是什麼呢?

臺灣駭客年會(HITCON)創辦人徐千洋,不只自己開過資安公司網駭科技,也曾經在台灣大哥大電信公司擔任資安部門主管,現在則在臺灣vArmour安連網路擔任資安技術顧問。因此,不論是在資安公司、企業內部,甚至是外商資安公司對於資安事件的處理流程他都很清楚,他認為,怎麼把事情解決又不得罪同事,才是解決事情的最高境界。

避免IT人員兼資安,好的溝通技巧有助解決資安問題

徐千洋表示,現在企業最常看見的情況就是,IT人員也同時要兼辦資安業務,畢竟,不是每間公司都有能力聘僱這麼多不同職能的IT人員,而且對許多公司主管而言,反正,IT工程師也懂所謂資安工程師懂的知識和技能,既然懂得都差不多,「不管黑貓白貓,只要會抓老鼠的就是好貓。」

這樣的員工職能配置,看起來合理,但是,徐千洋坦言,一旦企業內部發生任何資安事件時,公司如何能奢求,同時兼任資安工程師的IT人員,可以真正找出企業資安事件的根因呢?因為,說不定,造成資安事件的原因,就是因為IT人員工作上某個疏忽造成的。遇到這種角色衝突時,他認為,企業該如何「避免球員兼裁判」,好好拿捏彼此之間的分寸,其實是很大的挑戰。

因此,徐千洋建議,不論是不是IT兼任資安工程師,都應該要尊重「資安」這個專業的角色,而資安工程師也應該對自己的工作負責。所謂的負責,除了兵來將擋、水來土掩外,更重要的是,要具備健康的心態、良好的溝通能力以及到位的技術。

他進一步解釋,資安工程師的心態很重要,因為這應該是一個對事不對人的工作,面對資安事件的發生,必須要能夠承擔且不把責任委外,面對各種風險與挑戰,也必須要能勇於面對改變、進而挑戰原有的規則,如果所提的改善建議都無法被接受時,也有隨時可以離開的心理準備時,就可以比較嚴肅的對事、以真的面對企業面臨的資安風險。

「好的溝通技巧,也有助於資安工程師好好解決企業內的資安問題。」徐千洋指出,為了降低溝通不利帶來的衝突,永遠要記得先稱讚、說好話,再設法尋找雙方對話時的共通點,只要溝通的出發點不是要你死我活,而是雙方都能活的雙贏局面時,這樣的溝通就會是有效的。但是,他也提醒,有很多時候,仍有很多異想不到的意外,永遠都有備案(Plan B)時,事情就可以比較容易解決。

最後,資安威脅變化快,技術演進也相對快,徐千洋認為,所有的資安工程師都應該學習如何在有限的時間學習新知識,而資訊安全是一門非常強調實作、Hands On的技能,永遠要記得動腦、動手,遠遠不要只動口、不動手,畢竟對企業而言,攻擊和防禦缺一不可,只有實作才會知道問題所在。

全面盤點企業資安漏洞,避免單點式的解決資安問題

要幫企業做好資安防護,徐千洋認為,一定要先檢視企業內部的資安狀態,再評估整體威脅程度,阻擋可疑的連線、分析惡意程式,最後就是要強化企業內部的資安防護。

舉例而言,他建議,資安工程師一定要時時關注資安新聞與弱點,然後才進一步評估這些風險對企業環境帶來的風險和威脅有多高,確定這些漏洞的修補計畫,如果是零時差漏洞,在原廠還沒有釋出漏洞修補程式時的空窗期,企業內是否有其他的防禦措施,最後,一定要追蹤結果並且重新檢視整個企業內部的整體防護能力才行。

像是編號CVE-2012-0394的漏洞是一個Apache網站開發時,一個DebuggingInterceptor元件中的漏洞,當開發工程師使用開發模式時,駭客可以利用這個漏洞遠端執行任命令列與程式。

徐千洋說,當確認有這個漏洞通報發布後,企業內的資安團隊就得先測試,內戶是否有使用Apache Struts 2,確定有的話,就得先通知IT相關部門,確認漏洞修補的時程,也必須同時在Snort IDS(入侵偵測防禦系統)中,先建立防禦的規則,再匯入相關的網站設備中做防護。最後,必須要從公司既有的SIEM系統中,分析是否有因為這個漏洞遭到攻擊,如果有的話,就必須重新制定新的防護計畫。

面對各種資安事件發生時,徐千洋提醒,問題不在把其他犯錯的部門或人員捉出來扛責任,而是真正找到問題的癥結,用各種方式解決問題。例如,今天App伺服器無法順利連線,如果追查原因,直接點出是開發工程師程式寫不好造成連線的問題,其實對於改善問題幫助並不大,App開發工程師如果雙手一攤就離職了,程式沒寫好造成的攻擊問題不僅沒有解決,說不定還會讓接手的工程師,必須要花更多的時間去找原本的問題在哪裡。「所以,解決問題比找出怪罪對象更重要。」他說。

面對企業各種可能造成問題的資安環節有待解決,但是,資安部門所需的相關資源,往往很難一步到位。徐千洋認為,如果企業為了要解決眼前的資安問題,而決定投入一筆資源補足相關的漏洞時,資安部門應該要認知到,這種「治標式」的資安問題解決方式,對於提升企業整體資安防護水準的幫助並不大。他建議,如果有機會以退為進,把各種零碎分散的資源統整後,再一次把企業的資安漏洞補起來,帶來的效益其實才會立即可見。

歷經各種公司的資安角色,徐千洋表示,資安人員應該要經常性的、全方位的檢視企業面臨的資安風險,要能根據公司環境、檢視各項攻擊和威脅,並評估降低風險的辦法,才能算得上是稱職的資安人員。

而面對各種IT應用環境的快速變化,徐千洋也提醒,接下來的資安人員也必須要持續關注,像是Container技術所帶來的安全性問題;以及要能夠透過分析企業的Log日誌,找出問題所在;當然,每個使用者的端點安全不可忽略;更重要的是,他認為,企業的資安人員應該要改變對白帽駭客的態度,支持漏洞揭露的政策,讓企業內的系統可以更安全。

相關報導請參考「2016 全臺最大規模資安盛會直擊」


Advertisement

更多 iThome相關內容