圖片來源: 

iThome

在資安大會中,固然探討威脅趨勢相當重要,但對於一個資訊人員來說,他們也必須依據自己的知識與經驗,為公司評估並選擇合用的資安產品。本屆(2017年)資安大會中,HITCON創辦人徐千洋特別針對選購技巧,提出心法與原則,供與會資訊人員評估時更能找到適合的產品。

徐千洋以唐三藏愛徒蓋房子的故事舉例,說明擁有好的資安設備,就如同以鋼筋水泥打造的房屋,能夠抵擋鐵扇公主的攻擊。然而,真正的問題在於,什麼樣的設備,對於企業才是有效的防護措施呢?

他以自己對於RSA Conference攤位的觀察,發現國外廠商大談人工智慧,講求在大量資訊中,儘可能即時找出威脅(以前面的故事的例子來比喻,就像是能多快將水泥房子蓋起來);另一個最近興起的則是欺敵(Deception)技術,他指出,專門針對欺敵技術提出解決方案的新創公司,從去年底到今年初開始陸續出現。因此,在防線退縮後,對於資訊人員來說,結果就是現有的前端防禦機制已經難以擋得住駭客,但必須縮短駭客在企業內部活動的時間,並快速找出來。

符合時代潮流的3大產品趨勢:機器學習、可視性、高度整合

想要買到能夠抵禦當代威脅的防護系統,從近期資安產品訴求的趨勢著手,可能會是不錯的切入點。徐千洋說,這一兩年來,勒索軟體與DDoS攻擊是當紅炸子雞,廠商似乎不太再提起前幾年的APT;此外,防守的焦點從前端拉回到端點,讓人不禁想問,難道廠商就只是為了製造話題,賣完前端的閘道和沙箱設備,再來賣一次端點電腦的解決方案嗎?事實上也不盡然。就資安局勢看來,前端的防守可能難以招架駭客的攻勢,資安產品也因此轉向,著重於在企業內部找出已遭受的攻擊,並採取對應的反制措施。

由於防線大幅退縮到端點電腦,因此徐千洋認為,當代的資安產品應該具備下列3種能力:

1.機器學習,目的是解決人力不足因應的問題

2.可視性,以協助企業快速發現攻擊

3.高度整合,企業內的不同廠牌的產品,必須異質整合,才能描繪出潛在的威脅


圖片來源:徐千洋

雖然,順著趨勢走,其目的是為了避免買到過時的產品。不過,若是要買到真正符合企業需求的解決方案, 徐千洋認為從採買過程的事前、事中與事後,都有需要留意的地方,包含事前對於產品的評估與挑選、事中的廠商登門介紹和概念性驗證(POC),乃至於最後決定購買下單之前,資訊人員都有應該要注意的要點。

資訊人員應主動了解產品,不能只被動聽信廠商提供的資訊

徐千洋認為,想要知道產品是否符合企業自身需求,不能只光靠廠商的介紹。事實上,資訊人員還可化被動為主動,從有關原廠的公司資訊、產品社群實際使用經驗,以及咨詢專家的意見進一步「做功課」。

透過對原廠的公司背景了解,或許可確認廠商提到產品技術的真實性。廠商往往會提到產品具備特殊的技術而得獎,但光是依據廠商的片面之詞,我們難以驗證,廠商會不會因為要賣產品,而刻意宣稱有相關技術?尤其是沒有聽過的公司,最好上網查一下相關背景,它成立的時間、有多少的資金、由誰投資、員工人數,而人力需求上,所開出職缺是否都是能夠間接評估的依據。

針對採用機器學習的技術解決方案,徐千洋以自己對會場中很感興趣的某家公司為例,在離開攤位後,他便去搜尋這間公司的相關資料:這是SoftBank近年來大力投資的公司,在2014年剛成立,而它所招募的職缺也與機器學習有關,從這些資料來看,這家公司應確實擁有機器學習的技術背景。

另一方面,對於我們列入購買名單中的產品,若是與已使用的用戶進行了解,可最直接獲取產品的優缺點。他認為,要與已經採用的使用者接觸,一種是在像資安大會的場合中,與之結交朋友,另一種就是在產品的社群中交流。

再者,有些產品的功能重疊性很高,資訊人員也許難以自行判斷,若是透過專家,可以釐清盲點。此外,若是由主管信任的專家背書,日後對於向主管報告採購的需求,也會有所幫助。

挑選其他產品基本通則,也適用於資安設備採買

一般來說,挑選資安產品的最基本原則,就像買車和其他產品一樣,無非選擇最知名的、功能最多,以及服務最好的。徐千洋認為,選擇最知名的產品,通常可減少購買後成為孤兒的機會。

徐千洋說,買最多功能的,並不是要全方位的解決方案,這裡指的是符合自己需求的前提下,含有最多功能的產品。縱使市面上即使有功能包山包海的解決方案,也有可能只是多花錢,甚至有的導入之後會影響其他設備的運作。資訊人員也要留意業者搭售的產品,是否符合企業的需要,雖然組合套餐可能會有優惠,但若是買了用不到,也是浪費。

後續服務理所當然是資安產品的挑選要件,畢竟,一項要長期導入使用的資安產品,就像汽車,不只需要一筆可觀的前期成本之外,通常少說也要用個3到5年。如果沒有好的服務,到頭來還是帶給資訊人員麻煩。或許徐千洋覺得,在場與會的資訊人員都相當清楚,後續服務對於資安設備的重要性,他沒有特別多做解釋。

選擇資安產品千萬別被業務手法干擾決策!

但在通則之外,徐千洋也提醒3種廠商銷售的招術,分別是代表性客戶、POC,以及業務員的問題。由於這些廠商行銷常用的方法,很容易影響資訊人員的判斷,因此特別提出這些現象。

為了表示自己的產品相當受歡迎,廠商喜歡列出代表性客戶,這些雖然有一定的參考性,但並非絕對。徐千洋說,同一家公司的營業單位與研發單位,採用的目的可能就不同。因此,廠商列出中華電信與中華電信研究所,其背後的代表意義也許會不一樣。

對於廠商而言,或許會認為進入了POC階段,就有機會增加銷售。不過,徐千洋認為,POC很有可能造成資訊人員在選購的盲點。徐千洋舉例,也許我們已經選中了某個產品,然後正在進行POC時,若這個時候第二個廠商要求一起測試時,若是今天發生一個資安問題,只有第二款產品出現警示,便很可能讓我們誤以為這款產品比原先決定的要來得好。然而,POC畢竟不是實際上線,部分情境的主導權和控制因素,可能都還在廠商手上,因此資訊人員也不能當作絕對性的唯一指標。

另外一個資訊人員會遇到的情況,那就是廠商使用美人計,派出美女業務。徐千洋說這是凡人難以招架的手法,並引用了電影《倚天屠龍記之魔教教主》裡,張無忌的母親在臨終前告誡張無忌「愈漂亮的女人愈會騙人」,引來全場哄堂大笑。徐千洋認為,如果來訪業務的都是正妹,資安人員應該特別留心,也許背後可能隱藏了產品滯銷一類的問題。但我們認為,不只是美女攻勢,有時候資訊人員對於熟悉的業務過於放心,也很可能會忽略檢視業務推銷的產品,是否符合公司真正的需求。

採購前,先問自己3件事:需求迫切性、其他人員配合意願、工作量影響

其實,徐千洋說,採購最重要的心法,就是資訊人員需問自己3件事。分別是需求迫切性、其他人員配合意願,以及新產品造成工作量的變化。

由於資安的需求只有資訊人員才最了解,因此,我們必須先問自己,這款產品是否是企業當下最迫切需要的?不要因為廠商推銷,或是市場趨勢就購買。徐千洋說,如果申請採買某款產品2年後經費都還沒下來,這個時候卻發現沒買好像也還好,那這項採購很可能就不是真正企業的需求。

再者,導入一項資安設備,很有可能需要拜託其他部門的人員配合,例如各部門主管或是稽核單位等。如果這些人沒辦法配合,資訊人員很可能搞得自己吃力不討好。

同時,資訊人員必須評估,新設備究竟能夠減少那些工作?徐千洋說,有些產品可能會導致資訊人員的工作量大幅增加,例如產品的UI設計不良,當資訊人員要找問題,很可能翻遍管理介面都找不到,導致需要額外加班找出異常的記錄。因此在採買設備時,必須把這些可能的情況納入考量。

總之,資訊人員是第一線為公司挑選設備的人,雖然提出需求之後,後續還要經過主管核可與採購程序,但是,也只有資訊人員最清楚必須採買那些資安設備,自己必須進行把關,甚至要想辦法說服主管(例如前述透過主管信任的專家協助)。因此,資訊人員在整個採買決策過程中,事實上扮演了舉足輕重的角色,建立一套選購資安產品的技巧,對於資訊人員自身來說,是極為重要的必備能力。


Advertisement

更多 iThome相關內容