HITCON創辦人徐千洋

圖片來源: 

iThome

在資安大會中,固然探討威脅趨勢相當重要,但對於一個資訊人員來說,他們也必須依據自己的知識與經驗,為公司評估並選擇合用的資安產品。本屆(2017年)資安大會中,HITCON創辦人徐千洋特別針對選購技巧,提出心法與原則,供與會資訊人員評估時更能找到適合的產品。

徐千洋以唐三藏愛徒蓋房子的故事舉例,說明擁有好的資安設備,就如同以鋼筋水泥打造的房屋,能夠抵擋鐵扇公主的攻擊。然而,真正的問題在於,什麼樣的設備,對於企業才是有效的防護措施呢?

徐千洋以自己對於RSA Conference攤位的觀察,發現國外廠商大談人工智慧,講求在大量資訊中,盡可能即時找出威脅(以前面的故事的例子來比喻,就像是能多快將水泥房子蓋起來);另一個最近興起的則是欺敵(Deception)技術,他指出,專門針對欺敵技術提出解決方案的新創公司,從去年底到今年初開始陸續出現。因此,在防線退縮後,對於資訊人員來說,結果就是現有的前端防禦機制已經難以擋得住駭客,但必須縮短駭客在企業內部活動的時間,並快速找出來。

為了因應近年來的防線退縮到端點,快速找到威脅演變成首當其衝的議題,徐千洋認為,當代的資安產品應該講求機器學習、可視性,以及與其他廠牌產品的整合能力,才能在海量的事件記錄之中,發現疑似攻擊事件徵兆。(圖片來源/徐千洋)

符合時代潮流的3大產品趨勢:機器學習、可視性、高度整合

由於防線大幅退縮到端點電腦,因此徐千洋認為,當代的資安產品應該具備下列3種能力:

機器學習:主要目的是解決人力不足因應的問題

可視性:以協助企業快速發現攻擊

高度整合:企業內不同廠牌的產品,必須異質整合,才能描繪出潛在的威脅

雖然,順著趨勢走,其目的是為了避免買到過時的產品。不過,若是要買到真正符合企業需求的解決方案, 徐千洋認為從採買過程的事前、事中與事後,都有需要留意的地方,包含事前對於產品的評估與挑選、事中的廠商登門介紹和概念性驗證(POC),乃至於最後決定購買下單之前,資訊人員都有應該要注意的要點。

資訊人員應主動了解產品,不能只被動聽信廠商提供的資訊

徐千洋認為,想要知道產品是否符合企業自身需求,不能只光靠廠商的介紹。事實上,資訊人員還可化被動為主動,從有關原廠的公司資訊、產品社群實際使用經驗,以及咨詢專家的意見進一步「做功課」。

透過對原廠的公司背景了解,或許可確認廠商提到產品技術的真實性。廠商往往會提到產品具備特殊的技術而得獎,但光是依據廠商的片面之詞,我們難以驗證,廠商會不會因為要賣產品,而刻意宣稱有相關技術?尤其是沒有聽過的公司,最好上網查一下相關背景,它成立的時間、有多少的資金、由誰投資、員工人數,而人力需求上,所開出職缺內容,都是能夠間接評估的依據。

針對採用機器學習的技術解決方案,徐千洋以自己對會場中很感興趣的某家公司為例,在離開攤位後,他便去搜尋這間公司的相關資料:這是SoftBank近年來大力投資的公司,在2014年剛成立,而它所招募的職缺也與機器學習有關,從這些資料來看,這家公司應確實擁有機器學習的技術背景。

另一方面,對於我們列入購買名單中的產品,若是與已使用的用戶進行了解,可最直接獲取產品的優缺點。

徐千洋認為,要與已經採用產品的使用者接觸,有2種方法,一種是在像資安大會的場合中,與之結交朋友,另一種就是在產品的社群中交流。

再者,有些產品的功能重疊性很高,資訊人員也許難以自行判斷,若是透過專家,可以釐清盲點。此外,若是由主管信任的專家背書,日後對於向主管報告採購的需求,也會有所幫助。

產品的代表性客戶資訊與概念性驗證結果,也可能帶來盲點

但在勤做功課之外,徐千洋也提醒要當心2種廠商銷售的招術,分別是代表性客戶與POC。由於這些廠商行銷常用的方法,很容易影響資訊人員的判斷,因此特別提出這些現象。

為了表示自己的產品相當受歡迎,廠商喜歡列出代表性客戶,這些雖然有一定的參考性,但並非絕對。徐千洋說,同家公司的營業單位與研發單位,採用產品的目的不盡相同。例如,廠商在代表客戶案例當中,列出中華電信與中華電信研究所,代表的意義可能不一樣。

對於廠商而言,或許會認為進入了POC階段,就有機會增加銷售。不過,徐千洋認為,POC很有可能造成資訊人員在選購的盲點。徐千洋舉例,也許我們已經選中了某個產品,然後正在進行POC時,若這個時候第二個廠商要求一起測試時,假如今天發生一個資安問題,只有第二款產品出現警示,便很可能讓我們誤以為這款產品比原先決定的要來得好。然而,POC畢竟不是實際上線,部分情境的主導權和控制因素,可能都還在廠商手上,因此資訊人員也不能當作唯一指標。

採購前,先自問3件事:需求迫切性、人員配合意願、工作量影響

其實,徐千洋說,採購最重要的心法,就是資訊人員需不斷問自己3件事。分別是需求迫切性、其他人員配合意願,以及新產品造成工作量的變化。

由於資安的需求只有資訊人員才最了解,因此,我們必須先問自己,這款產品是否是企業當下最迫切需要的?不要因為廠商推銷,或是市場趨勢就購買。徐千洋說,如果申請採買某款產品2年後經費都還沒下來,這個時候卻發現沒買好像也還好,那這個很可能就不是真正企業的需求。

再者,導入資安設備,很有可能需要其他部門人員配合,例如主管或是稽核單位等。如果這些人沒辦法配合,資訊人員很可能搞得自己吃力不討好。

同時,資訊人員必須評估,新設備究竟能夠減少那些工作?徐千洋說,有些產品可能會導致資訊人員的工作量大幅增加,例如產品的UI設計不良,當資訊人員要找問題時,很可能翻遍管理介面都找不到,導致需要額外加班找出異常的記錄。因此在採買設備時,必須把這些可能的情況納入考量。

總之,資訊人員是第一線為公司挑選設備的人,雖然提出需求之後,後續還要經過主管核可與採購程序,但是,也只有資訊人員最清楚必須採買那些資安設備,自己必須進行把關,甚至要想辦法說服主管(例如前述透過主管信任的專家協助)。因此,資訊人員在整個採買決策過程中,事實上扮演了舉足輕重的角色,因此,建立一套選購資安產品的技巧,對於資訊人員自身來說,也是極為重要的基礎能力。

 

 小心各種促銷手法背後隱藏的陷阱 

還有一種資訊人員很可能會遇到的情況,那就是廠商使用美人計,派出正妹業務。在資安大會的演講中,徐千洋說,這是凡人難以招架的手法,並引用了電影《倚天屠龍記之魔教教主》裡,張無忌的母親在臨終前告誡張無忌「愈漂亮的女人愈會騙人」,引來全場聽眾哄堂大笑。

徐千洋認為,如果一個廠商每次派來拜訪業務的都是正妹,資安人員應該特別留心,也許背後極有可能隱藏了產品滯銷一類的問題。但我們認為,不只是美女攻勢,有時候資訊人員對於熟悉的業務過於放心,也很可能會忽略檢視業務推銷的產品,是否符合公司真正的需求。

 相關報導 2017臺灣資安大會直擊(下)


Advertisement

更多 iThome相關內容