圖片來源: 

iThome

在歷年的臺灣資安大會中,大會的各項議程多半以演講為主,在2019臺灣資安大會進行到了第3天,3月21日上午的大會Keynote有了很大的不同,包含了2場以實際現場展示為主的議程,還有頭一遭採用脫口秀形式討論的議程,而這場脫口秀,分別講出了在企業選購資安解決方案的難處,以及業者與企業溝通所面臨的現象,希望藉由這樣的各自表述,讓雙方能夠建立互信,引領臺灣的資安向前邁進。

在這場臺灣資安大會首創的脫口秀裡,由奧義智慧共同創辦人邱銘彰(Birdman)出席,代表銷售資安產品的廠商,道出業者的經驗談,而iThome資安主筆黃彥棻則代表買方,提出有關企業資安人員面臨的情況。

Keynote一開始的時候,邱銘彰向黃彥棻詢問這次臺灣資安大會的規模。黃彥棻說,本次估計至少有7千人報名,而且有20多個國家的業者和媒體與會,比起前幾屆的人數,都要來得踴躍。

邱銘彰說,在上星期參與RSA大會之後,他認為自己變強了,黃彥棻進一步詢問,究竟學到什麼,邱銘彰開玩笑說,他留意到會場裡有很多形而上的演講,但黃彥棻馬上回擊,認為這種打高空的做法,大家都聽不懂,在臺灣根本吃不開。

邱銘彰回歸正題,提到他最深刻的感受,就是今年臺灣資安大會的資安101系列分堂議程裡,許多講題都探討MITRE提出的ATT&CK資安框架,在RSA大會上,也同樣展開熱烈討論,而且已經把這套框架視為是一種標準,他發現,無論在藍隊研發產品,還是紅隊模擬演練上,都相當倚賴這套資安框架所提供的情境,因此,邱銘彰認為,現在企業必須跳脫比較資安產品的規格,而是要運用這樣的資安框架,了解自己的需求是什麼。

信任危機是資安架構最大的問題

邱銘彰說,其實我們的防火牆等資安產品中,早就有所謂的自動防禦機制,但現實是,沒有人敢開啟使用,問題就在於大家根本無從判斷,資安設備的決策是否可靠?反過來說,企業長久以來,為了確保不會出錯,倒是在這方面付出了相當高的成本,即使是時下常見的機器學習技術,資安系統往往只有提供分析結果的可靠程度百分比,這樣的輔助指標,企業還是很難確認分析結果是否符合預期。所以,資安產品分析的依據若是能對企業透明,才能讓企業信任。

在脫口秀中,邱銘彰指出,資安建立在信任的基礎上,無論是系統與使用者之間,還是企業與資安業者之間的信賴程度,都左右了資安系統所發揮的成效。

黃彥棻也認同這樣的看法,因此也表示長年以來,企業相當仰賴資安業者提供的資訊,然而,邱銘彰卻說,企業還是需要做功課,確實了解自身資安需求才行。他以自己遇到某家製造業的資安主管為例,這位資安主管從公司草創做電腦文書小妹,後來公司購置了印表機,這臺設備就交由她管理,接下來,印表機連上網路之後,這個資安主管便接下了管理內部網路的責任,隨著公司導入資安,她就掌管該公司的資安部門。而像這位主管從IT踏入資安領域,並非擁有相關技術背景的資安人員,邱銘彰表示,這類資安人士他在實務上遇到不少,溝通上便需要耗費更多的心力。

由於買方不曉得如何挑選,邱銘彰說,結果最常看到的做法,就是要求每間廠商各拿出幾個病毒,大家來比畫一番,看誰的產品偵測率比較好。而且,更雪上加霜的是,邱銘彰說,甚至他看過有些單位最後採購決定因素,竟是該廠商派出的業務小姐長得最漂亮,出乎許多參與競標業者的預期。

黃彥棻問:「可是,難道廠商就沒有需要檢討或改進的部分嗎?」

邱銘彰回道,其實,好的資安政策或是技術,也必須能讓使用者容易理解,進而信任並使用,這就是廠商的責任;相反的,一套資安系統若是太過複雜,確實會帶來難以運用的風險。他也舉出許多人認為「實體隔離就是安全」,便是因為這樣的訴求極為簡單易懂--儘管事實上這個論點是一種迷思,卻也代表技術和做法必須讓用戶理解,才能進一步贏得信任。

當然,邱銘彰重申,企業還是要了解自己的資安態勢與需求,雖然與會的資安人員努力參與各式議程,這3天來像海綿般廣泛吸收大量知識,但是相對缺乏互動,因此,他鼓勵與會者也要多逛攤位,跟廠商進行一對一的討論,能夠進一步深入了解,學到更多。

其實就這場脫口秀的討論下來,資安市場的發展,有賴企業與資安業者再精進,好的買家和好的賣家同等重要,邱銘彰說,不只是要「Work together」,更應該「Trust each other」。有了這些前提,整體臺灣資安生態圈才能一同攜手向前,同時也正好呼應了這次的大會標語「Together, We Become Stronger.」


Advertisement

更多 iThome相關內容