文/蘇碩鈞|2006-10-23發表


莊添發畢業於美國卡內基美隆(Carnegie Mellon University,CMU)大學資訊研究所,當時專研於資訊安全相關領域,回國後也曾加入精誠資訊擔任資安顧問,負責風險管理及弱點評估、滲透測試及無線網路安全相關產品,到現在,更負責賽門鐵克整體資安產品線,最近還寫了一本「無線網路駭客現形攻防戰」專書,談論最近很熱門的無線安全議題,他說:「寫書並不是想教導大家成為駭客,而是提醒大家要注意使用無線網路,以免成為駭客攻擊的對象。」

寫作最困難的事:建立測試環境
3年前我們見到莊添發時,他是精誠資訊的資安顧問,能言善道是對他的第一個印象,與一般印象中木訥寡言的工程師差異頗大,他喜歡與人談論,對資訊安全更有一股熱忱,而且還很喜歡寫作,無論是部落格或資訊雜誌,都可見到他撰寫的文章,他說唯有不斷與人分享知識,才能增加自己所學不足的地方,而寫書就是一種分享知識的方法。

「寫作出版的稿費不多,唯有熱忱才能完成著述」他說。除了工作外,他最喜歡寫文章描述自己的心得,只是寫書與寫一般文章不同,因為書籍具教育性質,但內容又不能太多高深理論,因此,他覺得最困難的就是如何用口語化、容易理解的方式,表達很複雜的東西,所以當初決定採用類似步驟式的方式撰寫書籍,書中不談論理論知識,全以實作討論,教導資安觀念,還能提供滲透測試人員,測試公司內部無線網路的問題。雖然之前他在精誠就負責無線網路入侵偵測產品,也經常看各種論壇討論的文章,但若要實際寫書,就必須親自建立測試環境,他說,這部分就是最困難的地方,有時1~2頁的內容,是花費半天時間的測試結果,建置測試環境比他當初想像的還要困難,而且還要收集駭客工具,特別是Windows版本,因為相關程式較少,花了許多時間才收集完全。(Unix-Like工具較多,較容易搜尋)

不斷地上臺報告,讓他更有自信心
他善於言談,知道如何有系統化表達自己的意見。前公司的同事也形容他很積極主動,例如某次老闆通知要與幾個新人面談,了解新人對公司的看法與觀感,大多數的人都以聊天的心態面對,可是他卻積極準備訪談內容,讓老闆印象深刻。也許這與他就讀卡內基美隆有關,他笑笑地說,這可不是社區大學,與卡內基訓練的黑幼龍也沒關係。在資訊科學的領域中,CMU是頂尖的學府,美國CERT就位於CMU中,很多教授也是CERT的研究人員,他還曾經參與FBI的誘補系統專案。他說,最慘的一次曾30小時不睡覺,因為馬上有2個作業要上臺報告、1個考試及繳交另外2個作業,而且教授很注重報告的品質,這也讓他日後與客戶接觸時,更有自信能表達自己的想法,或與他人討論事情。

雖然就讀研究所的過程很辛苦,但他覺得回臺灣工作後,還好有研究所的磨練,讓他能順利接手工作,因為臺灣工作時間很長,長期下來的訓練,他更能接收這類型工作模式。

既然每天花在工作的時間很多,但還是要懂得運用時間,之前任職於精誠資訊時,1年中有1/3~1/2的時間在東南亞國家,可稱為「空中飛人」,他還能利用周未假日寫「無線網路駭客現形攻防戰」書,若沒有熱忱,這本書就很難完成,加上資安事件每日都在變,資安顧問工作時間非常長,很少人還有興趣寫書。他每天睡眠時間也不長,約只有5小時多,因為他覺得睡眠只要足夠就好,其餘的時間可以處理更多事情。

周遊其他亞洲國家談資安
之前莊添發還是Foundstone Ultimate Hacking的講師,教育東南亞各國企業資訊人員的資安技巧與知識,熟知各種駭客實際技術,在擔任講師的過程中,也讓他有機會與各國資訊人員互動。我們也很有興趣他對其他國家資安的看法,他認為相較於其他東南亞國家,臺灣企業對資訊安全的認知已經很高,雖然新聞經常報導臺鐵網頁遭入侵、天幣被盜或網路病毒肆虐等資安事件,但是至少在媒體開放的情況下,不斷地報導也讓大眾有資訊安全的認知,無論是企業或個人,多少都有相關防護措施,整體環境較健全。其他東南亞國家,或許有資訊背景的人知道要防護系統安全,但大多數的民眾認知不足,整體環境不健全,就算授予知識,也只限於少數人員,很難有發揮之地,導致資安漏洞頻傳,更讓企業蒙受不白之冤。

用戶端防護重新成為企業關注焦點
在東南亞國家中,他覺得泰國及越南因為經濟成長率高,企業對資訊系統的投資比例也較高,預算也較充裕,但大多著重在資安基礎建設上,例如防火牆、閘道器等,而臺灣因為基礎建議完整,反而企業著重於資安的管理平臺,就是如何選出重要的資安記錄檔,並提供網管人員決策使用,只是基於預算考慮,大多只是有興趣而沒能力採購,若不是親自發生過安全事件,企業很難主動採購資安產品。

不過,他也說,目前臺灣企業多以閘道器端的安全防護為主,現在大家開始注意用戶端的安全管控,雖然這部分好像是很低階的工作,進入門檻不高,卻是最需要資訊部門的協助,因為只要發生問題,其原因及結果都很複雜,會消耗大量IT人力,這也是很多企業現在經常面臨的問題。文⊙蘇碩鈞


資安面臨的新抗戰

資安事件頻傳,現在企業面臨更多威脅,除了寫書、寫文章提供解決之道外,莊添發也提出5點,現在企業必須積極面對的問題,或許目前還未造成威脅,但若不正視,將造成法挽救的難題。

1.即時通訊
除非企業完全禁止使用即時通訊,否則資料洩露、病毒入侵等問題將會層出不窮,而且就算企業禁止使用,資訊媒體發達的臺灣,員工還是有辦法偷偷使用與其造成勞資雙方的困擾,企業應如制定政策規範,有效控管。

2.基於Web的應用程式
無論是自行或委外開發的Web應用程式,都必須特別注意安全問題,程式開發很難完全顧及資訊安全,因此不會有毫無安全問題的程式,企業在建置這類型網路服務時,要更注意網路架構上的問題,適時地隔離伺服器、個人電腦或其他設備,才能防堵漏洞產生。

3.稽核處理
每項資訊的存取,最好都有稽核處理,如同證據,在事後追查上很有幫助,也能提供未來改善的方向,特別在時間點的記錄上,必須仔細記錄每筆資料的儲存時間,才能比對前後的差異,找出問題產生的那一刻。

4.無線網路
無線網路的問題比有線網路更多,所有在有線網路上的攻擊,都能複製到無線網路上使用外,來源點很難追查,更讓無線網路的攻擊防不勝防。網路的防禦大多著重在事後處理上,至少有來源IP、MAC Address位址及時間可以找出原因,無線網路很難記錄正確的資料,因此要注意到這些問題,才能解決漏洞。

5.個人端資訊設備
資訊部門很難管理到每位員工所攜帶的資訊設備,有時候員工在公司以外的地方,不小心感染電腦病毒,而帶回公司散播,在資訊政策上,他是合法的使用者,能輕易通過所有檢查,而攻擊其他電腦,也許伺服器端防禦良好,不受威脅,但其他同仁的電腦卻紛紛遭攻擊,也會讓資訊人員疲於奔命處理,管理上很難完照應周全。文⊙蘇碩鈞



IT人物-莊添發
賽門鐵克資深技術顧問
●學經歷:CISSP、精誠資訊亞太區資深技術顧問、Foundstone Ultimate Hacking講師

公司檔案-賽門鐵克
●成立時間:1982年
●營業項目:協助個人與企業確保資訊安全性、可用性與完整性。總部位於美國加州Cupertino市,全球有40多個國家設有營運據點

熱門新聞

Advertisement