原标题:如何扮演一个称职的企业资安人员
台湾vArmour安连网路资安技术顾问徐千洋表示,企业应该要避免IT人员兼任资安任务,避免球员兼裁判,反而会掩饰企业面临的资安风险。
图片来源:iThome
如果,公司前几天刚发布的App,出现一直出现连不上App伺服器的情况,IT部门认为,这一切都是骇客攻击造成的,但是经过资安部门的调查,这其实是开发部门程式没写好,造成App一直连不上伺服器。
如果,你是这间公司负责调查的资安人员,你该怎幺办?说实话,此后开发部门的主管就会跟你势不两立?不说实话,可能维持同事之间的情谊,但也怕类似的事情无法真正解决,会一而再、再而三地重複发生。你的选择是什幺呢?
台湾骇客年会(HITCON)创办人徐千洋,不只自己开过资安公司网骇科技,也曾经在台湾大哥大电信公司担任资安部门主管,现在则在台湾vArmour安连网路担任资安技术顾问。因此,不论是在资安公司、企业内部,甚至是外商资安公司对于资安事件的处理流程他都很清楚,他认为,怎幺把事情解决又不得罪同事,才是解决事情的最高境界。
避免IT人员兼资安,好的沟通技巧有助解决资安问题
徐千洋表示,现在企业最常看见的情况就是,IT人员也同时要兼办资安业务,毕竟,不是每间公司都有能力聘僱这幺多不同职能的IT人员,而且对许多公司主管而言,反正,IT工程师也懂所谓资安工程师懂的知识和技能,既然懂得都差不多,「不管黑猫白猫,只要会抓老鼠的就是好猫。」
这样的员工职能配置,看起来合理,但是,徐千洋坦言,一旦企业内部发生任何资安事件时,公司如何能奢求,同时兼任资安工程师的IT人员,可以真正找出企业资安事件的根因呢?因为,说不定,造成资安事件的原因,就是因为IT人员工作上某个疏忽造成的。遇到这种角色冲突时,他认为,企业该如何「避免球员兼裁判」,好好拿捏彼此之间的分寸,其实是很大的挑战。
因此,徐千洋建议,不论是不是IT兼任资安工程师,都应该要尊重「资安」这个专业的角色,而资安工程师也应该对自己的工作负责。所谓的负责,除了兵来将挡、水来土掩外,更重要的是,要具备健康的心态、良好的沟通能力以及到位的技术。
他进一步解释,资安工程师的心态很重要,因为这应该是一个对事不对人的工作,面对资安事件的发生,必须要能够承担且不把责任委外,面对各种风险与挑战,也必须要能勇于面对改变、进而挑战原有的规则,如果所提的改善建议都无法被接受时,也有随时可以离开的心理準备时,就可以比较严肃的对事、以真的面对企业面临的资安风险。
「好的沟通技巧,也有助于资安工程师好好解决企业内的资安问题。」徐千洋指出,为了降低沟通不利带来的冲突,永远要记得先称讚、说好话,再设法寻找双方对话时的共通点,只要沟通的出发点不是要你死我活,而是双方都能活的双赢局面时,这样的沟通就会是有效的。但是,他也提醒,有很多时候,仍有很多异想不到的意外,永远都有备案(Plan B)时,事情就可以比较容易解决。
最后,资安威胁变化快,技术演进也相对快,徐千洋认为,所有的资安工程师都应该学习如何在有限的时间学习新知识,而资讯安全是一门非常强调实作、Hands On的技能,永远要记得动脑、动手,远远不要只动口、不动手,毕竟对企业而言,攻击和防御缺一不可,只有实作才会知道问题所在。
全面盘点企业资安漏洞,避免单点式的解决资安问题
要帮企业做好资安防护,徐千洋认为,一定要先检视企业内部的资安状态,再评估整体威胁程度,阻挡可疑的连线、分析恶意程式,最后就是要强化企业内部的资安防护。
举例而言,他建议,资安工程师一定要时时关注资安新闻与弱点,然后才进一步评估这些风险对企业环境带来的风险和威胁有多高,确定这些漏洞的修补计画,如果是零时差漏洞,在原厂还没有释出漏洞修补程式时的空窗期,企业内是否有其他的防御措施,最后,一定要追蹤结果并且重新检视整个企业内部的整体防护能力才行。
像是编号CVE-2012-0394的漏洞是一个Apache网站开发时,一个DebuggingInterceptor元件中的漏洞,当开发工程师使用开发模式时,骇客可以利用这个漏洞远端执行任命令列与程式。
徐千洋说,当确认有这个漏洞通报发布后,企业内的资安团队就得先测试,内户是否有使用Apache Struts 2,确定有的话,就得先通知IT相关部门,确认漏洞修补的时程,也必须同时在Snort IDS(入侵侦测防御系统)中,先建立防御的规则,再汇入相关的网站设备中做防护。最后,必须要从公司既有的SIEM系统中,分析是否有因为这个漏洞遭到攻击,如果有的话,就必须重新制定新的防护计画。
面对各种资安事件发生时,徐千洋提醒,问题不在把其他犯错的部门或人员捉出来扛责任,而是真正找到问题的癥结,用各种方式解决问题。例如,今天App伺服器无法顺利连线,如果追查原因,直接点出是开发工程师程式写不好造成连线的问题,其实对于改善问题帮助并不大,App开发工程师如果双手一摊就离职了,程式没写好造成的攻击问题不仅没有解决,说不定还会让接手的工程师,必须要花更多的时间去找原本的问题在哪里。「所以,解决问题比找出怪罪对象更重要。」他说。
面对企业各种可能造成问题的资安环节有待解决,但是,资安部门所需的相关资源,往往很难一步到位。徐千洋认为,如果企业为了要解决眼前的资安问题,而决定投入一笔资源补足相关的漏洞时,资安部门应该要认知到,这种「治标式」的资安问题解决方式,对于提升企业整体资安防护水準的帮助并不大。他建议,如果有机会以退为进,把各种零碎分散的资源统整后,再一次把企业的资安漏洞补起来,带来的效益其实才会立即可见。
历经各种公司的资安角色,徐千洋表示,资安人员应该要经常性的、全方位的检视企业面临的资安风险,要能根据公司环境、检视各项攻击和威胁,并评估降低风险的办法,才能算得上是称职的资安人员。
而面对各种IT应用环境的快速变化,徐千洋也提醒,接下来的资安人员也必须要持续关注,像是Container技术所带来的安全性问题;以及要能够透过分析企业的Log日誌,找出问题所在;当然,每个使用者的端点安全不可忽略;更重要的是,他认为,企业的资安人员应该要改变对白帽骇客的态度,支持漏洞揭露的政策,让企业内的系统可以更安全。
相关报导请参考「2016 全台最大规模资安盛会直击」
相关:
法国巴黎PV展 深圳天竹又双叒来了
“时尚辅料的世界之巅”——法国巴黎第一视觉面料展(简称为PV展)即将于9月13日-15日如期而至。占据着时尚金字塔顶尖部分的PV展,其在业界内的权威性不
▲台经院公布7月营业气候测验点结果,制造业止跌回升,营建业为连续第5个月上扬,服务业呈现连续2个月下滑。经济部今日表示,政务次长沈荣津率团前往秘鲁首都利马,出席今日召开的第23届APEC中小企业部长会议,与各
鞋服企业洗牌期未结束 晋江运动品牌喜得龙破产重组
2002年,它曾花巨资邀请巨星郭富城作为品牌代言人,同时全面进军休闲服装市场。2009年,它成功在美国纳斯达克上市。
不过,这样一个一度风光无限
大嫁风尚小崔扮演者尹俊资料电视剧作品介绍 [非常娱乐] 大嫁风尚小崔是一个娘娘腔化妆师。剧中,夏燃误以为金志豪和小崔是搞基的关系,塞起耳塞,让他们该干什么干什么,金志豪以不接小崔的号为由威胁小崔赶紧离开
徐娇COS猫咪嘟嘴咬唇搜狐娱乐讯 (Eric/文)9月8日下午,徐娇在微博上分享了一组自己COS猫咪的照片,照片里的她嘟嘴卖萌,可爱极了,让人忍不住想要抱走这只...徐娇COS猫咪嘟嘴咬唇搜狐娱乐讯 (Eric/文)9月8日下午,徐娇在微