俗話說:「大軍未發,糧草先行。」在很多資訊領域中都可以找到相對應的例子,像是基礎網路線路對應到網際網路,各種程式語言對應到不同的應用系統。但是,有沒有人想過資安市場中的糧草到底是什麼?
在探討這個部分之前,我們必須先從整體資安架構說起...但是在這邊我不想細談(旁白:你在耍人嗎?),其實不是要耍人,而是從技術面來說,從終端、網路傳輸、閘道端乃至於伺服器等部位,各自有各自的架構,彼此獨立又可互相結合,硬要說誰先誰後,誰又是誰的「糧草」,其實是沒有絕對的。
資安是一項很細膩的工程,並不是如外界所想像,只要安裝軟體、架設硬體或是加入加解密功能就可以完成。這一陣子偶爾跟一些資安廠商或熟悉資安的朋友聊天,其實都感覺類似的事情:技術就擺在那邊等人用,但是卻沒有一定的驅力讓人使用。是的,資安市場其實並沒有技術上的先後順序,端看使用者的需求在那邊,每個站台都會有不一樣的設計。但共通的一點,就是非技術面上的阻礙或誤解。
一套完整的資安防禦體系,其實不僅有資安技術系統而已,就如同今年在RSA中採訪前白宮電腦安全顧問Howard Schmidt時,他認為一套好的資安防護體系應該包含「法規、教育及技術」。請注意,他將技術放在最後面!
在與其他朋友討論這點時,或多或少的都認為,法規的確是相當重要的。為什麼?因為有了法規,才表示有明確的約束力,無論是強制導入相關標準(如ISO-27001),或是建立罰則(如個資保護法、垃圾郵件管理法等),都需要由政府或立法單位制定出一套標準的遊戲規則,不然很多公司大可以皮皮的說,反正這方面又沒有規範,我幹嘛去做。
如果今天由政府單位推動相關法案,透過公單位的力量,促使所有公民營機構都可以開始正視資安問題,並藉由法規嚇阻那些意圖鑽漏洞的人,才能避免有心或無心的人有機可乘。今天看到楊瑞仁出獄,他說了一句話讓我很感慨,「如果回到過去,我還是會做!」,因為漏洞就擺在那邊,沒有規範的話,當然誰都會去做!
很多企業的導入模式都很相像,「傷過才知道痛」,要不然就是別人重傷自己趕快檢查。這種經驗法則式的導入模型已經造成很多架構上的混淆與防護上的漏洞。「頭痛醫頭,腳痛醫腳」的方式在資安防護上是很難完全成功的,因為資安防護遍及網路基礎架構、傳輸線路的安全性、伺服器的穩定與用戶端的可靠性,在這種狀況之下,因為用戶端中毒,所以趕忙開始安裝防毒,雖然可以收一時之效,但是總還有被入侵的一天。
我們不得不承認,資安教育的確是目前台灣相當薄弱的一環。台灣資訊發展的腳步相當快,而電腦普及率也達到高水準,但是去路上隨便抓個人問「你覺得相簿設定密碼就很安全嗎?」十個人大概有八個回答:「是!」。這樣也好啦,不然那些有名大站的正妹私房照怎麼會流出來。
設定密碼行為本身是正確的,關於如何破解的技術我也不談,但是重要的是「設定密碼之後呢?」我辛辛苦苦想了一個密碼,然後怕自己忘記,結果把線索寫在公開的網誌,或是提示語裡面,那任何人都可以照著相同的邏輯去推算出密碼吧!我個人就這樣嘗試破解過我朋友的相簿,當然,裡面沒私房照,想看的人很抱歉。
資安的教育並不在於教導使用者多高深的技術或學問,而是要將資安的正確觀念讓每個人牢牢記住!當每個人都有正確的資安常識與習慣之後,有心人就很難藉著各種社交工程或心理推論,獲得各項重要資訊了。別忘記一點,有多少次我們到別人座位上時,都會看到人家密碼就大剌剌的貼在桌上或螢幕邊!
OK,回到主題吧,究竟什麼是資安市場的糧草?我在這邊拍胸脯保證,打死不會是技術,技術一定要人的觀念成熟,架構穩定且正確,才有辦法完美的導入!法規?以台灣目前的立法速度,等到法規制定完成,相關攻擊可能已經演變幾百萬次了,重要的還是人的教育跟知識啊!!只要每個人心中都有一定的資安規範與常識,不法之徒自然少了很多機會跟漏洞可以鑽,那法規...就慢慢等一下好了!
沒有留言:
張貼留言