擺脫安全的貧富差距

| | | | | | 留下回應

    

面對真相、對症下藥

後威脅攻擊時代中，面臨攻擊手法多變，犯罪者由外轉內，如何強化安全防禦--以擺脫M型現象--已成為企業安全人員的最大挑戰。就像強健體魄一樣，你必須先了解自己的身體，再選用適合自己的方法。

首先，認清「真實的」安全真相是當務之急；了解現狀固然相當殘酷，但是卻是調整體質強健的第一且最重要的步驟。過往管理者過於信任與重視各種片面的安全訊息，訴諸文字、且流於形式的管理規章與流程，卻忽略了安全的真相近在咫尺，隱藏在穿越層層防禦的內部流量中。完整且不經任何加工地重建與視覺化隱身於這些流量中點點滴滴的證據，將有助於安全真相的還原。

其次為認清一個事實，即安全方案與機制沒有所謂的照表操課保證成功的公式。我碰過很多管理者，他們對於安全並沒有具體的想法，因此他們引進安全設備時，往往僅要求基本功能與報表使用，甚至有的安全設定還要「比照某某知名公司辦理」。這些企業會發現，平平同一種設定，可是資料外洩依然層出不窮。原因何在？

事實上，即便是一樣的網路架構、設備與應用程式，但終端使用者不同，行為模式不同就會產生迥異的安全問題，這就是為什麼在他人企業中執行的安全政策與機制卻並沒有保證在自家執行成功的主要原因。對現實狀況了解不足，將造成資訊安全工作愈做成效愈低，花錢到頭來只落得「做心安」與「形式化」而已。

現實生活中，除了架構對外的防禦機制外，企業更應擴大網路安全防禦的縱深。在前端，過去個人電腦的防禦僅僅止於病毒防護與修正程式派送，事實上，強化各個終端抵抗深度攻擊的能力，像是安裝反間諜程式，適當攔阻與管控威脅的發生，也有助於避免災情擴大。在後端，則強化內部存取控制、制訂以角色為基礎（role-based）的身分辨識機制，同時對於內部所有流量的紀錄追蹤與行為分析，以便攔阻隱藏在表面下的攻擊行為，那也是唯一可以在事件大規模擴散前，辨別未知攻擊行為或是有心人士內部攻擊/竊取洩密，甚至制敵機先的有效解決途徑。

結語

安全兩極化M型現象談的不只是預測模型，更是管理者即將面臨的威脅、以及技術正將遇到的考驗與挑戰。筆者認為，一味宣傳簡化管理、強調外部駭客攻擊，只講了資訊安全威脅一半的故事；另一半，甚至更大部份的威脅是來自自己人，而企業也不應盲目以為，只要取得證照就是神功護體、百毒不侵、永保安康。唯有更主動了解「真實完整--而非片面--的安全現狀」為何，並化被動反應為主動防禦，你才能盡早在安全防禦與攻擊者間無止盡的競賽迴圈中超前一步。

在大前的M型社會中，似乎中產階級掉到新貧階級是不可避免的趨勢與絕望，然而在資安的M模型中則有截然不同的狀況了，只要適當的改變要擺脫陷落的命運並非難事。