蔡一郎的部落格

Yilang's Blogger

當資安不再是知安?

Published by Yi-Lang Tsai under , , on 下午10:09
這幾年我們可以經常在報章媒體上看到某某企業,又發生了什麼資訊外洩或是網站遭到入侵的資安事件,時間一久許多人也就慢慢有著鴕鳥的心態,只要事不關己,這類的事件大多不會放在心上,正因為目前就是從事資安相關的研究工作,我就不免需要研究一下發生的原因,畢竟有機會能夠幫出事的單位,找到發生事件的原因,這個才是真正有幫助的,不然如果只是將系統離線,重新安裝系統,或是將以前的系統備份還原回來,都無法有效的找到如何發生該事件的原因。

因為工作的關係,經常會在網路上找尋被入侵或是遭到置換網頁的網站,這些網站不乏著名的公司、法人單位或是政府單位,尤其許多未被列入A級資安要求的政府單位,常常會發生資安的事件,事件的發生並不是意外,深究其原因則大多數是疏於管理所致,系統建置好再把網站上線之後,每天花在上面的時間就少之又少了,除非那天心血來潮,想要幫系統更新一下,不過會進行系統更新的前提,又會受限於是否會影響在上面執行的應用程式,如果會影響到目前線上的服務,我想大多數的系統管理員都會選擇先不理會需要修補或是昇級的套件。


全世界每天遭到入侵的網路攻擊往往無法計數,這並不太代表著許多系統管理人員的技術能力不佳,而是突顯系統管理員除了本身熟悉的系統管理工作之外,還需要多多研習與資訊安全有關的技術,包括了系統的安全組態,以及網路層面的安全防禦,以下是由誘捕系統上看到來自遠端密碼探測的結果,許多常見的帳號或是密碼,往往是名列前矛,都是這些自動化探測工具必測的字串組合。


知道資訊安全的問題,那就代表了擁有安全的環境嗎?這個當然不是,因為眾多的環節都出在人的身上,對於許多企業而言,投資在資訊安全防禦上的經費,絕對不會是主要的,有時候是配合其它系統的建置,有一點點的剩餘預算才會想到需要保護一下重要的資料,那建置或是部署了這些資安設備,就代表著高枕無憂嗎?這當然不是,有了基礎的環境之後,接著辛苦的工作才即將開始,以前未建置這些資安設備或是防禦的機制之前,個人稱為「鴕鳥時代」,因為沒有可以發掘潛在問題的工具,當然就不會知道那裏已經有問題,許多人就自然的將這個時代視為「什麼問題都沒有」,此時在企業內負責資安的人算是最吃力不討好的,時時需要保佑不要出事,一旦出事了就是背黑鍋的那個,同時又得面對一堆的質疑,為什麼沒有保護好,或是買了某某東西,一點用處也沒有等等。

那知道這些安全的問題,就一定需要有配套的解法或是建置相關的防禦設備嗎?這些許多人常問的問題,企業形象其實是有價的,誰也不想在出事時臉上無光,以下提供一個簡單的評估方法,如果自己的網站沒什麼流量,也代表的來訪的人並不多,因此在建置防禦的設備上,也許可以放在後面的順位,但是如果企業對外提供服務的網站,每天的訪客人數是相當多的,投資在資安防禦上的經費,當然就得增加了,以降低發生問題的機率,有了一個參考的價值,那投入的預算就等於評估的價值乘以10,應該就有能夠做到80分的把握了。




檔案或是機敏資料的外洩,也是目前主要的資訊安全問題之一,許多事件的發生,都與資訊的外洩有關,雖然台灣已有個人資料保護法,可以提醒業者需要做好資料保護這件事,但是從發佈到現在,真的把它當回事的企業並不多見,以幾年從事資訊安全事件調查與惡意程式分析的經驗得知,目前大多數的惡意程式都有能力將使用者端的資訊往外傳遞而不被發現,因此只要使用資訊設備處理資料,就有機會被竊取或是遭到破壞。

善用Google Search,我們不難在網站上就能夠找到一些有問題的網站,或是資料外洩的網站,這些網站理論上一定有管理人員,但是不一定能夠知道這些資訊安全的問題,當然也就認為網站沒有什麼問題,這也是有時候發資安通報給對方,對方二話不說就直接回應「誤報」,殊不知回應「誤報」代表著自己能力的有限與對於資安威脅的無知,再者資安事件還得分上、下班,殊不知所謂的下班時間正是駭客活動最熱絡的時間,但是這些協助處理資安事件的人卻不想這些事來打擾他的休閒假期。

最近跟國際上的一些資安組織聯絡較為活躍,也因此認識了許多的資安專家,與這些專家互動的過程中,帶給自己相當多的省思,許多看似神奇的結果,其實是自己本身學藝不精,無法瞭解其中的關鍵技術,而無法掌握這些技術的核心,當然做起事來就無法像他們做的如此好,不過持續交流與學習的過程中,在「資訊安全」這個領域,可稱得上是最重要的精神,因為我們不知道下一個受害者在那,只能在有限的資訊中,避免這些事件的發生,或是當事件發生時,能夠快速的進行應變與處置。