蔡一郎的部落格

Yilang's Blogger

從 Formula 1 賽事看資訊安全關鍵技術

Published by Yi-Lang Tsai under , , on 10/06/2017 11:40:00 下午
談到「資訊安全」為何?總讓人摸不著邊際,這幾年來也慢慢的變成了顯學,從國內的高手出國比賽得獎,到國內如雨後春筍般的啟動的資安計畫,也許只代表著一件事,現在如果不瞭解資安,有可能就像沒跟上連續劇一樣,會跟朋友沒有共同的話題,不過同一場劇不同的人在看,彼此的解讀是相當不同的,有的人覺得競賽是很重要的,但有的人會覺得對企業一點幫助都沒有,有的人會覺得一堆的資安人才培育,到底是否能夠產出所謂的人才,這些其實都是未知數,從南到北,從學校到企業,許多的資安社群不斷的辦活動,吸引有志一同者共同參與,也許資安議題能夠持久不衰,不過也有可能被 AI 等新的議題所取代,未來如何發展呢?都是充滿著變數。

不過有資源投入,才會有機會開花結果,這也許會是比較共同的觀點;如果要以更容易理解的方式來談資訊安全,我想 Formula 1 賽車應該會是一個不錯的比喻,前些日子特別撥空前往新加坡,主要有兩個目的,一個是拜訪許久未見的朋友,聊聊近況,也聊聊未來,另一個就是利用一天的時間,參加今年在新加坡已經舉辦10年的F1賽事,也挑選了最後一天的決賽,特別到場體驗一下傳說中的 Formula 1,為何能夠讓人還沒進入會場,就感受到血脈噴張,就像現在的社會只要聽到跟資安有關係的,就會讓人豎起耳朵聽聽到底是什麼資安的事件或是問題,媒體在報導上只要夠大的資安事件,一樣都會被熱烈的討論個三、五天。

不過真實的網路世界,因為有太多的想像與可能,還沒發展到最後,總是可以充滿著變化,就像 F1 賽事一樣,當還沒完成賽程衝過終點線之前,什麼事都可能發生,就像今年發生在新加坡賽事的事件一樣,真的讓人跌破眼鏡,所有的專家預測,一時之間全成為空談。


每年在各地舉辦的賽事,都吸引了許多的粉絲與愛好者參加,除了享受賽車高速奔馳而過的引擎聲浪之外,也有著豐富的視覺享受,看到一輛輛賽車高速的從眼前而過,充滿無比的刺激,就像投入資安的領域中,不斷的發掘新的威脅以及找到防禦的方式一樣,就像在賽道中,每個轉彎、每次的加速都必須考量之後所需要進行的應變,基本上就跟處理資安事件一樣的,是在跟時間賽跑,一刻都不得閒。


決賽的當天,就像典型的新加坡氣候,只有雨天與晴天之別,面對隨時可能改變的氣候,必須要有萬全的準備,競賽可不會因為外在的因素而有所延遲,資安領域也是如此,當我們將服務的主機或是網站上線後,面對的就是不可知的網路世界,雖然都會建置各種各樣的防禦機制,也會依據可能發生的問題即早因應,但天總有不測風雲,這一秒鐘是大晴天,轉眼間一朵烏雲飄來,就可能下起傾盆大雨,駭客的攻擊在網路的世界是沒有邊界的,隨時可能面臨未來的攻擊。


當天候等外在的因素發生變化時,就如同資安的防禦可能因為新的資訊架構或是新的應用服務所帶來的衝擊而所改變,每個人都必須做為準備,以迎接可能隨之而來的挑戰,賽場上不同的角色各司所職,執行所負責的工作以及確保成果能夠符合預期,在賽事開始之前,場地中的引導人員,一貫進入賽道,為即將到來的賽事進行準備,資安的規劃也是如何,必須精確的針對組織或是所保護的範圍,進行妥善的規劃,並依據提供的服務與需求,設計符合的資安政策以及建置適當的防禦機制,以確保所實施的手法能夠發揮預期的成效,而事前的預測與規劃,卻往往是許多人所忽略的。



因為天氣一下子由晴天變成了雨天,賽車上的輪胎當然得馬上進行更換,以符合當下的環境,為了確保最佳的表現,甚至輪胎還得保溫,以求上場時的最佳狀況,減少暖胎的時間,資安的問題就如同氣候的轉變,可能因為作業系統或是應用軟體出現的漏洞,甚至是零時差的弱點,這些對於在線上服務的網路服務而言,都是需要立即進行應變的挑戰,除了掌握新的風險所帶來的影響之外,從資安管理的層面來看,也必須因為新型態的攻擊威脅,立即進行資安政策的調整,透過符合現況的防禦規則,建立一道能夠發揮作用的資安長城。


每輛賽車上場前,都需要許多工程師各司所職的進行檢查與調整,以確保上戰場時能夠發揮效用,資安設備五花八門,從典型的防火牆、入侵偵測系統、郵件閘道到近來因為新興威脅所發展的情資分析以及APT偵測的解決方式,希望透過每個裝置能夠發揮所長,進行全方位的防禦。



在 F1 決賽登場前,先來一場保時捷的房車賽,因為大多是同款式的車型,考驗的就是對於房車本身的性能調整以及車手的技術,一台好車還得配上一個能夠掌握狀況的駕駛,資安設備的維護也是如此,許多人在採購了資安的設備之後,就以為使用「預設值」就能夠確保資訊的安全,但是別忘了「預設值」只是通則,原廠所提供的參數,必須進行調校才能夠符合建置的環境需求,就像賽車必須配合不同的天候、路況以及車手個人的駕駛習慣,甚至融合了車手個人擅長的技巧等,都能夠讓結果大不相同。



大型的活動在步調的設計上,總是有焦點也會有陪襯的角色,在房車賽之後接著登場的是古董車的活動,每輛車上都有安排一些名人或是演員,可惜我沒認識幾個,只能在旁看熱鬧,看著旁邊的人熱烈的揮手。


正式上場前的氣氛,總是令人充滿著一種既期待又怕受傷害的心情,從整個車隊的人忙裏忙外就不難發現,事前的準備工作再如何的完整,總是得不斷的想想是否有未檢查到的,因為外在天候的改變,所有的應變方式是否到位了,一而再,再而三的進行確認再確認,資安防禦的準備,正是如此,當企業買了一大堆的資安設備以及導入了許許多多的資安解決方案,不外乎希望這些準備,可以降低所遭受到的資安危害,每個人都在準備,但是絕沒有人說個準,到底這些事前的準備工作,是否真正的能夠發揮作用。



「賽道開放參觀」可以讓我們更容易近距離的觀察這些賽車,以及不同的車隊間進行的維護作業,一切都只期待著即將準行的賽事,能夠精彩可期,有時候為了更瞭解企業的資安狀況,往往可以利用「弱點掃瞄」以及「滲透測試」的手法進行檢測,以瞭解真實的資安風險;此時在場邊車隊維護區的準備工作,卻仍然未停歇,企業內的資安團隊就像是確保車隊能夠順利上場的技術人員,當面對外在資安威脅的改變,必須能夠儘快的進行應變,以及決定如何設計資安的偵測規則,才能阻擋外來的威脅。



主角依序上場,工作人員陸續將賽車推至定位,而目前的序位則是由前幾場的計時賽而來,成績最好的就排在最前面,每輛 F1 賽車車上的感測器相當得多,每個關鍵的元件都負責收集即時的資訊,然後送回管理平台進行分析,真的是大數據分析的最佳實踐,管理平台就像是資安的SIEM平台一樣,負責收集來自不同的資安設備或是系統的日誌,並且從其中找可能影響企業營運的證據,反觀一輛賽車上所部署的元件何其多,但是仔細一想,這個是否正是目前熱門的「物聯網」應用之一呢?也正是大數據分析最佳的應用案例。



最後的準備階段,正是考核作業流程的最佳案子,透過不同的工作人員手上的查檢表,必須在起跑前的有限時間,快速的進行最後一次的確認,如果一有不符合的項目,必須立即的進行矯正,並且必須是有效的措施,將發現的問題排除,否則勢必影響後續的賽事;資訊安全管理系統ISMS的精神正是如此,在國內許多的企業都已經導入了ISO 27001資訊安全管理系統,透過稽核員針對企業進行查檢,利用所發現的資訊進行資安風險的評估,以確定所實施的管理制度是有效的,以確保企業持續營運,一旦在稽核的過程發現不符合的事項,就必須進行矯正與預防的措施,避免因為存在的風險而影響資訊安全的管理。



持續的改善,就如果PCDA的流程一樣,必須一再的確認所進行的處理流程的順暢,以及處理的流程能夠達到預期的效果,並且不斷利用檢查的程序,發現可能之前沒有發現的問題,並加以改善。



員工是企業最重要的資產,因為只有員工才能夠讓企業持續的營運,因此對於企業的營運管理而言,如何讓人才發揮最大的效益,創造一個雙贏的成果,是許多企業不斷追求的目標,只是這樣的企業畢竟少之又少,目前的看到的現場都是存在勞方與資方的對立,行政部門與研發部門的格格不入,企業無法留住人心,就開始設計一大堆的管理辦法,希望能夠讓管理更能掌握,殊不知這是反其道而行的作法;賽場上正是真實企業的縮寫,賽車就像企業一樣,許多人為它付出心力,共同推動著前進,以取得領先的地位。



複雜的環境,考驗的是團隊的默契,團隊的領導人必須清楚的知道是否已經準備好,能夠隨時的派上用場,將平時所累積的能量,在最關鍵的時候爆發出來,取得領先的地位;資安的發展正是一個複雜的環境,可能需要同時熟悉作業系統、應用軟體、網路架構、數位鑑識等等不同領域知識,這絕非一個人可以做到的,而是需要靠一整個團隊才能夠完成,在資安界最不缺的就是「英雄主義」,沒有人能夠掌握所有的知識與技能,一個團隊才是共同前進的能量。


天有不測風雲,外在環境可能隨時所有改變,一下子大雨來了,必須選擇是否啟動應變的機制,此時不同的車隊的選擇就有所不同,有的開始動用工作人員開始架設遮雨棚,以利賽前的檢測工作能夠繼續進行,有的就選擇不理會它,繼續後續的工作,而應變的時間就有差異了,這都取決於是否能夠果斷的做下決定,就像資安風險一樣,當發生的資安事件時,在嚴重的等級上是有差異的,是否要啟動業務持續營運的應變計畫,就有賴管理階層進行決策,有的快,有的慢,有的觀望,有的果斷。


實施的方案各有巧妙不同,重點是否能夠有效,或是多久的時間可以達成目標與滿足需求,當我們選擇進行資安的防禦時,不同的選擇不代表好與不好,關鍵在於有限資源的前提下,並且能夠滿足需求的最佳選項為何,這點卻是重要的事。


持續不斷的營運,對於 F1 賽前的準備,或是企業的營運而言,都是最關鍵的事,時間不會因為某人或某事而停止,只是我們需要在不同的時間點做下最好的決定。


現場人山人海,都在觀察著每個車隊,每輛賽車的準備工作,不同的車隊所使用的方法不盡相同,在於不同的方式,都有其一套運作的理論。


觀看 F1 賽車,最令人關注的場景,除了賽道上的刺激外,另外在維修區的超快速換輪胎,更是令人期待的畫面,不過能夠達到高手級的水準,看來需要經常的練習與精細的分工。


終於準備上場了,起跑前的一刻吸引了所有人的焦點,看著賽道上準備起跑的 F1 賽車,一場精彩的賽事即可展開,一時之間所有過往辛苦的成果,都將在這一刻展現,不斷的進行事前的準備,為的就是不希望發生個萬一。


今年的 F1 決賽,第一圈的暖身之後,正式開始不到幾秒鐘的時間,就發生了嚴重的擦撞與追撞,一下子就撞掉了前三名最有希望奪冠的選手,真的是大爆冷門,現場不時的驚嘆聲此起彼落,大家都在討論的,正是剛剛到底發生了什麼事,一下子風雨變色;資安的威脅與挑戰正是如此,絕對不存在百分百安全的系統與環境,駭客的攻擊來自於技術的演進以及天時地利,剛好發現了什麼,就可能造成了嚴重的影響,從國內幾個大型的資安事件來看,不管是政府單位、金融界或是高科技產業也好,萬全的準備只能確保當事件發生時,能夠快速的應變,絕不是投入了一大堆的資安資源,就能夠保證不會發生資安事件。


當出事的車隊暗淡的回到維修區時,粉絲們仍然不捨的持續在旁,繼續的給予支持與鼓勵;每個企業都可能成為資安事件的受駭者,當我們有能力提供協助時,適時的伸出援手是相當重要的,就像平時處理學術網路上的資安事件一樣,儘量的提供更多的證據,以協助處理事件的第一線老師或是技術人員,能夠更容易的找到關鍵的問題所在。


每場賽事總有幾家歡樂幾家愁,不過別忘了給贏家喝彩,也給輸家鼓勵,在目前人際關係逐漸被社群網路所取代的時代中,這點尤其重要,只要有心人,經過經驗的累積,菜鳥也是有變成高手的一天。


此行剛好是新加坡 F1 夜間賽車的第10週年,除了完善的場地規劃之外,尤其對於賽道週遭的交通管制,雖然對於在附近生活或是上班族造成了不少的影響,例如:汽車在賽事期間,沒有事先申請就不能夠進入管制區,但是仍然無法降低這場賽事的熱烈程度。


F1 賽車是一場分工細緻的組合,從車隊的管理、大數據的分析到決策的下達,都必須考量到人、事、時、地、物的相關環境,一場突然而來的大雨,更是考驗賽車手以及支援團隊的能力,長年從事資安相關的工作,一路隨著資訊科技的發展,就必須面對不同程度的資安問題,經營一個團隊,能夠成功發展出資安的平台,或是提供有用的資安技術給有需要的人,這點比個人的成就更有價值,透過平台的服務提供或是資安教育訓練,都能夠在不同的地方種下資安的種子,總有一天,能夠有人在資安的森林中成長,有人問我為什麼走「資安」這條路,其實說穿了,就是「興趣」兩字而已。

相關報導與網站:
Formula 1