蔡一郎的部落格

Yilang's Blogger

2024年演講與授課清單

Published by Yi-Lang Tsai under , on 11/11/2024 01:25:00 下午
2024年-演講與授課清單
日期講題地點主辦單位/活動
2024/11/28打造資安人才的試鍊場台北南港漢來飯店113年度全國大專校院資訊行政主管研討會
2024/11/19雲端應用下的零信任架構芬恩特創新聚落台灣金融研訓院
2024/11/15雲端技術與安全應用國立彰化師範大學國立彰化師範大學
2024/11/14資安維運與偵測技術Virtual國立高雄餐飲大學
2024/11/6穿越挑戰迎向智慧安全之路Virtual經濟部產業發展署
2024/11/5雲端安全應用安全芬恩特創新聚落台灣金融研訓院
2024/10/23雲端應用下的零信任架構中華電信中華電信學院/中華電信113年資訊安全研討會
2024/10/18如何從弱點分析掌握資安風險國立中興大學國立中興大學
2024/10/18國際資安威脅與趨勢分析國立中興大學國立中興大學
2024/10/17現代人的必修資安指南Virtual國立臺南女子高級中學
2024/10/15AI醫療應用與資安威脅高雄市立聯合醫院高雄市立聯合醫院
2024/10/1國際雲端安全證照大解密Virtual數位發展部數位產業署/財團法人資訊工業策進會
2024/9/26從西遊記學資安的危機管理國際資訊安全人才培育與推廣協會國際資訊安全人才培育與推廣協會
2024/9/25資安維運與偵測技術Virtual國立高雄餐飲大學
2024/9/24以數據驅動資安的世代國立勤益科技大學國立勤益科技大學
2024/9/18社交工程攻擊與資料保護Virtual國立臺東大學
2024/9/11網路封包與事件解析課程中華民國資訊軟體協會中華民國資訊軟體協會
2024/9/5網路封包與事件解析課程新竹恆逸資訊中華民國資訊軟體協會
2024/8/31從國際資安組織看AI發展趨勢大同大學資安與鑑識研習營
2024/8/30應用程式開發資安實務城智科技股份有限公司城智科技股份有限公司
2024/8/28我們與駭客的距離國立竹東高級中學國立竹東高級中學
2024/8/28金融雲端化之資安防護及措施Virtual台灣金融研訓院/2024國際金融科技論壇
2024/8/27駭侵手法與資安威脅分析Virtual國立臺灣科技大學
2024/8/15駭侵手法與資安威脅分析Virtual國立臺灣科技大學
2024/8/8AI潮流下的資安發展趨勢Virtual國立高雄科技大學/AI鐵道技術應用與實例研討
2024/8/1雲端服務與個人資料安全國立政治大學電算中心國立政治大學/113年區網中心研習會
2024/7/30物聯網設備安全評估與檢測經濟部林口產業園區服務中心113年跨域產業資安教材訓練
2024/7/24網站滲透測試與漏洞修補資安暨智慧科技研發大樓財團法人資訊工業策進會
2024/7/23網路封包與事件解析課程中華民國資訊軟體協會中華民國資訊軟體協會
2024/7/20資訊安全概論、資安法規與規範資展國際財團法人資訊工業策進會
2024/7/19資安現況與未來發展趨勢台南市政府台南市政府
2024/6/27智慧工廠如何因應新型態的資安威脅集思台中新烏日會議中心經濟部產業發展署/生醫產業智慧化
2024/6/20事件調查與分析實務國立中央大學桃園區域網路中心
2024/6/19建構智慧製造對應資安解決方案三重勞工中心金屬產業智慧化通識班
2024/6/4從駭客視角看企業資訊服務安全巨鷗跨界智慧創新集團巨鷗跨界智慧創新集團
2024/5/30雲端資安人才現況與趨勢Virtual安碁學苑/CCSK雲端安全知識與認證講座
2024/5/28企業在數位時代中的資安風險Virtual資策會/被駭後的數位韌性,快速掌握企業資安韌性SOP
2024/5/23網站應用程式安全台中市政府社會局台中市政府社會局
2024/5/21解析零信任架構與未來發展趨勢永豐餘大樓工業技術研究院/科專法人資安研討會
2024/5/21建構智慧製造對應資安解決方案財團法人金屬工業研究發展中心金屬產業智慧化通識班
2024/5/17從駭客視角建立資安思維國立澎湖科技大學國立澎湖科技大學
2024/4/30企業面對新世代威脅下的資安思維Virtual資策會/多元意識課程
2024/4/10數位轉型後的資安威脅監察院監察院
2024/4/2網站應用程式安全國家災害防救科技中心國家災害防救科技中心
2024/3/28如何讓 SIEM 成為企業的資安決策中心大直典華Fortinet VIP Event
2024/3/27數位轉型下的醫療資訊安全成大醫院成大醫院
2024/3/26從OWASP看雲端時代下的API安全金融研訓院F-ISAC第一季研討會
2024/3/20建構智慧製造對應資安解決方案財團法人金屬工業研究發展中心金屬產業智慧化通識班
2024/3/12雲端技術之安全措施、方法與標準國家生技研究園區F棟人工智慧醫療器材探究培育計畫
2024/3/7如何成為資安數據魔法師國立政治大學國立政治大學資料科學系
2024/3/6資安事件調查與分析實務Virtual台灣數位安全聯盟
2024/2/212024國際資安組織新動向Virtual台灣數位安全聯盟/資安五四三
2024/2/20當IT與OT邊界消失下的資安防禦Virtual中華電信學院/物聯網資安系列課程
2024/1/20從孫子兵法談資訊安全國家文官學院菁英講堂國家文官學院
2024/1/16從孫子兵法談資訊安全JRA杰人磐石學院中華兩岸EMBA聯合會(CSU)商資E學院

企業需要的資訊安全

Published by Yi-Lang Tsai under , on 10/03/2024 03:31:00 下午

企業需要什麼樣的資安技術來保護自家的重要資產呢?長年在協助企業資安培訓時,這是一個經常被問到的問題,因為買了許許多多的資安產品後,為什麼對於防禦駭客的攻擊,卻是一點也沒有把握,也沒法有個量化的數據來證明投入的資安防禦是有效的,也許有人會說這些資安設備每天產生的告警資訊,就是攻擊者可能帶來的威脅,但是捫心而論,又有誰能完全確認這些告警是真的告警,而不是個誤告警呢?再加上越多的資安設備,產生的告警日誌就越多,該如何進行分析與歸納,本身就是一個大問題,傳統的做法是把這些日誌送到資安維運中心 (Security Operation Center, SOC) 進行分析,利用日誌間的關聯以及嚴重程度的判斷,來決定是否要進行事件的處理,早已是過時的做法,但是從目前資安威脅的角度來看,如果這些資安設備依賴偵測規則來觸發告警,而這些偵測規則並無法涵蓋所有的資安威脅時,那又如何收到完整的告警資訊呢?

參考了一些資料後,統整了目前企業應該要思考的十二個面向,如何進行企業所需要的資訊安全防禦,而這些不同的面向仍然會因為企業的屬性、使用的平台以及商業模式的不同,而有不同的權重比例,但應該至少都會有八個以上的防禦思維,必須在現在的架構中完整的評估與思考,畢竟資安的需求是跟著企業營運的腳步,不同的企業必須選擇與決定自己的資安防護架構。

圖. 企業防禦的12個面向
  • Authentication (身份驗證)
確認使用者的身份,是許多資訊系統不可或缺的功能之一,也是資訊安全的重要環節,透過不同的身份驗證技術,例如:單純的帳號與密碼、生物特徵、綁定裝置或持有特定的物品,來加強身份的識別,以目前許多平台的設計,考量到身份驗證的嚴謹性,多數會採用多因子的身份驗證機制,除了原本的帳號與密碼外,也會加上一次性的驗證碼,透過 OTP 或是簡訊、郵件等方式來提供,也可以利用 FIDO (Fast IDentity Online) 網路身分識別標準來完成。
  • Authorization (授權)
在資訊安全的領域中,我們經常提到「最小權限原則」,指的就是當使用者完成身份驗證後,能夠使用的資源或是賦予的功能,讓完成身份驗證的使用者,能夠做被授權的事,這個是保護資料與系統作業的關鍵,一般而言在設計授權的機制上,可以採用「以角色為基礎的授權」、「以屬性為基礎的授權」或是「以時間與情境為基礎的授權」,除了可以讓授權的規則以及政策容易落實外,如果需要追蹤某位使用者的行為路徑,能夠有跡可循。
  • Encryption (加密)
加密的技術經常運用於保護重要的資料,對於企業而言,公司的營運資料、研發技術等資產,透過加密的方式限制存取,避免未經授權的使用者能夠看到不應取得的資料,而加密的機制經常運用於通訊過程以及資料儲存的過程,而加密的類型,大致上可以分成「對稱加密」、「非對稱加密」以及「雜湊運算加密」,不同的類型各有優缺點,也有適用的情境,必須取決於資訊服務平台對於資訊保護的訴求,以及希望達成的目標。
  • Vulnerability (弱點)
對於企業而言,在系統、應用軟體或是網路架構上出現的弱點,都可能成為攻擊者運用的機會,進而對於企業的營運帶來威脅,因此從資安防護的角度來說,修補已知的弱點是必要的工作,也是降低營運風險的主要方法,一般來說,弱點包括了軟體的漏洞,例如:程式沒寫好出現的問題,衍生了緩衝區溢位、XSS (Cross-Site Scripting) 跨腳本攻擊、SQL Injection 等,也包括了人為設定的問題,造成系統在運作過程因為配置不當而造成的資安風險。

常見用來攻擊弱點的方式, 包括了針對該漏洞進行的攻擊,網路上對於已知的弱點,經常可以找到攻擊程式 (Exploit Code) 等工具,對於這些已知的漏洞直接造成影響,但攻擊者也可能運用尚未被揭露的弱點,利用這些新的發現進行的攻擊行動,也可稱之為零時差攻擊,大多數這類型的攻擊,企業並不容易防範。

至於弱點的嚴重程度,經常會使用 CVSS (Common Vulnerability Scoring System) 進行評分,因此如果有高風險的弱點,建議企業可以儘快進行修補,如果短時間無法立即修補,也應該有治標的防範規劃,避免高風險的弱點直接影響企業的營運。 

  • Audit & Compliance (稽核與合規)
有人說,資安的作為來自於法規的要求,其實是滿正確的看法,因為被要求要達標後,才會開始思考如何進行這回事,透過稽核的方式來驗證企業的作業流程與程序都符合資訊安全管理上的要求,以避免資安風險的產生,而稽核作業本身是一個必須依據管理規範、獨立進行以及透過文件化的過程,讓所有需要遵循管理規範的人員,都清楚的理解與瞭解如何進行資訊安全的管理作業,並且對於營運過程產生的資安風險進行矯正預防;而稽核的類型大致上可以分成「內部稽核」、「外部稽核」以及「合規稽核」,不同的類型有各自的目的,以及需要由不同屬性的人員來實施,而稽核的範圍需要涵蓋管理規範所制定的範圍,包括了資安政策、作業流程、實施程序以及透過技術檢測的方式,驗證資訊安全管理的作業流程,被落實到企業的營運上,另外對於人員的資安培訓也是相當重要的,一般人員需要建立資安認知,而專業人員需要具備資安實務技術,以因應企業可能潛在的資安風險。

目前常見的資安法規包括了 ISO 27001、ISO 27017、ISO 27018、ISO 27701,以及針對個人資料保護的 GDPR (General Data Protection Regulation) 或是對於醫療機構或是保險公司用於保護醫療資訊隱私安全的 HIPAA (Health Insurance Portability and Accountability Act),而對於金融的支付卡,也有 PCI DSS (The Payment Card Industry Data Security Standard) 的要求,以確保在處理資料上的安全性符合支付應用的標準。 

總體而言,透過合規的稽核,可以提供企業在風險管理以及產業合規上,能夠達成符合法規的要求,而透過稽核作業的發展,能夠將缺失或是觀察事項,納入後續的改善,最終可以降低企業營運中的資安風險,也能夠提供企業本身的營運品質。

  • Network Security (網路安全)
網路安全是企業不可或缺的重要環節,透過網路層防火牆、應用層防火牆、入侵偵測(防禦)系統等網路存取控制 (Network Access Control, NAC) 的機制,進行網路的區隔與控制,其中也可以運用虛擬私有網路 (Virtual Private Network, VPN) 的方式,建立端到端的加密通道,多數應用於遠端連線且經授權驗證的管理作業,在 COVID-19 疫情期間,遠端存取的網路安全管理,是最受到企業重視的,以提供一個安全的作業方式,又能夠保有企業的營業秘密為主要目標。

經常我們可以看到來自網路上的攻擊,包括了駭客的攻擊,不斷嘗試企業資安防禦上的脆弱點,希望找到可以入侵或是破壞系統並竊取資料的管道,以目前在資安事件中常見的手法,多數會配合惡意程式進行此類的攻擊,另外透過分散式阻斷服務攻擊 (Distributed Denial-of-service Attack, DDoS) 也是經常運用於消耗受攻擊者網路與系統資源的方式,近來有親俄的駭客組織,經常發起此類的攻擊,嘗試對於他們鎖定的目標進行網路攻擊,目的是癱瘓受攻擊者對外提供服務的網站。 

  • Terminal Security (終端安全)
端點裝置是使用者直接操作的設備,包括了電腦、手機、平版或是對外服務的網路應用服務伺服器,這些都與終端的資訊安全有關,而且也成為目前資安威脅中的關鍵,至於企業如何保護終端的安全,可以採取以下所列的作業,包括了防毒軟體 (Anti-Virus)、偵測回應 (Endpoint Detection and Response, EDR)、資料加密保護、裝置與設備本身的存取控制,應用軟體的使用規範、對於系統與應用軟體出現的漏洞進行修補、對於企業的重要數位資產等進行防外洩的保護 (Data Loss Prevention, DLP)、可攜式裝置的管理與授權等面向,這些都有助於企業建立起一個安全的終端設備使用環境,另外也可以配合網路安全中的隔離措施,將不同屬性或是業務內容的部門進行網路隔離,以避免企業資料的人為外洩。

目前許多的企業都導入了資訊安全管理系統 (Information Security Management System, ISMS),因此在資安管理的規範上,可以將終端設備的管理以及使用納入規範中,要求員工遵循資安政策與規定,並且端點社交工程的演練,提昇員工的資安認知,配合定期的內部稽核與外部稽核掌握終端設備以及使用者的行為是否出現異常的狀態,即早進行風險的管理與排除,可確保資安政策能夠落實到企業的營運上。 

  • Emergency Responses (緊急回應)
企業在面對駭侵威脅時,需要具備緊急回應的能力,依據預先制定的緊急回應計畫 (Incident Response Plan, IRP) 進行因應,對於發生中的資安威脅進行具體的行動,可以達到緊急回應的關鍵目標,包括了阻止威脅的持續擴大、保護企業的營運資產與重要的資料、快速回恢復受影響的服務以及掌握過程中的關鍵資料,做為後續研判發生的原因,並轉換成未來防範同類型攻擊的經驗。

 以目前而言,企業普遍遭受到惡意程式的威脅,尤其以勒索軟體所帶來的影響最大,對於緊急回應而言更是急迫,必須儘快讓感染到勒索軟體的終端裝置回復作業,因此建立起一套面對此類的資安威脅的應變計畫,就是相當重要的關鍵,定期的資料備份措施,可以讓企業遭到此類威脅時的傷害降至最低,能夠快速的從備份的資料回復,在可以接受的損失下儘快恢復營運。

  • Container Security (容器安全)
採用容器化 (Container) 的技術來建構應用服務已成為未來的趨勢之一,採用輕量級的虛擬化技術,將應用程式運作的環境打包在一起,除了達成輕量化的要求外,也讓應用程式在不同的環境中能夠一致,與虛擬化最大的差別在於共用作業系統的核心程式,而採用容器化的技術,企業仍然需要留意共用核心可能產生的漏洞,例如:因為核心上的漏洞而造成跨容器的攻擊,而因為將運作需要的環境打包在一起,也可能因為打包的元件存在未被修補的漏洞或函式庫而帶來資安上的風險。

因此我們在採用容器化的技術時,仍然需要依循資安上的管理原則,採用 CI/CD (Continuous Integration / Continuous Deployment) 時也同時需要進行安全的檢查作業,確定在進行部署前都能夠符合資安上的要求,這也是實現敏捷與自動化流程時,必須納入考量的關鍵因素。

  • API Security (API安全)
在 2023 年 OWASP 發佈了新一版的 API (Application Programming Interface) 前十大資安風險,也讓我們更關注意目前的時代中,在大量的使用微服務、雲端服務以及跨平台的作業環境中,應用程式介面被大量的使用,用於資料的交換傳輸以及遠端的存取應用,因此許多隨之而來的資安威脅,攻擊者轉向了對於這些應用平台所提供的 API 進行攻擊,企業對於自身所使用的 API 必須完全的掌握,才能夠確保對於數位邊界的掌握程度。

API 經常遇到的資安問題,包括了未經過授權的遠端存取、未進行保護的介面、典型的應用程式攻擊被運用到 API 的服務上、無法有效掌握 API 的監控、資料保護與加密的議題、API 的過度請求,以及人為的組態設定錯誤等,這些都可能因為駭客的攻擊,而讓原本的 API 曝露在資安的威脅之中,目前在弱點掃描與滲透測試的作業中,許多企業已將 API 納入檢測的範圍中,避免潛在的資安風險因為未經檢測而存在營運的服務中。

  • 3rd-Party Management (第三方管理)
企業因應業務或營運需要,經常會建置不同的服務平台,而這些平台可能採用現有的雲端服務或是透過第三方供應商與合作夥伴共同開發,而企業也需要依賴這些協力夥伴來取得技術、服務或是相關的資源,在目前的時代中,第三方扮演著重要的角色,而從目前的資安事件不難發現,許多的資安事件因第三方的風險而造成,因此在整體評估企業的營運風險時,必須將第三方管理納入資安管理的範疇。而第三方管理主要關鍵,包括了資安政策與標準的一致性、合規的要求、可能來自供應鏈的攻擊行動、資料的保護等,這些都是在與外部進行商務與技術合作時,必須思考的關鍵問題。
  • Disaster Recovery (災難復原)
災難復原主要用於發生資安事件後,如何快速恢復營運的作法與策略,在數位時代中企業大量的依賴資訊科技、雲端服務、運營科技等技術來營運重要的核心業務,在業務持續運作的規劃中,企業需要設想可能發生的營運衝擊的事件,並且提早因應可能發生的事件進行救災的規劃,而制定災難復原計畫時,必須要思考如何處理幾個關鍵的問題:

  • 復原時間目標 (Recovery Time Objective, RTO) :讓企業能夠更加快速地復原資料儲存,以及使得主機正常運行的時間。
  • 資料復原目標時間 (Recovery Point Objective, RPO):能容忍的最大資料損失,當業務恢復後,恢復得來的數據所對應時間點。
  • 最大可容忍中斷時間 (Maximum Tolerable Period of Disruption, MTPD) :核心業務流程發生中斷後不會導致業務造成無法回復的傷害之最大可容忍的時間。

從 ESG 角度思考企業資安管理已成未來的趨勢,而資訊安全不會是單純是資訊部門的責任,在參與許多資安稽核的行程中,卻不難發現經常接受稽核的是來自資訊部門的人員,雖然說技術面的問題需要由資訊技術的人員來處理,但是關係到企業或組織營運的資安管理,需要有更完整且明確的資安政策支持,才能夠讓企業或組織中的所有人,能夠瞭解資訊安全的重要。

 

專業的事,就該讓專業的來

Published by Yi-Lang Tsai under , , on 8/01/2024 08:00:00 上午
許多時候我們都很容易成為紙上諸葛,這種現象尤其在資訊安全的領域,更容易發現這類型的神人,說的一口好資安,但是實際上卻做不了什麼事,之前利用在家的期間整理了一下家裏的燈具,專業師傅可以在五分鐘內搞定的事,結果我花了快 30 分鐘,而且搞得滿頭大汗,終於裝好一盞吸頂燈,真的覺得這個非自己專業的事,就該讓給專業的來,一來有效率,二來做出來的成果也好,有時候往往省下那一點點的金錢,卻花費了更多的時間,這樣的情況對應到目前的企業經營,就成了最好的案例,但如果反過來由非專業的人指揮專業的人做事,那就只會事倍功半了。

老闆往往會希望用最少的成本做最好的事,最好是員工都沒有需求就能夠把事情做好,而員工的「小確幸」就由此而生,反正老闆沒說,那領一份薪水做一份事,沒說明白的當然就當做沒這回事,但這樣的思維其實是有問題,例如:希望做好資安日誌的分析工作,如果以自由軟體而言,我想大家不難聯想到使用開源軟體ELK來實作它,那什麼是ELK呢?說穿了是由Elasticsearch、Logstash、Kibana三個系統所組成的日誌蒐集、分析以及查詢的系統,不過隨著後續發展成「elastic」,以商業軟體的形態出現,就不難理解要完成一個好的平台建置,還是需要一群專業的人員來完成,當然也可以土法煉鋼,花費時日總有可能完成的一天。

想到專業就不免想到一位好朋友 Jason 哥,之前也有邀請他來資安五四三,聊聊心路歷程,長年投入自由軟體也塑造了在這個領域的專業形象,對於開源工具的使用無不信手捻來,在一個小時左右的時間,談了「如何用最節省的方式獲得最大的效益」、「全面轉向開源軟體的心路歷程」、「如何選擇適合的開源軟體」以及「企業資安應用開源軟體推薦」等議題,雖然時間很短,但卻是 Jason 多年來的經驗之談,正呼應了「專業的事,就該讓專業的來」。

圖. 節省哥的資安五四三

長年投入資安領域的培訓工作,在法人時代推廣計畫的成果,現在則推廣自家的產品 X-Range 攻防演練平台,同樣是資安技術課程,有個互動具有挑戰性的實作環境,已經是未來的趨勢,如果現在上的資安培訓課程,還僅只於典型的教學,下載軟體安裝、分析指定的檔案或是偵測線上的網站,這些對於學習資安這回事,相較就少了點適合的工具與平台,最近有些比較重視資安實務教學的學校,紛紛在學校中建置了攻防教室,有了實體的環境後,接著就是設計與規劃要講授的課程,但比較可惜的在於只是將原本的課程,套用到這個攻防教室上,並沒有改變以往的教學型態,只淪了達成計畫目標的 KPI 而已,不過還是有些科技大學,為了增加學校的教學特色,願意導入實戰型的攻防學習平台,透過多樣化的演訓情境,帶領學生進行案例的分析以及各種主題的演練,加深了學生對於解決真實問題的技能,未來是一個以軟體驅動的世界,我們應該要轉換以往只重視硬體建置的思維,這也難怪台灣無法建立自己的軟體產業。

圖. X-Range 資安攻防平台

談到資安攻防平台,這就是一個需要綜合技術的資安團隊才能夠共同打造的平台,需要涵蓋雲端架構、系統規劃、網路建置、程式開發、資安技術以及情境設計的角色,只依賴單一種技術並無法提供一個完善的平台,經過二年多的努力,也拿到了今年的產品創新的金炬獎,另外平台需要能夠涵蓋目前坊間各種資安解決方案,並且具備擬真企業網路環境的功能,才能夠提供企業中不同的技術團隊,進行各種類型的攻防演練,我經常說:「資安是一門綜合科學,需要各種職能的人一起努力,才能夠做好資訊安全這回事。」現在面對來自於客戶的期待與許多的專案,往往一開始需要花費一些時間釐清需求,但往往這個需求是需要經過幾次的討論才能夠掌握,主要在於使用者在一開始的時候,也搞不清楚自己的需求是否可行,以及是否有一開始並沒有想到的,這些都需要經常不斷的互動與討論,才能夠更明確的提出有用的方案,達成最後成功的專案。

最近一路學習敏捷管理,也一邊想著目前公司的運作是否有需要調整的地方,談到企業管理這回事,這個是以前的工作經驗所欠缺的,但是在目前的角色上卻是必需擁有的能力,從創業後請教了許多產業的先進好友,感謝給了我很多的建議,也願意在需要協助的時候,提供一些支持,也願意共同的在商務的拓展上合作,這些都是原本非我專業的領域,面對企業經營這個領域,我想會是未來最需要學習的專業。

最近看了一篇文章:「專業經理人共有的七個成功特質」,這是蓋洛普利用來自全球三十多年、數百個工作崗位和各行各業的頂尖員工的數據,看完後滿有所感的,以下這些面向雖然看似高大上,但仔細想卻是每個企業不可或缺的元素:
  1. 建立關係:創造信任夥伴關係,分享想法並完成工作
  2. 培養人才:通過優勢、期望和指導,幫助他人變得更有效率
  3. 引領變革:擁抱變化,設定與既定願景一致的目標
  4. 啟發他人:通過積極、遠見、自信、挑戰和認可來鼓勵他人
  5. 批判性思考:收集評估有助於做出明智決策的信息
  6. 溝通清楚:定期、簡明地分享信息
  7. 建立當責制:讓你自己和你的團隊對績效負責
文章最後有提到一個重點,不要試圖一次就完成所有的項目,期望同時提高對於團隊管理的技能,而是需要發展一個策略逐步達成。







人生的第一場簽書會

Published by Yi-Lang Tsai under , , on 7/28/2024 11:14:00 下午

話說寫了許多的資訊圖書,這次終於配合 InfoSec Taiwan 2024 國際資安組織大會的機會,辦了人生的第一場簽書會,在會場 30 分鐘左右的時間限量 100 本銷售一空,感謝碁峰 Sonala 多年來的支持,基本上她到那家出版社,我就跟到那出書,這也是一個 20 幾年的奇妙緣份,回想起大一的時候,跟當時的女朋友,現在的老婆 Sunny 26 年前為了隔天的一早九點半在出版社的會議,前一天晚上我們倆個半夜三點去搭統聯的夜車北上,一大早我們就出現在承德路的街頭,當時還是一個手機不普及的時代,也很感謝當時的儒林出版社,願意給了難得的機會,也開啟了我的作家之旅。

踏入寫作的領域成了資訊圖書的作家,在大學修課之餘最常看到我的地方,就是成大的圖書館,在大四畢業那年,看了這四年來的借書紀錄,超過 1,200 本,當然各種類型的圖書都有,但是資訊相關的書籍還是佔了大宗,畢竟資訊圖書的更迭速度很快,在當時的年代要學習新的知識,看書是最主要的管道。

圖. 成功大學圖書館

以軟體而言有的一年就會推出一個新的版本,經常拿到軟體公司提供的上市前的 Alpha 或是 Beta 測試版,就得趕快安裝,準備配合軟體的上市推出新的圖書,不過也受惠於作者的特權,我們可以在軟體上市前,就能夠拿到接近發行的版本,多年下來這也就練就了如何快速的規劃出一本圖書的大綱、各章節的分佈以及如何讓讀者容易學習圖書的內容,是個相當難得的經驗。

圖. 簽書會

這一次的簽書會,配合 InfoSec Taiwan 2024 國際資安組織大會一起舉辦,就在會議第一天的中午辦理,許多的好友相挺,一本不算少,十本不算多,一下子就把準備的書買完了,還有會眾自己在外面的書店帶來讓我簽名的,雖然整個活動只有 20 分鐘,但心中卻有許多的感謝與感動。這本「資訊安全概論與實務」的第四版,我深深被第一版到第三版的作者-潘天佑老師這段話所吸引與感動:「我寫的資訊安全教科書,前後出了三版,賣了十五年,謝謝老師和同學們的支持!兩年前碁峰出版社跟我討論出第四版,我實在沒有時間,就建議能不能下市算了。碁峰的專案經理對我曉以大義,說現在要找人寫一本適用的教科書很不容易,希望我能為台灣學生繼續奮鬥。於是我做了一個決定,就是無償轉讓版權,讓出版社找適合的人來更新、補充這本書。我不再是作者,也不分版稅。今天看到第四版出來了,心中甚感欣慰。成功不必在我,恭喜新作者,希望老師和同學們能繼續支持這本資訊安全教科書。謝謝大家(下台一鞠躬)!」,感恩潘老師的無私與付出,我們才能夠一同完成了知識的傳承。

以下是這本書的主軸:
  • 第一篇 資安認知與風險識別 
資安威脅來自於系統平台、應用程式的弱點,以及使用者對於資訊安全的認知不足,對於資料的保護、資安事件的處理、惡意程式的發展、社交工程與網路攻擊等事件的威脅,掌握資安風險的來源,以及識別可能帶來的影響與衝擊,都是面對資安的議題時,必須考量的關鍵項目。
  • 第二篇 信任與安全架構 
建立使用者的身份認證、授權使用的權限以及建立存取控制的機制,以對應資訊安全架構與設計的原則,從國際標準管理系統到建立安全等級與評估準則,透過密碼學來建立資通訊系統基礎的架構,在網路模型各個不同的階層建立對應的資安防護措施,以提供安全的運作架構。
  • 第三篇 數位邊界與防禦部署
面對強化的駭客與網路攻擊威脅,強化數位邊界與防禦部署的能力,以確保在資安威脅的衝擊下仍能持續運作,熟悉資安設備的角色與能力,將有助於將正確的防禦機制部署在正確的位置,強化多層次的防禦機制,建立網路、系統、端點等防禦的能量,以資安威脅情資建立防禦機制。
  • 第四篇 資安管理與未來挑戰 
面對資安的威脅,透過營運管理機制以及資通安全相關的法規,可以建立有效的管理制度,並且參考國際資訊安全組織的發展趨勢,掌握最新的駭侵威脅,對於新型態的攻擊手法,必須涵蓋雲端應用服務、物聯網安全與管理等面向,才能夠面對未來的挑戰。

以下是當天活動的部份照片,再次謝謝支持!

這幾年因為離開法人出來創業,還有相當多需要學習的地方,也少了許多可以寫書的時間,不過秉持了知識傳承的志願,在空閒之餘還是願意將個人所學、所知的知識與見聞,轉換成文字留存在人類的歷史中。

參考資料:

AI Ops 到 AI Sec 下的資安思維

Published by Yi-Lang Tsai under , on 7/26/2024 12:00:00 上午
從 AI Ops 議題成為下一世代大家期待的境界,到最近熱門的 DevSecOps 思維,當雲端服務平台盛行,各式各樣的雲端服務供應商出現,對於企業而言需要面對的 IT 架構除了傳統的資訊服務架構外,還衍生了許多需要與雲端服務融合的需求,也讓許多的企業開始思考,是否需要有更好的 IT 管理與維運的方法,利用目前所熱門的人工智慧,創造一個期待能夠發生的自動化營運管理境界,能源管理是早期大家都會想到的應用,從部署的感測器收集數據,做為分析與應變的參考,隨著 AI 算力的需求,可以想像的是接下來這幾年都會許多以 AI 算力平台為訴求的建置,這些都是吃電的怪物,從以前在法人工作的經驗,所能夠衍生的效益,經常是無法達標的。 

以使用者的角度出發,網路的品質好壞,遠不及應用程式效能帶來的體驗,雖然說應用程式效能的問題,可能來自於網路品質不佳所造成,但由於目前資訊服務的架構相形之更顯得複雜化,大量採用虛擬化、雲端化以及整合式的分散式運作平台的趨勢下,更顯示整體而言的應用程式回應效能,較單純從網路品質的角度來更為重要,若無法由資料流或是應用系統架構進行偵測點的部署,往往會出現網管人員與應用程式開發人員各說各話的情況。

圖.資料來源-2021 Gartner Magic Quadrant for APM

圖.資料來源-2022 Gartner Magic Quadrant for APM and Observability

近年來興起的 DevSecOps 的概念,希望打造一個以資安為基礎的開發與維運環境,今年在 InfoSec Taiwan 2024 跟 Ray 一起開了一門「組織資安願景設計與雲端安全指引實作」的 Workshop 課程,從管理面到技術面的實作,帶著學員打造企業的願景工程,參與的學員不乏部門主管或是資深的工程師等,在面對這個時代的轉變,都意識到了資訊安全對於企業的發展以及工作流程上的影響是越來越大了。

圖. InfoSec Taiwan 2024 實作課程

現在已進入了企業風險管理的時代,許多的企業面對駭侵的威脅時,都直接與能否持續營運有關,像前幾天的 CrowdStrike 出包以及微軟大當機,讓許多的企業感受到無法持續營運時,所帶來的巨大損失,一個資安軟體更新的出錯,導致了全球超過 850 萬台的 Windows 電腦當機,影響的產業更是涵蓋了各行各業,如果我們所依賴的資安防護是如此的脆弱,保護我們避免駭客攻擊的軟體,居然成了災難的源頭,以航空業為例,因為地勤用的電腦大當機,只能再次使用手寫機票來做為替代方案,增加了許多人工作業的時間,這也意味著資訊科技有著它脆弱的一面,當風暴來得又急又快,而且是原本要保護電腦的軟體變成始作俑者時,企業的業務持續運作該如此進行呢?這個問題是值得所有的人省思。

圖. 手寫機票

在電腦應用上,2038年問題可能會導致某些軟體在2038年1月19日3時14分07秒之後無法正常工作,所有使用POSIX時間表示時間的程式都將受其影響,因為它們以自1970年1月1日經過的秒數來表示時間,如同之前的千禧年問題,都是因為電腦系統在發展初期,受限於當時的軟硬體環境,設想不夠週全所致,這個也許是下一個需要關注的問題。

目前是一個什麼都要跟 AI 扯上關係的時代,但 AI 實質能夠為人類帶來的效益,以及可能帶來的風險,都還是一個未知數,但是隨之而來的是大量資源的使用,如同電影情節般的,未來是否 AI 會為了讓自己可以有足夠的資源運作下去,而做出了影響人類生活空間的事呢?只能期待這一天永遠不會發生,雖然許多的國家、組織都對於 AI 可能帶來的影響,制定了許多的法則,但可別忘了法律永遠是限制守法的人,不願意遵守的,就算制定再嚴格的法則都是空談。


 參考資料:

InfoSec Taiwan 2024 國際資安組織大會後記

Published by Yi-Lang Tsai under , , , , , on 7/12/2024 09:00:00 上午

終於 InfoSec Taiwan 2024 在眾人的分工之下,順利完成了許多不可能的任務,今年在主辦單位多方的邀約下,以及許多好友的相挺,已經聚集了十個國際組織在台分會,包括了 The Honeynet Project、Cloud Security Alliance (CSA)、Open Worldwide Application Security Project (OWASP)、Centre for Strategic Cyberspace + International Studies (CSCIS)、ISACA、FIDO Alliance、Project Management Institute(PMI)、ISC2、Regional Scrum Gathering (RSG)以及Women in HPC (WHPC),感謝這些國際組織在台分會的會長們,還有一同協助促成 MOU 簽署的 Ray,願意支持與參與今年 InfoSec Taiwan,讓我們這個國際資安大會更加強大,資訊安全已經成為各個領域共同的問題,也歡迎想要一同參與 InfoSec Taiwan 的國際組織與主辦單位聯繫,成為我們 InfoSec Taiwan 2025 的夥伴。

一場成功的大型會議,大家看到的是最後的成果,但過程中需要許多背後的推手一起努力,包括了協會的 Sunny、Yijing 兩位得力的助手,這八個多月來,包括了贊助計畫的撰寫、講師的徵求與邀集、議程與場地的規劃、文宣美編的製作,還有多位共同主席的鼎力相助,再次謝謝 PMI 高治中理事長、RSG Taipei 陳麗琇社長、ISC2 唐任威理事長、ISACA 葉奇鑫會長、FIDO 張心玲會長以及 WHPC 楊嘉麗會長,也感謝北科大魏銪志老師與林敬皇老師的學生們,以及 ISC2 志工群等夥伴們,從會場作業到演講廳中的線上直播,沒有大家透過組織無私的支援,就無法讓今年的 InfoSec Taiwan 2024 如此成功,同步線上會議與實體會場的作業,雖然複雜化了整場活動的進行,但我們將許多組織與講者所分享的新知,以及未來的趨勢,有更多的管道能夠更多的人知道,每天下午由各個組織精心規劃的議程,讓活動更聚焦於關鍵的議題上,感謝各個共同主辦組織的支持與規劃,也期待能夠一起在 InfoSec Taiwan 這個大家庭中,一起為了台灣這塊土地,也為了我們的下一代。

感謝 InfoSec Taiwan 協辦單位大力的宣傳,包話中華民國資安學會、成大資通安全研究與教學中心、GDG Taipei、台灣數位鑑識發展協會、全球網際空間管理暨產業發展協會、中華民國軟體自由協會、中華民國電腦稽核協會、數位金融交易暨資料保護協會以及中華民國開放系統協會,還有最重要的贊助商支持,感謝數位部、工研院、凱鈿、微智安聯、安創、鈊保、如梭、安華聯網、杜浦數位、Panasonic、元盾資安以及吉普司的贊助,讓我們有資源可以把會議辦得更好。會場中的資安茶成為會眾聯誼交流的角落,感謝 Tim 與 Scott 的支援以及輪班泡茶給大家品嘗的朋友們,還有網管人雜誌、說資安新聞網以及碁峰資訊等媒體的協辦。

在人生的歷程中,雖然已經寫了 37 本書,但也在 InfoSec Taiwan 2024 辦了人生的第一場簽書會,這本書的誔生,最需要感謝的是第一版到到第三版的作者潘天佑老師,我深深被這段話所吸引與感動:「我寫的資訊安全教科書,前後出了三版,賣了十五年,謝謝老師和同學們的支持!兩年前碁峰出版社跟我討論出第四版,我實在沒有時間,就建議能不能下市算了。碁峰的專案經理對我曉以大義,說現在要找人寫一本適用的教科書很不容易,希望我能為台灣學生繼續奮鬥。於是我做了一個決定,就是無償轉讓版權,讓出版社找適合的人來更新、補充這本書。我不再是作者,也不分版稅。今天看到第四版出來了,心中甚感欣慰。成功不必在我,恭喜新作者,希望老師和同學們能繼續支持這本資訊安全教科書。謝謝大家(下台一鞠躬)!」,感恩潘老師的無私與付出,我們才能夠一同完成了知識的傳承。簽書會扣除成本的所得,亦將全數捐助需要的團體。

有了國際組織鏈結的資源,今年更在許多協會理事長的支持下,我們一起在 InfoSec Taiwan 成立了台灣資安大聯盟,感謝大家願意為了我們這塊生活的土地未來能夠更好所付出的努力,這樣期間許多的想法與發展方向不斷的湧入,能夠凝聚台灣資安產業的能量,一同走向國際,台灣大聯盟由台灣數位安全聯盟、台灣網際空間與安全策略發展協會、台灣資訊安全協會、台灣資安產業發展協會、台灣資訊及資安服務聯盟、次世代創新數位安全協會、國際資訊安全人才培育與推廣協會、臺灣校園資訊安全推廣暨駭客培育協會以及資安應用服務聯盟的發起,目前已形成超過 100 家以上資安公司所組成的強大聯盟,致力於守護台灣的網路世界,強化全民數位韌性,也期待這樣的組今,能夠讓我們一起走出台灣,對於經常在國際組織中活動,以及因應需要所參與的國際展會,能夠讓台灣有機會成為全球資安生態系的一環。


在此也特別感謝 賴清德總統的錄影致詞以及 蕭美琴副總統親自蒞臨 InfoSec Taiwan 2024,還有數位發展部黃彥男部長、呂正華署長的出席,林楚茵委員的協助,將今年的 InfoSec Taiwan 邁向了一個新的哩程碑,讓產官學研界共同在這個平台上激盪出許多的火花,如蕭副總統說的,這也是很難得能夠同時讓總統與副總統同時參與的會議,由此可見「資訊安全」已成為國家重要的關鍵議題。資訊安全是跨界與跨域的綜合科學,只有透過跨組織的合作,將 InfoSec Taiwan 成為國際資安社群平台,才能將資訊安全的意識深耕至各個領域,透過組織間的合作以提升產官學研界對於國際間發展趨勢的掌握,並建立強固的資訊安全數位邊界。

前一天看著佈置完成的議程版,心中默默感謝著許多人的參與與努力!我們即將會有一場不一樣的資安大會!


未來我們秉持開放社群的精神,讓有志於國際組織與會議運作的年輕一代參與,預計在第三季起將辦理多場次的聚會,一起共同商議如何讓明年的 InfoSec Taiwan 2025 更加成功,你想成為資安組織的一員嗎?記得與我們聯繫,service@twcsa.org。


相關資訊:

【全程直播】

https://www.youtube.com/watch?v=J9hEZPC9ybw

【共同主辦的國際組織】

  • The Honeynet Project
  • Cloud Security Alliance (CSA)
  • Open Worldwide Application Security Project (OWASP)
  • Centre for Strategic Cyberspace + International Studies (CSCIS)
  • Information Systems Audit and Control Association (ISACA)
  • Financial Fast Identity Online (FIDO)
  • Project Management Institute (PMI)
  • International Information Systems Security Certification Consortium (ISC2)
  • Regional Scrum Gathering (RSG)
  • Women in HPC (WHPC)
【台灣資安大聯盟】

  • 台灣數位安全聯盟
  • 台灣網際空間與安全策略發展協會
  • 台灣資訊安全協會
  • 台灣資安產業發展協會
  • 台灣資訊及資安服務聯盟
  • 次世代創新數位安全協會
  • 國際資訊安全人才培育與推廣協會
  • 臺灣校園資訊安全推廣暨駭客培育協會
  • 資安應用服務聯盟

專業證照

Published by Yi-Lang Tsai under , on 7/07/2024 06:00:00 下午
教育類

  • 講師證書, Academic Teaching Rank Accreditation Certificate Lecturer

資安類
  • CEH, Certified Ethical Hacker, 駭客技術專家認證
  • CHFI, Computer Hacking Forensic Investigator, 電腦駭客鑑識偵查員
  • CCSK, Certificate of Cloud Security Knowledge, 雲端安全知識認證
系統與軟體類
  • RHCE, Red Hat Certified Engineer, 紅帽認證技術專家
  • ACAI, ArcSight Certified Integrator/Administrator
網路類
  • CCNA, Cisco Certified Network Associate
  • CCAI, Cisco Certified Academy Instructor
管理類
  • CSM, Certified ScrumMaster
  • ISO 27001 LAC, ISO 27001 Lead Auditor Training Course
  • ISO 20000 LAC, ISO 20000 Lead Auditor Training Course
  • BS 10012 LAC, BS 10012 Lead Auditor Training Course
  • CSA STAR Auditing, Advancer Cloud Security Auditing For CSA STAR Certification
  • ITIL Foundation

一步一腳印!

Published by Yi-Lang Tsai under , , on 6/30/2024 09:59:00 下午
在獲知得到金炬獎後,很多朋友問我什麼是「金炬獎」?這是一個歷史悠久的獎項,由中華民國傑出企業管理人協會主辦,今年是第十八屆辦理,當時收到參選的邀約後,剛好目前團隊所研發的第一個產品,X-Range攻防演訓平台在市場上已開始拓展,也逐漸累積了許多的客戶,有高科技產業、政府法人機關、金融產業、大專院校等,當時已近9百人使用過這個平台進行資安技術的學習,或是應用於企業所需要的攻防演練,因此就請同仁著手開始準備需要的資料,經過一個月左右的資料整理、送件,就等待著評審的結果,終於不負團隊的期待,今年我們拿到了第十八屆創新設計的獎項,我想這是對於研發的團隊最大的肯定,也是持續前進的動力。

當代表著團隊上台領獎的那一刻,回想起二年多來的努力,這是給我們的鼓勵,也是持續拓展市場的信心,從團隊創業開始就秉持著打造台灣自主研發的資安產品為目標,希望透過持續不斷的研發與市場回饋,能夠將研發的產品走出台灣進入國際市場。


大家都說三百六十五行,行行出狀元,只要用對方法,肯投入時間與精神,往目標前進就能夠取得該有的成就,不過在目前這個時代,不太可能一個人就可以創造出令人讚嘆的成就,多數會來自一群夥伴的共同合作,而一群工作夥伴如何建立共同的目標,就成為成功與否的關鍵。



得獎只是一個開始,這代表著未來在企業經營上,仍然需要持續保持前進的動能,產品需要不斷的精進,才能持續領先市場的需要與使用者的期待,這些必須隨時掌握其它的競爭對手目前發展的情況,以及市場上對於產業的需求,雖然同質性的產品另外也謝謝主辦單位的認可,且聘任為專業委員,以期能夠在未來貢獻一己之力,協助產業的發展。


除了攻防演練服務的平台 X-Range 拿到了年度創新設計獎之外,個人也拿到了年度經理人的獎項,這對個人而言更具有不同的意義,能量並非一朝一夕就能養成,其實過去20餘年服務於法人的經驗,也是讓我在離開法人後快速融入與掌握市場趨勢的能量,回想過去這段時光,從一個小小的研究助理,一路歷練網路管理、系統管理以及擔任組長、特助等相關的職務,到近10年來能夠獨當一面承接國家大型資安計畫,擔任計畫主持人的工作,每年執行上億元的專案計畫,感謝主管機關對我的支持,也感恩國網中心能夠交付我這樣的責任,經年累月下來,除了專業領域的增長之外,對於計畫的管理經驗、團隊的組成等,這些都成為創業後最重要的養份,在此謝謝過去曾經幫助過我的人。


【參考資料】 
中華民國傑出企業管理人協會 https://www.oemcroc.org.tw/

圖書作品

Published by Yi-Lang Tsai under , on 6/06/2024 02:21:00 下午

編號
書 名
出 版 社
出版日期
ISBN國際書碼
37
資訊安全概論與實務 碁峯資訊股份有限公司
2024年6月
978-626-324-826-7
36
軟體測試實務:業界成功案例與高效實踐(II) 博碩文化股份有限公司
2023年6月
978-626-3334861
35
5G大奇航 財團法人國家實驗研究院國家高速網路與計算中心
2017年8月
978-986-85228-1-7
34
資訊安全 國立空中大學
2014年1月
978-957-661-954-0
33
Linux網管技術-流量統計與效能監控 上奇科技出版事業處
2006年12月
986-7199-98-7
32
舞動Linux伺服器架設與管理 知城數位資訊股份有限公司
2005年4月
986-7489-93-4
31
Windows Server 2003技術手冊系統管理篇 秀威資訊科技股份有限公司
2004年6月
986-7614-26-7
30
Windows Server 2003技術手冊伺服器建置篇 秀威資訊科技股份有限公司
2004年6月
986-7614-27-5
29
Linux網管技術 上奇科技股份有限公司
2003年3月
986-7944-67-4
28
無線網路架設DIY 學貫行銷股份有限公司
2003年2月
986-7961-97-8
27
多重作業系統建置實戰 學貫行銷股份有限公司
2002年7月
986-7961-59-5
26
網路架設DIY-完全活用輕鬆上手 學貫行銷股份有限公司
2002年7月
986-7961-57-9
25
電腦組裝與選購2002 學貫行銷股份有限公司
2002年3月
986-7961-37-4
24
駭客聖戰-防禦完全手冊 學貫行銷股份有限公司
2002年1月
986-7961-22-6
23
駭客聖戰-攻擊教戰手冊 學貫行銷股份有限公司
2001年12月
986-7961-21-8
22
Windows XP徹底體驗 學貫行銷股份有限公司
2001年11月
986-7961-12-9
21
Office XP徹底學習 學貫行銷股份有限公司
2001年8月
957-0321-89-X
20
儲存設備與資料備份 學貫行銷股份有限公司
2001年7月
957-0321-79-2
19
網路架設DIY-寬頻嘛也通 學貫行銷股份有限公司
2001年7月
957-0321-85-7
18
電腦組裝與選購 學貫行銷股份有限公司
2001年6月
957-0321-72-5
17
全方位網頁設計 儒林圖書有限公司
2001年5月
957-499-264-0
16
影像魔法師PhotoImpact 6中文版 儒林圖書有限公司
2001年3月
957-499-410-4
15
音樂007:MP3&Napster 文魁資訊股份有限公司
2001年1月
957-466-122-9
14
多重作業系統規劃與建置 學貫行銷股份有限公司
2001年1月
957-0321-52-0
13
Word 2000文書處理經典 立威出版股份有限公司
2001年1月
957-0466-25-1
12
電腦DIY-記憶體安裝與管理 文魁資訊股份有限公司
2000年10月
957-466-012-5
11
Windows Me徹底學習 實書堂文化事業有限公司
2000年9月
957-0321-37-7
10
網頁製作DIY 文魁資訊股份有限公司
2000年9月
957-0462-96-5
9
Excel 2000試算表經典 立威出版股份有限公司
2000年8月
957-0466-17-0
8
精通Picture It! 2000 文魁資訊股份有限公司
2000年6月
957-0462-66-3
7
精通Excel 2000函數與VBA 文魁資訊股份有限公司
2000年5月
957-0462-26-4
6
Windows 2000 Server網路技術與架構管理 實書堂文化事業有限公司
2000年4月
957-0321-15-6
5
Windows 2000 Professional功能操作與實務應用 實書堂文化事業有限公司
2000年4月
957-0321-14-8
4
影像魔法師PhotoImpact 5中文版 儒林圖書有限公司
2000年3月
957-499-288-8
3
全方位網頁設計 儒林圖書有限公司
1999年12月
957-499-264-0
2
顛覆影像PhotoImpact 4.2進階篇 儒林圖書有限公司
1999年7月
957-499-210-1
1
顛覆影像PhotoImpact 4.x 儒林圖書有限公司
1999年3月
957-499-171-7
 

重新思考如何進入資訊安全的領域

Published by Yi-Lang Tsai under , , , on 11/12/2023 11:14:00 下午

自從去年成立了資安公司,這一年多來經歷了許許多多的挑戰,從產品的研發到商務模式的規劃,以及如何開拓市場,不斷的修正產品的功能,以符合市場上的需求,當然也與許多的商務夥伴共同合作,執行了許多的專案,服務了許多重視資訊安全的客戶,不過也遇到了少部份只想應付應付的客戶,在這幾年來資訊安全的議題成為政府、企業、學校到個人都關心的項目,國內相關的研討會不勝枚舉,有每年固定辦理的大型展會,也有許多資安產品或解決方案廠商辦理的主題式研討會,當然也有許多社群辦理的活動,這些大大小小的會議與活動,再加上近來網路詐諞與駭侵事件頻傳,令人對於資訊安全越來越重視,但尚存僥倖心態的人還是大有人在,總覺得資安事件不會發生在自己的單位或與自己相關。

從投入資訊安全這個領域已近 30 年,這一路走來看著資訊科技的發展,但也印證了資安技術的轉型,以及駭客攻擊手法的創新,雖然近幾年興起了一股資安風,從大專院校大量的開辦資安學程、開設資安相關的研究所等,都希望能夠讓學生在學校就知道投入資安領域所需要具備的素養與技能,不過這幾年因 CTF 等競賽的興起,也讓資安學習這件事有了不一樣的發展,許多人學習資安卻是為了參加競賽,當然不可否認在學習的過程,仍然會學習到許多的資安技術,但居限在以競賽為主的學習目標,與企業所需要的資安人才卻是不同的,也許主因就在於學術機構畢竟不是來自產業的第一線,無法掌握實際的需求,也許相較之下而有如此的發展就是正常的情況了,前者是資安產業所需要的資安人,但是企業中的資訊人員所應具備的資安技能,兩者的思維並不相同。

這幾天前往澎湖科大分享「如何進入資訊安全領域」一題,在課堂上與對資安有興趣的同學們互動,提供一些進入這個領域的方法,而隔天在當地好友的帶領下,除了品嘗道地的美食外,當然也走訪了幾個著名的景點,在發呆亭看了海面,聽著海浪的聲音以及耳邊呼嘯而過的風聲,內心除了感受大自然的神奇外,腦海中不自覺得想著資安的未來,在風平浪靜的海面下,可能是暗潮洶湧而無法查覺,若非熟悉海相的達人,可能在大海之中隨時可能被無情的吞嗜,一個不小心就可能失去了寶貴的生命;而這就如同我們面對虛擬的網路世界時,駭侵的威脅隨時可能出現,雖然我們都投入了許多的資安防禦機制,但卻不見得能夠看透整個網路所面對的資安風險,一個不小心導致了資安事件的發生,所遭受的損失就不可計數了。

在「奎壁山摩西分海」探尋著潮間帶豐富的生態時,看到了前人所留下來的石堆,由大到小的豎立在暫時露出的步道上,看著這座石堆不免想起人生的經歷,正所謂守成不易,一場組織內的鬥爭就可以讓耕耘十餘年的成果毀於一旦,從原本有能力自行研發建置平台的團隊,變得大大小小的事只能專案委外,看著發生的這一切,在事隔一年多來而感到不勝唏噓,但也只能祝福,所有的小人也是貴人,帶給我們的就是改變的力量;資安領域的養成須具備基礎的能力,例如:系統營運管理、網路安全架構、應用程式安全開發、資安數據的關聯分析、有效的資訊安全事件應變等,這些都是建構一個完整的資安團隊不可或缺的要素,而不是只說著一嘴好資安,可惜的是許多的主事者或是當權者並不一定有正確的認知,這也是考驗著自身的能力是否可以帶領團隊的角色,在人生的經歷中參與了許多國際資安組織,其中最受到影響的就是如何建立領導者(Leadership)的能力,因為這將會直接關係到事件執行過程的成與敗。

如何進入資訊安全的領域,除了本身的專業能力養成外,也需要有明確的目標以及找出最佳的學習途徑,許多對資安有興趣的人,需要思考一下自己的喜好,因為資訊安全是一門綜合科學,一個人是無法單打獨鬥的,需要能夠參與團隊的運作,各司所職再一起發揮綜效,這也是在處理資訊安全事件時,如果只看到一、兩個人忙裏忙外,其它的人只關心「到底是什麼原因?」、「什麼時候可以恢復?」等,就知道這個資安事件能夠找出根因的機率就不高了,因為只出張嘴的比做事的人多,當然就需要外援的資安團隊了,才有機會對於目前的事件進行仔細的調查。

學習資訊安全超過八成的人是由資安工具開始著手,這是一個好的方式,但也需要對於這些不同類型的資安工具,至少能夠熟悉絕大多數的功能與用法,像有時候在教網路封包的課程時,有的學員口口聲聲說教 Wireshark 太過簡單了,一直想要學別的工具,但在練習解析網路封包時,居然連過濾規則怎麼下以及如何找出 TCP Flow 都不知道,真的打從心裏佩服他,自我感覺有夠良好,但這樣的心態對於進入資安的領域,就成了最大的障礙,無法虛心的體認自己的不足,而失去了學習的契機。

資訊安全是門緊密扣合與細密分工的行業,但需要具備的專業領域各有擅長,從近年來興起的一股 DevSecOps 就不難看出,以前應用程式的開發團隊,只需要滿足使用者期待的功能開發,上線後就交給維運的團隊,隨著近年來駭客攻擊手法的進展,每隔三到六個月就可以發現一個全新的駭侵手法出現在我們週遭,基礎能力的建立在資訊安全的領域中是相當重要的,很多人問我說,在學期間要學習什麼,將來才能夠投入資訊安全的行業,其實這個答案並不困難,只需要問自己對資訊安全的那個項目是有興趣的,然後結合自己擅長的技術,就能夠在資安領域中有著一席之地。

聽見海的聲音,在風和日麗時,是令人感動的,但在狂風暴雨時,卻是令人感到畏懼的,資訊安全也是如此,當天下太平時,大家都會覺得資安是只會花錢的事,但是出了資安事件,這些平時辛苦保護數位邊界的人,就成了代罪羔羊,這是不合理的,最近有個協會喊出了「No Money, No Security」,這句話真的道出了許多資安人的心裏話,每次提需要資安預算時,總是被主管問遍所有的理由,最後還不一定獲得同意,不然就是七折八扣拿不到原本心目中的預算,但發生資安事件時,主管就像得了失憶症一樣,總覺得已經給了預算居然還出事,那就是管理人的問題了,早已置身事外,只等著開事件的檢討會議。

接近年末,感恩今年邀請演講的單位,也讓我有機會介紹公司的產品,幫助有需要的人進入資訊安全的領域。