Latest updates‎ > ‎

駭客協會副理事長邱銘彰

資訊安全要有策略 投資正確才能產生效益

2014年被美商威瑞特(Verint)購併的臺灣資安公司艾斯酷博(Xecure Lab),由於在黑帽大會上亮眼表現,成為台灣少數被那斯達克上市軟體公司購併的案例。
採訪/施鑫澤  文/楊迺仁


艾斯酷博創辦人之一,目前也是駭客協會副理事長的邱銘彰,在艾斯酷博被購併成立台灣威瑞特後,就致力於資訊安全技術的研發。邱銘彰指出,很多外商在購併台灣的企業後,並沒有帶來明顯的價值,但台灣威瑞特卻是威瑞特在以色列境外唯一的研發中心,目前也已將艾斯酷博原來的產品整合到威瑞特既有的產品線中。
邱銘彰指出,以色列在資安領域其實非常強,如以色列國防軍的情報單位8200部隊,就孕育出許多知名的資安企業,如Palo Alto Networks、Check Point,第一個即時通訊軟體ICQ,也是源自於8200部隊。
事實上,以色列跟資安有關的新創公司就多達400多間,是個新創文化非常興盛的國度。邱銘彰表示,以色列看待資安的角度,其實是很謹慎的,就像作戰一樣,因為只要一個疏忽,就可能造成重大傷亡,而不是等到兵臨城下時,再去思考要如何防堵。
「資安的投資要有正確的策略。」邱銘彰強調:「如果以為只是買產品裝起來,就會有保護作用,這樣的思維就錯了,產品其實都是有用的,但必須要從最基本的資安觀念變革做起才行。」

要有好的資安策略 先培育專責資安人才

要有好的資安策略,得先培育優秀的資安人才。邱銘彰指出,IT機房跟資安在理論上其實是不同的領域,兩者需要的人才不盡相同,IT機房人員只要確保機房設備運作沒有問題即可,資安卻要時時注意外界的風吹草動。
但邱銘彰認為,台灣目前的資安人才,其實都不是「培養」出來的,而是從IT機房人員直接轉任過去,再學習資安設備要如何使用。因為大多數的企業,因為都是先成立IT機房部門,先找到有能力照顧網路、伺服器及辦公室電腦的人員,等到需要考慮資安設備時,才會要求IT機房人員設法兼顧資安方面的問題。
「資安產業其實是一種情報產業,必須要不斷地蒐集各種攻擊手法,進一步分析要如何防禦,而且要建立一套體系能夠消化這些資訊。」邱銘彰指出,資安人員就好像偵探一樣,要有能力看出有問題的地方,最大的挑戰就是,問題類型層出不窮,每一種問題都需要有不同的解決方式,不是懂IT機房設備就能應付資安問題。
另一個資安人才的來源問題,在於目前台灣的資訊教育體系並沒有與資安相關的專門科系,不像韓國或新加坡,都已經有學校提供資安方面的學程,韓國甚至都已有「攻防科系」,針對資安攻擊及防禦做整體的研究。
但邱銘彰仍強調,企業首先要認識,面對資安問題,一定要有專責的資安人才,千萬不能以為有了資安設備,就能解決所有的資安問題。因為資安人員不僅要有能力使用資安設備,更重要的是,資安設備往往會提供各種紀錄及報告,如果沒有足夠的資安專業,解讀報告就可能會碰到困難。
雖然聘用專責的資安人員,對中小企業可能會有點困難,但邱銘彰認為,大型企業或金控公司,甚至應該要有專門的資安部門,因為只要發生任何資安事件,導致企業的重要資訊外洩,都會導致巨大的損失。
邱銘彰建議,企業在購買資安設備時,得先了解企業內部有如看得懂報告的資安人才,要是連設備產生的報告都看不懂,投入的費用就會毫無意義。而在人才培育方面,應該要善用資安公司會舉辦的各種課程或研討會,可以藉此學到很多嶄新的攻擊手法。
另一種使用資安專責人才的方式,則是將資安服務委外給其他廠商去做,邱銘彰認為這其實是一個很好的選擇,畢竟這些委外業者有專門的資安設備及人才在處理。
但邱銘彰也強調,企業也必須要知道如何稽核這些委外廠商。理論上,找漏洞、做滲透測試的稽核,以及解決問題的處理部分,應該交給不同的人去做,才能有所成效。

因應勒索軟體 偵測及備份都要做

邱銘彰也指出,雖然資安威脅日新月異,但其實許多資安威脅,往往都是人為疏忽所造成,但如果過度防堵或訓練方式不當,反而會有副作用。如前陣子APT事件太多時,很多政府機關都會舉辦社交工程演練,但卻往往只是流於形式,如居然有單位會事先預告演練的時間,反而導致每個人在演練時間都變得緊張兮兮,影響IT使用的效率,但只要演練一結束,錯誤的使用行為卻依然故我。
邱銘彰強調,提升員工預警能力的訓練,固然有其必要,但如果只是提醒員工不要點來路不明的文件或連結,一般員工卻未必有能力察覺文件或連結來路不明時,這樣的教育方式其實並沒有什麼意義。
邱銘彰建議,可以用正面表列的獎勵方式,只要員工找出問題或及時阻止就給予獎勵,才可以避免員工不想面對資安問題,因為「漠不關心才是最危險的事情。」
但企業也因此更要有能力偵測及因應資安威脅。邱銘彰以目前橫行的勒索軟體為例指出,勒索軟體會得到駭客青睞,在於勒索的過程往往都是匿名,而且透過比特幣付贖款,很難像傳統的勒索方式,可以監聽勒索的過程,或是利用給付贖款時抓人,在「零風險、高報酬」的因素驅使下,目前甚至已經有整顆硬碟加密,連開機都有問題的案例出現了。
一旦勒索軟體災害發生,邱銘彰認為,企業要有能力判斷,資料本身的價值及重建的成本,以及對方要求的贖款是否成正比,真的不划算,可能還是要付贖款。
「但企業不能只是付完贖款就算了,而是要痛定思痛,了解為什麼檔案會被加密?同樣的事情有無可能再度發生?」邱銘彰說:「察覺問題所在,找出對應方式,才是根本解決之道。」
因應勒索軟體的威脅,邱銘彰認為,企業首先要有能力偵測惡意軟體,這本來就是資安服務業者應有的責任,其次則是要建立備份機制,而且可能只需要一台NAS的成本,比歹徒可能要求的贖金還低。

成立政府網軍不能只是炒作話題

虛擬空間的安全問題,已是每一個國家都必須面對的問題。由於網路已經讓全球呈現無國界的狀態,每一個國家都不斷的提升資安方面的能量,台灣自然也不能置身事外,不管是攻擊及防禦的能力,都有必要提升投資,其他國家在這方面的投資,都比台灣大太多了。
邱銘彰指出,來自於其他國家的資安滲透或威脅,其實已經是很普遍的現象,而且很多攻擊就算成功,可能也不易察覺,但國家競爭力一定會逐步受影響,如重要談判資料外洩時,可能要到談判桌上才發現時,就可能會讓談判落於不利的局面。
但成立政府網軍,實施的步驟跟計劃都必須要很精確,不能只是當成一個話題來炒作。邱銘彰指出,如韓國有網路安全局,新加坡則成立CSA,這些都是被賦予公權力的單位,一旦察覺有企業被攻擊,就可以適時限制或強制要求企業要配合各種資安對應行為。台灣目前受限於法規,政府很難要求企業配合,但韓國及新加坡的網路自由度也因此付出代價。
此外,不管是政府或企業,都必須要面對的課題,就是資安到底要不要外包?邱銘彰表示,最了解資安問題的人,照理來說,應該還是企業自己的資安人員,如委外業者看到的資料,可能只是有好幾個IP被攻擊,每個IP其實都是一視同仁,但企業自己的資安人員,就會知道哪個IP是高階主管,哪個IP是基層員工,對應的策略就會完全不同。
邱銘彰認為,政府一定要培養自己的資安人員,至少要了解資安方面的需求,才能跟委外業者溝通,而且層級不能太低,權限要夠大,如至少要掛在稽核層級的管理階層。更重要的是,不只是要防禦駭客入侵或稽核內部人員,還要能夠查出漏洞在哪裡,適時補強資安問題所在。

資安策略要靈活彈性有人性

資安問題之所以難以面對,關鍵在於軟體環境會不斷的變動,攻擊方式也會不斷的演化。因此邱銘彰認為,資安投資一定要保持靈活,才能適時提出不同的策略來面對問題。
為了維持資安策略的靈活彈性,邱銘彰建議,企業在選擇資安解決方案服務時,可以跟業者簽訂開口合約,服務及設備都採用租賃的方式,哪一種資安問題特別流行或嚴重時,就可以分配更多的預算到特定的領域。否則,有些資安設備所費不貲,如果投資錯誤,把大部分的預算投資在購買特定設備上,卻還是碰到資安問題時,可能請人來看一下都會有困難。
「資安的未來一定會是一種服務,不可以用IT設備採購的方式來管理。」但邱銘彰強調,企業就算要將資安外包,也得對資安有相當程度的概念,要清楚知道資安產品的極限在哪裡,會付出什麼樣的代價,要是自己都不會做,外包出去之後,好壞也無從評估。
另一個影響企業資安的問題,在影子IT(Shadow IT)現象日益普遍,邱銘彰認為,影子IT的現象往往就代表資安策略有問題,因為可能就是因為資安策略難以執行,才會有人想要另闢蹊徑,尋求別的方式來解決。
「資安策略要符合人性。任何資安策略,一旦影響企業的運作效率,都不可能長久。」邱銘彰強調:「不想去面對問題,就不會有能力去解決問題,用對方法,資安產品的價值才會出現。」        
Comments