在本次調查中,有76%的受訪者曾經採用弱點掃描(VA)、滲透測試(PT)與事件處理服務(ERS),進一步細分各項服務的使用比例,1%的受訪者只使用過事件處理服務,63%的受訪者採用過弱點掃描或滲透測試服務,剩下35%的受訪者則表示前述二者皆採用過。若從產業別來看,教育業和電子商務零售流通服務業是使用比例最高的產業,分別為100%與92%,高科技製造業為40%、是採用比例最低的產業(圖1)。
觀察各產業在採用弱點掃描、滲透測試與事件處理服務上的比例差異,與產業特性習習相關。製造業素來傾向自行規劃建置資訊系統,再加上資訊人力/能力/技術充足,尤其規模比較大的高科技製造業,光是資安專職人員的編製可能就有10幾個,比一般中小企業的資訊人力還多,自行做弱點掃描或滲透測試自然不難。
至於教育產業之所以使用比例高的原因,則是受到教育部提供免費工具的影響。教育部曾經委外開發弱點掃描工具,並於2009年起陸續移交各個區網中心,提供TANET連線學校申請網站弱點掃描檢測服務。由於該工具只針對資料隱碼攻擊(SQL-Injection)與跨網站字串攻擊(XSS)兩大弱點,所能找到的網站弱點有限,經費稍稍充裕一點的學校,會委由外部廠商進行滲透測試,雙管齊下強化網站安全防護。
另外,醫療業的狀況也頗為特殊,在與受訪者電話訪談過程中,很多醫療業資訊人員表示,之所以採用弱點掃描服務,是為了完成ISO 27001的導入驗證。醫療業是個封閉保守的環境,IT投資相對偏低,決策者多將預算用於採購醫療設備,因此,採用資安服務的經驗相對其他產業而言較為缺乏,不過,近年來衛生署積極推動電子病歷,並提撥經費補助醫院導入ISMS,並在導入過程中請顧問公司協助進行網站弱點掃描,有些規模比較小的企業,其採用狀況亦與醫療業相同。
挑選廠商的條件 專業技術能力為首選
在使用者心中,一個好的弱點掃描、滲透測試與事件處理服務廠商,應該具備什麼樣的能力?我們列出9個可能原因,並請採用過相關服務的受訪者勾選出他心中的理想條件,並分別統計各個項目的得票數,結果如圖2所示。其中,專業技術能力票數最高、可說是獲得壓倒性的勝利,至於提供備品、緊急應變支援快雖位居第二,但其與專案品質控管佳(履約能力)、具類似專案經驗與客戶實績、收費合理這三個項目的差距並不大,換句話說,第二、三、四項得票數差距皆只有1~2票,顯見在受訪者心中,專業技術能力是第一優先考量的項目。許多受訪者皆表示,要找出網頁或系統的問題並不難,難的是如何提供解決問題的建議,這也是VA或PT廠商專業技術能力高低差異之所在。
.jpg)
很多弱點掃描工具在找到弱點之後,會提供制式的修補建議,但這是比較表層的解決方法,廠商必須根據自身經驗提出最佳解答,當然,專業技術能力不足的廠商,只能提供制式回答缺乏自身建議。製造業資安人員S先生舉例說明,假設工具找到網站有SQL Injection的弱點,一個缺乏技術能力的VA或PT廠商只會說,這要更改程式語法才能解決,但如果該廠商具有流程觀念的話,其所提供的解決方式還會有:對軟體開發人員做教育訓練、落實UT或ST軟體測試…等,倘若是具備系統架構觀的廠商,還會進一步點出,可能是系統架構哪裡有問題要調整,如:Web和DB不能放在同一個網段…等。
因此,在尋找弱點掃描、滲透測試或事件處理服務廠商時,可以先看他找出哪些問題,再看他提供了哪些解決問題的方式,最後才是比較報表格式與收費標準,另外,以下3點也可以作為企業評估廠商專業技術能力時的標準:(1)有多少技術人員可以執行工作;(2)過往的客戶經驗;(3)有沒有SOC代管經驗,或參考《資安人》雜誌第77期「評選滲透測試廠商從一分錢一分貨到充斥著謊言廉價市場」一文。
倘若單純就事件處理服務來看,客戶數量、及廠商所累積的經驗與處理能力,也是影響服務滿意度的重要關鍵。受訪者表示,有些經驗豐富的廠商,可以幫忙檢查曾經在其他企業發現過的問題,甚至能快速判斷出問題發生的原因,並在最短時間內解決,而客戶數量多的廠商,則可以利用不同客戶的服務經驗,及早發現問題,如:在其他客戶發現新的問題,就會過來檢查。
|
弱掃DIY 慎選產品
一般來說,滲透測試範圍涵蓋弱點掃描,但若企業單純只想做弱點掃描的話,有些受訪者認為只要買工具回來自行處理即可,此時,廠商技術能力不是重點,只要收費合理就好,而這種弱掃DIY的狀況在金融業尤為顯著,但企業必須注意的是產品更新能力,金融業O小姐表示,曾經採購過某廠牌的弱掃工具,掃描點沒有針對新漏洞去做更新,例如:Web 2.0或後門,使用上沒有太大效果。 |
溝通能力也很重要
除了專業技術能力外,有一點沒有列在選項中,卻可能影響產出品質的原因,那就是溝通能力。在電話訪談過程中,有些受訪者透露出使用VA或PT服務時的不好經驗,因為廠商的溝通能力不夠好,導致弱點掃描或滲透測試產出的結果幫助不大。電子商務產業IT人員H先生表示,弱點掃描或滲透測試廠商在執行工作前,通常會與企業相互溝通,向企業說明需要提供哪些資料,以及執行期間可能會有的影響範圍及層面,之後再據此規劃服務,然而當時發生的狀況是,企業認為自身已經提供所有廠商需要的資訊,但是廠商卻於事後表明資訊不足,導致產出結果卻不如預期,甚至與實際狀況有落差,如:有些主機互為備援、明明是相同的環境與內容,掃出來的結果卻不一樣,又或者找到的都是自家工程師已經知道的弱點。
金融業資訊人員G先生則說,做完弱點掃描和滲透測試後,廠商都會產出一份制式報告,並說明哪些AP有什麼樣的問題,如果該支AP是委外開發的話,就要進一步找AP開發廠商討論如何解決,但是經常遇到的狀況是,AP開發廠商表示沒有這樣的問題,企業夾在中間左右為難,最快的作法就是Call一個會議,把雙方一同找進來開會,請資安廠商直接說明問題及改進方式,偏偏資安廠商往往都表達得不清楚,平白浪費時間。
|
VA/PT攻防皆為同一方 小心落入左手打右手的窘境
有些委外專案會要求廠商除了開發系統外,也要提供VA/PT服務,就程式開發的觀點來看,這麼做當然沒有問題,系統上線前本來就要進行安全性檢測,但就執行者身份而言,開發與攻擊都是同一個人,好像左手打右手一樣,能檢測出多少的系統漏洞與弱點?這種狀況在政府機關最為常見,建議能在合約中註明委外開發商與VA/PT廠商需為不同人,或是分開招標,讓不同的廠商來執行,才能發揮比較大的效果。
|
留住人才 才能維持服務品質
綜合以上的訪談結果,許多受訪者談到資安服務廠商值得推薦的理由,以及對服務夥伴的期待。資安牽涉的技術領域很廣,許多問題不是靠單一產品就能解決。因此,具備有顧問規劃能力的資安廠商會受到企業組織倚賴,先提供資安健診的評估規劃。接著必須具備統整能力,一個好的資安規畫顧問必須廣結善緣,了解各廠商專長領域,能整合出一個面面俱到的完整解決方案,尤其也能做到技術整合,企業不希望產品各跑各的,而期待能真正發揮聯防的作用,尤其是在高風險的企業更期待能有自動偵測機制。更進階者,資安顧問必須能熟悉產業領域知識,若能洞悉企業風險,這對資料(個資)保護類型的專案來說,越顯重要。
資安服務,與產品最大的不同,就是服務的提供者是人,因此許多受訪者提到,他們之所以偏好某家服務廠商,不是因為他們技術特別厲害,而是他們知道如何與人溝通,這反映在滲透測試服務,也就是報表的呈現是企業看得懂、可用性高的。任何服務業都需要良好的溝通技巧,資安服務也不例外。某位受訪者提到「資安廠商都是需要磨的」,也就是對廠商提需求。經歷過越多案子的磨鍊,服務的客戶量越多,資安工程師/PM的經驗值也就越可貴。人就是資產,尤其對資安服務廠商更是如此。許多企業認為與其支付昂貴的維護服務成本,不如直接挖角,這也是許多資安廠商的痛。廠商能留住人才,才能持續提供更多客戶好的服務品質,為更多企業的安全風險把關。