今年來APT攻擊炒的沸沸騰騰,原本期望新的攻擊及威脅,可能有機會引導台灣長期來的病態資安環境,走向正循環。這病態包含: 用硬體觀念買資安、服務無價、資源錯置來追求熱門議題的資安設備、資安業界低價非專業的競爭壓死同業、獲利差壓死資安專業人員。但看來阻礙重重。
現在的環境是,專業資安服務廠商,無法單獨賣服務,必須將設備與服務一起綑綁才能生存。夠專業又出得起價格的用戶,終究不多,所以資安公司不能長太大,以免一個風吹草動經營就出現危機。同時這種強調專業的廠家,仍必須一直尋找加值服務,以守住最基本的價格,讓公司能健康地往前走。
多家資安廠家對政府的軟體採購,更是牢騷滿腹。無論滲透測試、或是資安健檢,都須要具有豐富經驗、專業度又要夠的技術人員,才能將基本工作做好。除了使用一些輔助工具之外,都是靠人的雙手花時間一點一滴完成,沒有捷徑地硬碰硬完成。人員時間成本是固定的,價格不敷成本時,除非做義工,否則勢必偷工時、減工作量,甚至使用非授權或免費工具,一切就是降低成本。甚至出的報告是讓用戶喜歡的『沒問題,一切健康』,承辦及長官都喜歡。
這樣的成果與沒做,差異大嗎?
實際案例中,用戶每每在已經壓得很低的價格下,再殺價或要求做更多,這種扭曲市場法則的事,可能存在嗎? 或即使偶而可能被接受,但能持續多久呢?
大家都知道現在大環境不好,政府預算減、產業艱困、民間經濟不理想,企業首重降低本求生存。資訊預算有限進而制約資安預算,預算有限又要做越來越多的事,就只能靠變魔術了。
解決矛盾的現象可能有三個對策:
1. 政府帶頭將資安服務獨立採購,同時編列較充裕的預算,讓專業資安服務廠商能真正做好服務,留住專業的人員。
2. 建立資安服務廠商的分級制度,資安這麼專業的領域,應該建立分級制度,可以形成有序競爭,將競爭導向品質而不是價格。同時也讓承辦人員比較有膽子走最有利標,比較不怕被檢驗、比較不怕被扣以圖利廠商的大帽子。
3. 我常聽到許多地方,花錢買設備,買來之後有用不好的,或甚至一段時日之後設備閒置一旁,問題依然沒解決。政府單位或企業,請改變一套預算做所有事的怪異要求與期待。從風險評估中,依預算額度,確認要增強或改善的工作範圍,找夠專業的廠家,切切實實落實防禦工作,其他的風險就暫時選擇承擔。等有更多預算出來後,再規劃下一步補強計畫。
觀注資安環境這麼久了,能否從2015年開始,我們可以有一些樂觀的期待!