觀點

專業的演進

2004 / 11 / 12
Jay Heise 翻譯/陳冠彰
專業的演進

過去網路安全架構已不再可靠。為了符合新的弱點產生以及企業實際經營上的需求,防禦措施正逐漸地改變及演進當中。以上所言,對於那些受過神秘的企業防禦技術高度訓練的資訊安全專業人員來說也是一樣。當我們將專業工作不經由一定的週期來加以循環替換,而是藉由形式與功能上的演化,就會將它轉移給已躍為主流的IT管理員來主導。

不過,從事安全的相關人員並不必然都會走上過時之路。因為我們正面臨著承擔新興的威脅與問題—也就是如何確保Web services的安全,並且讓管理者滿意。同時,對於現今的企業來說,營運上的需求也逼迫管理者甚至是使用者,必須去擔任更重要的安全角色。現今的廣域網路中已有著許多的入侵管道,我們不可能再期待有一位安全專業人員守在每一個管道之前。

但是,你該如何在面臨快速改變的環境中,繼續去維持一個可接受的風險程度呢? 為了加強資訊安全的專業性,我們必須持續以有效的方式來提昇自己,應該將我們的資訊安全知識融入在日常活動之中,讓那些非專業的人士可以有效地自行運用。我們目前已經能應用在防火牆、防毒措施和存取控制上,而且更以同樣的方向應用在現今最熱門的產品像是SIMs、網路管理工具以及IDSes/IPSes。

一般來說,這種平穩漸進的方式可以增加科技上的可靠度。就像汽車在1920年時並不是十分可靠,駕駛技術只是屬於司機的專有能力。但是在經過了許多年的演進之後,今天的汽車駕駛已經變的相當容易,也不再是一種特別的服務。就像現在可以很容易地提供一個安全的網路連線,而不再需要幫員工請一位防火牆專家來協助。目前已有愈來愈多能夠達到安全性的軟體、硬體裝置和安全管理的服務,都以平實的價格來提供相同於專家等級的安全知識。

這些有關安全上的成就,能夠大幅減輕執行日常工作的安全人員的負擔,對他們來說可不是一個壞消息。因為科技演進的本質總是會一直提供新的機會,與其浪費時間處理已有解決方案的問題,我們倒不如花費更大的心力關注在更高層級的連結性與可攜性的新問題上,我們將會研發出可以提供有效瞭解組織的風險數據圖表的立即回報程序。相對於十年前來說,現在管理防火牆已不再是那麼重要,但是為了達到每日零威脅的安全防護,IPS系統的調校將會是一個需要特別關注的重要議題。

安全專業的成熟度是不能從攻擊後的復原速度,或是所減少的弱點數量來加以衡量的。真正成功的應該是以我們能讓非專業人員依靠自己的能力去處理威脅的程度來評估的。這就如同於俗話所說的:我們不能老是給他們現成的魚,而是要教他們如何去釣魚。