觀點

資安人的天堂路

2005 / 02 / 03
大滷麵
資安人的天堂路

在SANS 2004的年會議程中,總共分成14個主題區,這些主題的訓練課程,提供資訊安全人員所需的基礎與進階訓練,而我們所討論的「資安人才應具備的識能(competence)」這個議題,也可以從這些課程的內容窺知一二。茲將議程內容整理如下:網路安全(防火牆、VPN、入侵偵測),作業系統安全(Windows平台與Unix/Linux平台安全),資安稽核與應變(駭客技術、弱點與應變處置、系統與網路稽核、資安事件鑑識調查),資安顧問服務(ISO17799、 安全顧問、經理人的安全管理議題),以及CISSP的初級和進階課程。
從這些課程來看,我們可以把資訊安全的工作內容,依性質劃分成以下三類:技術層面工作、安全顧問與教育、安全管理與危機處理,三種不同的工作所需要的知識與技術能力亦不相同,所以在提升資訊安全人員素質與培育資安人才上,所歷經的訓練課程也不全然相同,就看你要從哪個面切入。在此將探討如何強化資安技術層面的識能,以及有哪些學習上的挑戰。
曾經有一位教授開玩笑地說,技術層面的工作就像是車廠裡面修車的黑手,這樣形容是一點也沒錯,因為許多作業系統、網路設備、應用程式都需要正確的組態設定,才能夠正確、正常、安全地運作,而最基本的資訊安全則是建構在這種正確的組態參數之上,正如汽車需要準確的定位、正確的鎖上每一顆螺絲,才能正常開動。這些資安人才個個都是技術層面上的專家(skill expert),也是真正站在第一線上的執行者。技術層面並不是代表職務上比較低階,在資安領域中,可沒有這回事;相反的純熟技術代表著專業、解決問題的方案,而且還是老闆的定心丸。
資安技術層面人員所需要的核心能力,是屬於通才型的,我相信每個組織裡面多多少少都有一兩個「鬼才」型的高手。就資安方面的能力而言,這些專家通常具備「熟悉作業系統」、「網路組態與架構」、「基本的程式語言撰寫」、「熟悉軟硬體配備和設定」這些特點。在SANS課程中的網路安全、作業系統安全、資安稽核與應變,均屬於資安技術層面相關的訓練。
接著我們從資安技術層面人員所面臨的挑戰,來談談如何提升資安領域的能力,以及如何培養優秀的資安人。



變、變、變
資訊安全的技術是隨著市場而日新月異的!造成技術層面人員必須要不斷接受新的技術和防護對策,這應該是整個資訊產業中的從業人員都會面臨的問題,只是對於資安人而言,是一個更沉重的挑戰。建議多利用電子媒體,如訂閱電子報、網路論壇、定期瀏覽國內外資安公司的網頁,來補充各種資安的新知。當然,如果公司裡面有專職蒐整資安情報的人員,每天彙整一份「國情日報」給相關人員看,則可以省去自己花時間、精神去找新聞資料,不亦善哉!?
對於企業內資安的制度、系統的維運,亦需不斷更新病毒碼、存取權限設定等等,尤其是面對最新的重大資安警訊,應該透過行政程序發佈因應措施,使第一線的人員對於如何應變、該怎麼做、執行程序有適當的了解;在平時,可以透過企業內定期教育研討來增進資安團隊的能力,以小組討論及報告的方式,讓小組成員產生交流互動。

丈二金剛摸不著頭緒
這個情況就是說,技術層面的從業人員,整天與網路設備、伺服器為伍,開口閉口就是安裝、更新,空有一身本領而無從施展。如果你對於這個情境感同身受,建議你有機會就多看看寫企劃案、建議書的人在寫些什麼,想想為什麼要這樣做,嘗試以較高層次的觀點來看整體的資安架構,也許可以從中學到不少寶貴的經驗。資安需要的是整體性、全面性的防護,在企業環境中普遍存在異質性的系統,如果只從片面的網路設備來做到整體的資安,是不能完全涵蓋整體的資安防護目標,更容易產生「挖東牆補西牆」、「越補越大洞」的情形。
所以,在這邊要建議各位技術專家,開始從整體規劃的角度來進行下一個專案,以達到更高水準的資安服務,同時也能夠提升對於資安專案的規劃能力。

以戰養戰增加實作經驗
許多教育訓練單位均提供以上所談到的資安技術的課程,包括證照考試課程、資訊設備採購案內含的教育訓練等等。當然,這些課程都是屬於基礎訓練,多少能夠提升技術人員的能力,但是,實際上真正要培養具有資安識能之優秀人才,則需仰賴經驗的傳承,也就是實作經驗的累積。
從2003年以來,重大資安事件不斷上演,在一波一波的病毒蠕蟲、駭客入侵、系統漏洞的橫掃下,國內的資安水準也漸漸提高,對於資安事件的反應與處置亦日趨成熟,可以從最近幾次事件中,國內受災程度遠低於歐美地區看出。也就是所謂以戰養戰,在技術、作業程序上愈練愈精,到第一線處理案件的收穫,比從書面資料、課程學習來的有效益,更能促進技術與觀念的提升。
資安稽核與鑑識人員是不是要算在技術層面的工作裡?資安稽核比較偏向於行政、監察之類的工作,而鑑識人員要配合資安稽核提供技術上的證據蒐集、處理,就比較偏向於技術層面的工作者。雖然現在鑑識軟體提供了很強大而便利的功能,但實務上大部分的案件還是需要大量鑑識上的領域知識,才得以完成。 技術專家,是公司的寶藏,當然會成為競爭對手積極拉攏的對象。要如何累積你「轉換跑道」時,論斤較兩的籌碼,這也是你成為優秀資安人的關鍵。綜合前面所談到的內容,不外乎「吸收新知、掌握脈動」、「向上提升、邁向整體規劃管理」、「以戰養戰」,針對這幾個方向去思考,你欠缺的是哪一塊呢?

成為技術專家的自學方案
表一中,分為網路安全、作業系統、應用程式與資料庫、滲透測試、資安稽核與鑑識這五個主軸。分別說明在學習上的要點,從這五個方面下手,截長補短,以自己找資料、練習的方式進行。
除了上述的學習途徑之外,現在最熱門的就是考資安相關的證照,取得證照的學習過程中,可以接受到系統化整理之後的課程,因此比自己摸索的學習障礙會稍小。因此,筆者鼓勵大家可以透過取得專業認證,做為學習的途徑。最後,以一張資安人員的識能成長圖跟大家分享。
(本文作者現從事資安技術工作)