資安產品安全嗎？

近年來，國內頻傳網站遭到入侵掛馬事件，政府單位與企業個資外洩情形也日益嚴重，讓使用者對國內資安環境感到不安及高度質疑。

　　事實上，近年來企業與政府單位對於資安環境的重視與投資是與日俱增的，但為什麼使用者卻無法明顯感受到資安環境的改善呢？問題的癥結往往出現在管理者對於資安產品的誤解與未深入了解資訊安全的真正涵義，以下，是管理者在導入資安產品時常見的問題：

選擇錯誤的資安產品

　　資安產品的導入，應該要做一個整體性的規劃，除了考量基本的功能需求外，最好還要能夠配合企業單位內的網路架構與機制，甚至連未來的擴充性都要列入考慮，才能讓資安產品發揮它的最大效益。

　　可惜在過去的工作經驗中，發現許多單位在導入資安產品時，都有點急就章，往往都是在單位內面臨嚴重資安問題時，才急著找廠商來導入產品，以解決眼前所遭遇的困境；也因為情況的窘迫，常常沒有足夠的時程規劃與測試，而導入了不一定最適合的資安產品。

　　另一種常見的情況，則是受限於預算或觀念的限制，能夠做的選擇很有限，無法選擇最符合單位需求的產品，而只能屈就於較符合現實考量但功用卻有限的產品。過去在蠕蟲病毒氾濫的時期，就經常遇到單位要求導入防火牆或入侵防禦系統來阻擋蠕蟲病毒，雖然明知道效果有限，只能治標無法治本，但許多公司為了業務的成長與業績的考量，還是明知其不可為而為之，硬是把不適合的產品給賣了進去！

　　不過站在廠商的立場來看，其實錯誤產品的導入也並非好事，一旦使用者發現自己砸下大筆鈔票買來的設備能發揮的功用卻很有限，未來對於資安環境的投資意願勢必將有所影響。

設定不良與測試方式失當

　　部份廠商可能受限於人力或技術的因素，在導入資安產品時，並未做好完善設定與測試，有些廠商甚至刻意灌輸給使用者「預設值就是最穩定環境」的觀念，而建議使用者直接採用預設上線；事實上，目前市面上常見的資安產品多是國外大廠的產品，預設值也多是針對國外資安環境進行的設定，對國內的資安環境與面臨的威脅並不一定適用；此外，多數產品為了避免造成系統運作的困擾，所以在預設值設定上，通常會採用較為寬鬆的設定，如果使用者直接採用預設值上線，對台灣網路環境當前所面臨的嚴峻威脅，幫助也將十分有限。

　　另一個常見的問題，則在於測試方式，由於多數企業並未建立自己的產品導入測試規範與標準，多是直接採用廠商提供的測試方式，也會造成一些測試上的盲點；基於商業利益考量，廠商在進行產品測試時，採取的測試方法多半不夠客觀，這很容易讓使用者對產品產生了錯誤的期待與認知，而未做出適當的設定與配置。

　　筆者在去年底尚任職於企業IT部門時，曾經導入過目前最熱門的網頁應用程式防火牆產品，卻也很不幸地遇到不盡責的廠商，直接告訴筆者預設值設定就很安全了！並以廠商提供的方式進行了產品的測試，測試結果看起來還算令人滿意。但當筆者檢視過該產品的設定值後，發現該廠牌網頁應用程式防火牆的預設值設定可說是千瘡百孔，經過實際測試後，發現果然可以輕易地繞過該產品偵測，對後端網頁程式發動攻擊，當回覆給廠商工程師時，工程師居然回覆「我們的測試結果是正常的，是你的攻擊方式錯誤！」這樣的回覆與專業能力實在讓人難以接受，難不成當駭客攻擊得逞時，也要將責任歸咎於駭客攻擊方式錯誤？果不其然，該廠牌產品的成功案例展示客戶，在不久後也被某資安部落格揭露具有網頁安全性漏洞！由此可見，建立企業本身客觀的測試流程與規範，也是企業資安任務十分重要的一環。

過度信賴資安產品

　　使用者導入資安產品通常是為了解決單位內現有的資安問題，但很多人也因此對資安產品都抱持著一種過度依賴的心態，希望導入的產品能夠輕鬆地幫自己處理掉棘手的資安問題，卻往往忽略了資安產品本身也可能具有安全性的風險。

　　以目前普及率最高的防毒軟體來說，幾家大家耳熟能詳的產品，也都發生過嚴重的安全性漏洞；所幸這些國際大廠的反應多半具有完整的應變處理程序，在問題被揭露後，也多能夠迅速採取處置行動，災害蔓延情形也較能夠有效受到掌控。反觀一些非資安廠商自主開發的安全產品，常常缺乏足夠的支援人員與善後處理制，在面臨產品本身的安全性風險時，常常束手無策，甚至是視而不見，置使用者權益於不顧。

　　筆者在今年的台灣駭客年會中，就曾經揭漏2家國內垃圾郵件防護廠商的產品安全性弱點，其中一家較具規模的廠商，雖然被揭露的安全性弱點嚴重層級並不高，但在筆者揭露後的第一個上班日，馬上透過關係找到筆者進行了解，並承諾立即作出修補與改善！反觀另一家安全風險十分嚴重的廠商，在安全漏洞尚未公開揭露前，便已提供技術細節並透過其客戶要求針對弱點進行修補，但卻仍只是採用錯誤的治標方式隨便處理一下，便沒有下文了！對使用其產品的客戶來說，形同資安管理上的一枚不定時炸彈！

未定期檢視與分析

　　許多單位由於人力的限制，並沒有專屬的資安部門，多是由IT部門人員兼任；平日繁重的工作業務就已經忙不過來了，對於變化迅速的資安技術與現況，也沒有足夠的時間去深入研究。所以多半採用自動化設定，讓資安產品去處理與解決資安的問題。

　　但有許多資安產品與系統並沒有標準的處理程序，而是必須要建立自己單位的基準線(base line)才能夠有效發揮作用的；最明顯的例子就是目前已經十分普及的防火牆設備，多數單位採購防火牆都只是拿來當作一個連接埠過濾的工具，而沒有去分析防火牆的記錄檔(log)；事實上，透過一些防火牆記錄檔的分析工具，可以有效追蹤並建立單位網路使用的基準線，不管是對於未來的線路擴充，或是對於潛在的網路攻擊行為防範，都是十分具有參考價值的。

　　此外，資安攻防技術的變化速度十分驚人，所以一些資安設備的規則與設定也都必須隨著網路情勢的變化而跟著做調整，否則在面臨日亦嚴峻的網路安全環境時，所能提供的防護效果將十分有限。
　　
　　由於筆者先前曾經服務於入口網站與金融業等單位IT部門，所以接觸過的廠商與產品經驗還算豐富；我相信沒有一個資安產品是絕對完美的，同樣地，也沒有一個資安廠商是什麼都會！我曾經與資安廠商的工程師，針對產品的功能或單位的需求，彼此在網路上，在各大論壇上努力蒐集相關資料並互相討論研究，終於找到符合單位需求的解決方案；也曾見過刻意擺高姿態，講得一嘴好技術但資安觀念卻值得商榷的資安顧問，當然也曾經從很多早已活躍於資安界的前輩與高手身上學到很多花錢買不到的技術與經驗；因此個人認為在資安廠商的選擇上，態度會是一個很重要的關鍵，在變化詭譎的資安環境中，過度的權威有時反而會產生誤導，如果能夠找能與自己教學相長的資安廠商，相信對於單位內整體資安環境的成長，才會是最有幫助的！