觀點

資安箴言錄

2005 / 11 / 07
Michael S.Mimoso
資安箴言錄

Steven Johnston,加拿大通訊隱私辦公室,資深策略研究與政策分析師
了解你的業務需求。
尚未了解公司的業務需求與營運活動前,不要輕舉妄動。 要在「第一擊」就取得優勢,這是非常有用的軍事格言,我在通訊官的訓練中學到這一件事,而且清楚地瞭解我的任務就是提供安全的通訊頻道。
安全顧問或資安從業人員經常要做一些工作:包括風險評鑑、安全架構、政策、標準,選擇適當的保護措施、教育與提升安全認知。這些事情都應該以達到營運的需求和支援營運活動為最終目的,包括促成、支援、保護、復原與回復營運所需的活動。如果對營運的需求與活動沒有適切的了解,在規劃安全計畫時很有可能會遺漏掉一些你不了解的部份,或者選擇了不適用的安全措施和控制方法。

Krizi Trivisani,喬治華盛頓大學CSO
幾年前,我很榮幸能夠跟Dorothy Denning一起吃頓飯,當時它正要從Georgetown到Monterey去,我們在當地一家知名的「The Tombs」餐廳用餐,感覺好像跟一位明星在一起。也許大多數人更喜歡跟布萊德彼特或珍妮佛羅培茲一起吃飯,我寧可跟Dorothy面對面坐著,讓我感到非常興奮。這些年來她在工作上為我指點迷津,在男性為主的商業社會結構中樹立一個女性的典範。能夠跟他一起吃飯真是酷斃了。
她告訴我一些經驗談,對於你無法改變的事物,不要給他太大的壓力,專注在你可以得到正面效果之處,你不可能強制一個改變一所大學,除非他的文化已經準備好接受改變。
「要怎麼收穫,就要怎麼栽」,Dorothy以此勉勵我。組織要擁有最棒的資安專家,除了有好的條件吸引他們,還要給予合適的訓練。畢竟資安專家真的太少了,已經是目前炙手可熱的搶手貨。

Stacey Halota,華盛頓時報,資訊安全與隱私部門主管
善用幽默感來傳遞訊息。
不要喪失你的幽默感,這並不是說在處理資安事件時,會有任何好笑的狀況。假使你可以用一種更幽默的方式來傳遞這個訊息,人們的印象會更深刻,有時候搞資安的就是不懂幽默,即使小事也會讓人誤解成很嚴重的狀況。幽默可以幫你更順利地扮演起「黑臉」的角色。

Mike Nash,微軟,安全與科技事業部門副總
隔離高風險區域是資安防護的鐵則。
你必須假設任何人都有可能攻擊你的系統,甚至不必找出什麼理由。我非常贊成網路必須隔離,每當我連接到網際網路時,一定要開啟防火牆才安心。
接著就是要保持系統維持在最新版本,而且要安裝防毒及反間諜程式等軟體。我通常都會在USB磁碟中,放著Windows XP SP 2及微軟AntiSpyware等程式,如果有朋友還沒安裝我就會免費替他服務。

Bruce Bonsall,MassMutual CISO
學著如何去「推銷」你的構想和創意。
約莫七、八年前,我出席一次地區性的安全顧問菁英餐會,主題是探討市場行銷的安全議題,這是我參加過最有意義的活動,跟與會者間的互動交流,讓我覺得沒有白費功夫。
我要說的重點是,資安從業者必須要學著如何去「推銷」你的構想和創意。關鍵在於你要知道誰會採納這些構想,找有預算和資金的商界人士準沒錯,然後把這些構想用他們的語言來表達,你就成功了一半。
安全專家經常會陷入專業術語的陷阱中,儘用些專業術語讓聽眾無法進入狀況,當你對非資訊的商界人士推銷你的安全方案時,試著從小朋友騎腳踏車一定要戴安全帽的例子來說明,一定會有不錯的效果,你必須舉一些聽眾可以想像的例子來強化你的說法。越清楚地表達你的方案、聽眾瞭解的越多,他們就越容易喜歡上你的點子,當然案子成功的機會也越高。
抓住聽眾的心。適時地點出聽眾所關心的主題,然後影響他們。報告前花一點時間瞭解聽眾的背景,報告時透過對於聽眾的認識,引用一些議題建立聽眾對你的信任感。讓聽眾感覺到你們是站在同一陣線、有共同目標的,並且告訴他們有哪些方案可以彼此互惠且同時達到目標。
維護資訊系統的安全,必須親力親為且結合眾人之力。絕對不是一人獨斷獨行就可以達到目標,這就必須要集眾人之智,在你的安全規劃中納入其他人的力量。現在就開始「推銷」你的理念吧,開始建立關鍵的合作關係,待時機成熟,你就可以推展你的規劃,而且可以適時得到所需火力支援。


Eva Chen,趨勢科技CEO
如果你無法阻擋這個蠕蟲,就沒有其他人可以做到。
猶記幾年前Code Red蠕蟲開始爆發時,我的客戶告訴我一句話,「如果你無法阻擋這個蠕蟲,就沒有其他人可以做到。」
一開始我還不太能接受。最後,我們在各企業的匣道上擋下了蠕蟲,公司同仁齊心解決這個以網際網路為溫床的麻煩。我也從客戶那邊學到了風險管理的新體認。
大型企業客戶間幾乎沒有網路邊界的概念,從供應鍊串起一個大的企業間網路,雖然這樣在商業營運上增加不少卓越性,但是也將企業安全置於極高的風險中。他們讓我體認到風險管理必須是多面向的,必須涵蓋產品面、人員面與服務面,並且要建構一個有效的、彈性的復原策略。
這個觀點對我而言,不下於我們要在有限時間內做出解毒程式或病毒碼的重要性。

Eugene Spafford,CERIAS主任,Purdue University
破壞比建設容易多了。
破壞比建設容易多了。懂得如何做出水晶花瓶的人很少,但大多數的人都可以輕易地打破它。實際上,只會拿鐵鎚敲破花瓶的人,可能不見得瞭解花瓶本身的脆弱性為何。對IT產業而言也是如此。
當駭客展示如何入侵系統時,不是展現他的安全專業能力,僅是展現他入侵、攻擊的專業。對於這兩者間的模糊地帶,很容易使人混淆,可以肯定的是,正常人是不會找惡名昭彰的壞蛋來替你做全身健康檢查的。

Terri Curran,Bose,資安部門主管
學習並瞭解你必須要保護的目標。
「你無法保護你不瞭解的事物」─這是剛進入職場時,我良師益友對我說的一句話。
走出辦公室,去見見你的商業伙伴與國際上的同行,學習如何透過改良一個小如齒輪的設計,進而改善公司產品。如果你從事製造業,就到工廠去見習。如果是在學術界,就去聽聽別人怎麼上課。如果你在財務金融界,就一定要到營業員那邊去瞭解實際狀況。
學習並瞭解你必須要保護的目標,是身為一個資安從業者最有價值的地方。


Damon Small,Memorial Hermann Healthcare System 網路安全架構設計師
善用blogs輕鬆分享資安訊息。
許多資安專家透過「部落格(blog)」吸收一些新資訊以及新的趨勢。透過部落格來提升內部的安全認知上也非常有效,我就透過電腦上內建的部落格來張貼一些小故事及資訊,分享給IT部門的同仁。有時候這比透過電子郵件中張貼一些連結還有效,而且還可以提供一個資訊儲存庫,大家隨時可以上來瀏覽。
除了張貼一些安全新聞之外,部落格對於電腦安全事件應變小組來說,還可以是一個共通工作平台,可以線上更新受害電腦的相關資訊,其他的成員及經理可以隨時隨地都看到最新的處理狀態。這個方式已經證明是非常有用且方便的訊息集散中心。
要提醒一點,記住不要張貼屬於公司的機密資訊,否則有心人就可以透過內部的部落格得到這些資訊。

Rebecca,Bace CEO,IDS界的先驅
擇善固執是資安人必備的性格。
我有三個資安經驗談,著實惠我良多,幫我度過探索資安領域的困境。
Donn Parker是電子商務資訊安全界的泰斗,他說:「擇善固執是資安人必備的性格」,好幾次在我們毫無對策即將被威脅所吞噬時,這句話就會浮現,帶給我們重新出發的勇氣。
在早期開始接觸資安工作的同時,Robert P. Abbott這位擔任安全稽核員的老朋友,他說:「搞資安跟傳教的工作是沒兩樣的」,你的任務不是去告訴客戶說上帝是存在的,而是你要自詡為上帝所授權的安全代表。
最後。我的老友Fred Smith也貢獻了一段珍貴的智慧語錄,讓我每天都受用。「技術人員有一種令人困惑的傾向,總是把他們感興趣的事物,視為最重要的。」漸漸地,安全與傳統的商業控制架構更緊密地結合,我對這句話的感觸也與日俱增。

Ron Moritz,安全策略主管,組合國際
資訊系統肯定是重要的保護標的。
CEO永遠不會體會到資訊系統的重要性,而且也不會砸錢作資安,尤其是投資在那些會以失敗收場的系統上。
大約一年前,我跟一位能源企業的CIO會面,他剛好成功地完成了核能設施的實體安全審查,檢查哨、警衛、配槍,以及嚴格管制的主控室,這些控制措施讓核能管理委員會的稽核員豎起大拇指稱讚,並滿意地離開。
一個月之後的複查,面有難色的IT員工氣急敗壞跑進CIO辦公室,因為在主反應爐一哩外的一個小機房中,僅用簡單的上鎖保護,沒有其他攝影機、實體入侵偵測或警衛,而機房中放的是連結至主控室的路由器,與連結電廠網路骨幹的線路。
聽起來真的令人震驚,更令人不解的是該公司的CEO竟然不會使用電子郵件。顯而易見地,企業的領導者完全不瞭解IT基礎設施對於企業的價值,更不會想到要去保護這些系統的安全。簡直就是管理上的一大敗筆,完全罔顧了股東、員工、客戶權益,嚴重危害公共安全與國家安全。

Dan Lohrmann,密西根州,CISO
發展高階的資安管理委員會,以提供指導方針。
發展管理層級的高階資安管理委員會,從營運主管的角度提供資安發展的指導方針。我們稱之為MiTECH(Michigan Information Technology)安全管理小組,提供我們鑑別出營運上的需求與風險。

Peter Gregory,Western Wireless Corp,CellularONE,資安分析師
稽核決不可委外。
辨識出哪些是你要保護資訊,寫下安全措施程序,並且持續維護。你可以將系統開發、技術支援、營運甚至會計委外,但是一定要自己稽核系統的可歸責性。
駭客是一群頗具想像力的人,常常不按牌理出牌,因此對於重要性高的IT與營運決策,都需要再三地進行適切的風險分析。拿建築物中的灑水系統來說好了,這樣的安全機制你要如何去衡量它的投資報酬率呢?除非很不幸地發生火警,不然你是永遠不會知道的。安全法規就像是建築施工也必須遵循建築法規,必須在建物中裝上灑水系統。
在系統發展過程中的每一個階段,都必須要將安全列入考量,而且在關鍵設計中,必須能夠否決掉不安全的設計方式。你無法有效保護你的電腦與系統,除非你真正了解它們的用處以及細部架構。

Jeff Moss,Black Hat創始人
資安最大的漏洞就是不知道已經被入侵。
最近剛搬完新辦公室,大門鑰匙也該重配了。資訊安全基於完善的實體安全與門禁管制,因此我希望可以找一把最難複製和破解的門鎖。
我知道真正厲害的竊賊,還是可以輕易地破解這個大門的鎖,不過卻會因此留下證據,讓我可以向警方報案並向保險公司索賠。我不希望竊賊輕鬆來去自如而不留下任何線索。
如果我們不知道已經發生安全事件,我們的安全也不會有任何改善。


Radia Perlman,昇陽電腦工程師
人是資安最大的關鍵因素。
人類無法安全地記下優質加密金鑰那麼長的字串,且在加解密運算時速度實在慢的可以,真的佔去太多空間、太浪費錢又不好管理,簡直是污染了整個環境。而且這些裝置以令人驚

Howard Schmidt,前國家網路安全機構主席
「在商言商,讓商業需求離不開安全,你就可以成功推展資安。」
剛開始我從事法務與國防方面的安全工作,工作內容真的很單純,只有做或者不做兩個選擇。如果你沒有一個很完善的安全計畫,就不要去實行。離開公務部門後,第一份工作就是擔任微軟的CISO,我的老闆沒有安全方面的背景,但是在做事方面可是很有一套。
共事一段時間之後,我認為他是一位好經理,凡事要求好的程序和計畫。我嘗試闡述安全就是應變和防禦,營業部門必須為安全而有所改變,經過一連串的挫折後。他給我一個忠告,「要以營運為優先,你將資安導入事業部門的工作流程中,告訴他們這樣會如何讓工作成果更豐碩,這樣你才不會老是吃閉門羹。」
他的洞察力讓我學到如何將資安的程序與管理融入營運中,從此資安工作也變得更輕鬆簡單。

Bruce Schneier,Counterpane CTO
安全是沒有所謂"作弊"這回事。
幾年前在加州聖塔聖塔芭芭拉舉辦的密碼學研討會,包括NSA的Brian Snow的一群人,討論到一種新的安全攻擊手法,是跳脫整個安全模式。我說:「這是作弊!」
Snow看了我一眼,但是他所回應的訊息,卻是我最大的收穫。
安全是一個系統,沒有所謂作弊這回事。系統包括了密碼學、金鑰管理、軟體、硬體、使用者介面與程序,而攻擊系統安全並不代表像一般人所謂的入侵,他是透過攻擊系統周邊的安全、或系統間互動的介面,破壞整個系統的完整性。
厲害的攻擊者懂得作弊,而高桿的安全守護者則會想出攻擊者可以作弊的地方。


Mary Ann Davidson,Oracle CSO
挑戰任何一個資安困境。
「你可以克服任何你能想像的大浪(天下無難事,只怕有心人)」,這句話雖然不是針對資安界,但對我而言卻是非常 受用。
幾年前,一個衝浪高手告訴我這句話。也啟發了我去挑戰不管多大的人生起伏,這句話對資安人絕對受用,你可以挑戰任何一個資安的困境。
也許你可能還沒開始划水,就已經錯過大浪,無法感受到這份興奮與成就感,你就自怨自艾地蜷曲在角落,裹足不前。還可能被後面趕上的小波浪給吞噬了。順其自然不見得是一個好的抉擇。你必須滑動雙手,才能迎向大浪,然後征服。你就不會被潮水淹沒,陷入黑暗漩渦之中。
搞資安跟衝浪沒啥兩樣,面對變化無常的網路環境,就像流動的海潮。當然,到處充斥著危機和衝擊。沒有比征服大浪更令人興奮的事了,勇往直前不要害怕失敗,划上浪頭,征服他。

Sara Santarelli,MCI公司,安全部門副總
面對資安事件時別過於自滿。
如果你不曾處理過資安事件,也許是你不夠努力去發掘問題,或者是用錯方法,無法體驗到現今駭客攻擊手法的創意。面對今日資安事件與弱點攻擊不斷上升的趨勢,過於自滿就是自掘墳墓。

Marc Noble,聯邦通訊委員會CSO
做事必須保留彈性。正如一位海軍陸戰隊的朋友說的:「Sempre Gumby(永遠保持彈性)」。

Dennis Treece,Massport,企業安全部主管
調整你的價值觀,記住「阻擋所有連線,有需要的才允許」,不要採用出廠值「允許所有連線,有例外才阻擋」。通常公司的網路流量都會遠超過單純維持營運所需的流量大小。記得留下讓人家可以寄信通知你的管道,或者在網頁上留下聯絡方式。

Diana Kelley,Burton Group,資深分析師
忘記「用最貴的安全應用程式或科技,就可以做到百分之百安全」這句話,資安必須要去瞭解營運上的需求,配上合適的安全政策,透過科技與程序去達到這些需求。
回顧近年來廠商與傳媒,都在傳達一些你「必須」擁有的安全方案。卻很少告訴你實際上的成本效益分析,和這些方案究竟能幫你緩和多少風險。
直接說明白了,你必須假設大多數的員工對資安都是一竅不通,但是他們卻必須穿越你設下重重資安路障,才能以最有效的方式完成工作。訓練與強化資安意識才是最重要的,不要再加深使用者的痛苦指數了。
更進一步來說,資安專家必須瞭解,資安不是跟業務部門唱反調,必須要和同仁密切合作,在資安專案計畫與推行階段尊重其他部門的意見,聽聽他們對於可行性和使用上的建議。記得要表現出恭敬的態度。當所有人目標一致,成功大門必定為你敞開。

Vint Cerf,MCI,網際網路策略主任,ARPANET創始成員
賽車手Mario Andretti說,如果任何狀況都在掌握中,那你的速度肯定不夠快。

Robert Ellis Smith,隱私權期刊發行人
你可以檢驗來應徵的人是否有問題,確保你不被非法人士所騙。有一個簡單的測試方法,就是撥一下申請單上面的聯絡電話,如果有人接聽而且對於是否有這個申請人的相關資訊交代的含糊不清,你就要提高警覺了。

Ron Rivest,RSA Security創辦人之一
在1995年的密碼學年會中,Robert Morris, Sr.告訴我一句話,讓我猶言在耳。「絕對不要低估那些入侵系統的對手和他所做的事。」 頭痛的問題獲得改善。值得一提的是,BES還提供自行包裝各種客製化更新套件的功能。對我們的虛擬企業而言

Scott Charney,微軟,可信賴運算部門副總
在IT安全界,我聽過最實用的一句話就是,「透過驗證方能建立起信賴關係」,說來容易做起來就很複雜,尤其是扯上「人」的因素。當我需要建議時,我會找來事業部門主管、法務部門與IT部門,召開跨部門會議,他們就會學到彼此間密不可分的依賴關係。

Ernie Hayden,西雅圖機場CISO
看到事情的全貌。
我所接觸到最棒的一句話,來自於我的同事兼好友Kirk Bailey(CISO,華盛頓大學,前西雅圖市的CISO),他說:「在制訂資安政策、程序與決策時,試著以一個宏觀的角度,從較高的策略角度切入,而且要憑著道德良心去做對的事情。」

Mikko Hypponen,FSecure防毒研發部門主管
不要相信任何人。
電視影集X檔案的Fox Mulder教我一句話,就是「不要相信任何人」。
嚴格來說,我們必須為自己的行為負責,靠別人不如靠自己。

TOM DAVIS,美國國會議員
資訊安全人人有責。
當政府即將重組的傳言出現時,我便告誡所有人要堅守崗位,保護網路的安全。 因為系統之間是互連的,只要稍有不慎,就會破壞整個安全鏈。 不論是在家中、學校或其他工作崗位上,人人都必須要認清網路攻擊會造成多大的危害,了解如何去預防與因應之道。

Dan Geer,Verdasys,首席科學長
當你可以衡量風險,才能改善資安。
我曾經參與一個長時間的會議,聆聽幾家大銀行說明他們如何做資產風險值的估算,總和出企業所面臨的整體風險等級。這是非常龐大且複雜的任務,議程主席在最後一天對與會者說了一番話,「現在,你們可以問自己,為何這些方法是可行的。我會如此回答,因為所有的資產都可以明確定義,而其面對的威脅及風險,不會有模稜兩可的意外狀況發生。」
回想起來,發現我們之間的專業領域還是有些差異,他是學財務風險管理,而我則是數位世界的風險管理。也許在他的領域中,誰會面對什麼風險,確實不會有模稜兩可的狀況,但是在數位世界中的風險估算,絕大多數都是模稜兩可的情況。嚴格來說,在這次的觀察中還是有些潛在的收穫,除非在數位世界中有一套衡量風險值的評估方法,否則我們無法估算出風險分數。沒有風險分數做比較,也喪失矯正改善的動機;沒有動機我們就不會去提出矯正措施,當然也不會有改善的成效。
關鍵在於衡量的方法,是讓我們持續前進的不二法門。