https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

非科班出身 說「管理」語言的資安人

2012 / 06 / 19
吳依恂
非科班出身 說「管理」語言的資安人

「從事資安工作10年,待過資安廠商也待過企業,涵蓋高科技製造業、電信業、金融業等中大型企業單位資安經驗。曾負責滲透測試、入口網站網路管理,甚至包括金融業與電子業的系統管理與資訊安全管理系統的導入與建置,專長在於資訊安全攻防與資安教育訓練,並且曾擔任多場大型資訊安全研討會講師。」

這是李柏逸在《資安人》駐站專家的自我介紹。十年前,並沒有太多的資安相關科系,企管系出身的李柏逸,可以說是憑藉著對資安工作的熱忱,一步一步變成「資安人」。

 

資安沒出事就去修電腦?

當年,剛從學校畢業的李柏逸,因緣際會當起了資安產品業務,卻因為對IT有興趣又熱心解決客戶問題,從業務轉型成產品工程師,再跳到經銷資安產品的代理商,在當時老闆的鼓勵下,李柏逸持續在資安之路上學習,不過當時為了要替客戶作trouble shooting,所學的大部份也都還是與資安產品相關,而非資安技術。

此後,他又轉而到金融業擔任資安人員的工作,卻是他資安生涯中的的一個轉捩點。他說,在資安工作中,有時候會遇到一些莫名的狀況,例如明明資安設備的報告未出現異樣,卻還是有些可疑的事件發生,他一直認為,事情一定沒有這麼單純,但是層層追查下去,卻越發覺得,產品不夠用、所學不足。

於是閒暇之餘,他也常去逛網站、論壇,看看別家公司系統出現的症狀,再檢查自己家是不是有相同的問題,即使是防毒軟體、IPS報告沒有示警,一發現有系統異常,他仍然也會主動送樣給防毒廠商。在這樣戰戰兢兢的資安維運工作下,小心翼翼地為企業網路安全把關。但主管卻認為他閒著沒事幹,派他去修電腦。他說「用人唯才。什麼人就做什麼事情,而不是把他的時間都填滿,看你有空就去做其他事情,這就像是三國志,總不能叫諸葛亮出去單挑、叫張飛去作內政、叫關羽去耕田!」自認為在資安工作上頗為用心,卻被主管看輕,於是他一時氣不過便離職了。

從產品工程師到資安攻防人員

雖然當時用心做資安卻被認為是無所事事的李柏逸,對資安這條路卻亦發感興趣,離開金融業後他一邊開始找資安相關的工作,一邊也開始進修資安相關課程。

而在該份工作的經驗,也讓他因此想要學習更多資安相關的知識,甚至是進入資安公司,他說,當時光是想要進入資安公司-數聯資安,就去應徵了兩次。第一次雖沒有成功,等到該公司又開職缺時,他又毫不猶豫的再度前往應徵。該公司主要提供一些資安服務,像是資安監控及滲透測試等,滲透測試可以說是一種白帽駭客的工作,對他來說,是更進階的挑戰。

他不好意思的說,剛進去的時候,師父帶著他一邊做滲透測試,他還頗為志得意滿,覺得自己剛踏入資安公司就可以做這種「厲害」的工作。沒想到,等到真正開始實作時他才發現,這跟當初在Lab實驗有很大的差距。他說「那是一種不一樣的view」,當時雖然對資安產品瞭若指掌,一旦開始學習駭客思維,才發現很多以前看不到的視野,突然跑出來了。

舉例說,當年一般企業只會看防毒軟體、入侵偵測系統有沒有問題,卻沒有思考到Web Application這塊,造成很多的漏洞,當然,以現在的資安意識,大部份的企業都已經注意到了。他也說,這些年來,企業的資安意識的確有長足的進步,從前,即使是有資源的大企業也不太願意做滲透測試,當時提出來,還會被人家說「你想太多」。

儘管師父會告訴他工作的基本處理程序,但他認為,真正的學習,還是要主動,當時,他常會翻閱師父們的報告,觀察並研究他們手法,怎麼找到弱點?怎麼利用漏洞?這些事情並沒有標準答案,有時在不同的企業裡,因為有不同的防禦方式,手法也會因此改變,他就這樣逐步累積經驗。這是他資安工作的第二個轉捩點,也可以說從此時他才真正的深入資安產業。

 

從甲方到乙方 再從乙方到甲方

從剛開始在資安廠商端,跳到企業端,來來回回好幾次,李柏逸更換了他的角色,也接觸到了不同的資安環境,這也讓他的資安工作有了不同的體會。他說,剛開始在廠商端的時候,常常會覺得很多東西的技術並不難,為什麼客戶不作?後來則是能夠逐漸了解,在企業環境下遇到的阻礙往往不是技術問題,而是牽涉到組織文化、架構,甚至是一些歷史的包袱。例如說,假設用了A產品,卻會影響到B產品的使用。他說,簡單來說在廠商那裡是練技術,在企業端則是學著思考整個企業、IT環境的整體影響。  

資安人員最忙的時候都是事件爆發的時候,看起來好像很認真,每天在加班。但這能不能避免呢?回憶剛開始在企業端從事資安工作時,與現在相比,還算是個火候不到位的資安菜鳥,卻也還可避免資安出大事,他認為,除了當年的攻擊比較少之外,也是因為他從源頭就開始解決的關係,在事件爆發前就把一些跡象給消除。

當年的資安設備,光憑防毒軟體與IPS,可以偵測出的東西相當有限,但他並不因為前端設備看不見就當作沒有發生過,雖然防毒軟體、資安設備抓不到,從人的觀察卻可看出可疑跡象,很多事情都不會是憑空冒出來的。為什麼這台電腦會不停的連外?為什麼一直去攻擊其他台電腦?一個好的資安人,應能見微知著,才能避免資安事件的爆發。

對許多人來說,「駭客」、「資安」這些名詞充滿了神秘感。現在已經可以被稱之為資深資安顧問的李柏逸說,近幾年來,突然出現很多人說要作資安工作,但是來面試的卻沒有幾個及格,不只是在技術上不足的問題,也有一些迷思,好像以為只要學得某些駭客技術就可以賺進大把鈔票。身為一個過來人,他認為優良的資安人員應具備幾項特質-

優良資安人員特質 

1. 要有獨立思考能力,對資安有無比的熱忱,主動學習。

他認為,身為資安工作者,都應該要有著獨立思考的能力,並且還要有無比的熱忱才做得下去。資安工作比一般IT還要吃力不討好,外面總有一批敵人在與你對抗著。「每天下班後還要花一些時間去研究新的威脅、漏洞,其實很累人,沒有熱情是很難做到的。」他說。

而有時候還不只是會有「外患」,還有可能會有「內憂」,李柏逸就曾遇過,有「主管的主管的朋友」在某資安廠商工作,於是主管就丟了一個資安產品讓他測試是否可以採購,經過他評估之後發現該產品有相當大的問題。個性相當直率的他,認真做了一份報告給主管,並直言如果堅持要採用,主管將會承擔一定的風險,最後也只好讓該主管打了退堂鼓。這種獨立評估、思考的模式,也是一個好的資安人員所應具備的特質。

2. 要學技術不要學產品。

現在有很多企業的資安人員,過度倚賴資安產品,設備出什麼報告就相信什麼,在這以外的東西就看不到了。他認為,一個好的資安人員,可以發現報告以外的東西,把奇怪的現象放大、追蹤,從而發現問題所在。他認為企業的資安人員該學的應該是技術,而不是產品。
他舉最基本的例子說明,除了要了解防毒軟體的操作與管理外,至少也要具備基本的惡意程式分析能力,否則對資安事件的處理就會變得很侷限。他說,就曾經看過很多單位的資安人員,只要防毒軟體沒掃到就當做沒事,即便其他資安或網路監控設備發現了一些異常狀況,所能做的處置多半也只是拿防毒軟體掃一掃,自然就找不出問題的根源並作處理,這時候如果跟廠商簽的技術支援又不夠力,可能就會因此造成持續的大量資料外洩。

上述是以企業可能發生風險的角度來說,從資安人員自身來看,這樣的工作態度,被取代性也會很高,因為產品的上手較為容易,只要訓練一陣子就可以,接下來累積的也只是對產品的熟悉度,卻非專業的經驗與能力。他開玩笑說「很容易被剛畢業的青春肉體取代」。相對地,如果學的是「技術」,累積的是實務處理能力與經驗,這是比較難被取代的,對技術人員來說也是保障自己的作法。 

3. 至少要能做到反向思考。

他認為,防守方至少要能做到反向思考,才能在遇到資安事件時追溯回去,如果想要做到白帽駭客的程度,甚至還必須要有跳躍性思考。反向思考,至少可以把被入侵的整個流程給兜順起來,駭客進來後做了哪些動作?這個網段是否有其他主機受害?大部分的IT人員,可能礙於人力、成本(發生事情找廠商來處理,所花費的人/天費用通常很貴),發現哪台主機受感染就把哪台修好,補起來就當作沒事。但是,一般駭客如果真的入侵,一定不會只有在一台主機上放後門程式,他根據經驗說,通常一定還會有「備援」,所以都不會只有一台主機有問題,此外,只要駭客入侵過某一個網段裡的主機,要再入侵該網段的其他主機就是輕而易舉的事情,企業接下來面臨到的,可能是內對內的攻擊,在同一網段之中,再也沒有防火牆、IPS在中間阻擋,可以採用的攻擊手法又更多了,他說,只要一台主機被入侵,整個網段都必須要做清查。

新鮮人可從社群、產業入門

最後,李柏逸也給資安新鮮人一些建議,儘管市面上也有一些補習班開班授課,但需要注意到講師的實務經驗如何,否則不只是會失望而已,還可能會學到錯誤觀念,他也建議資安新鮮人可以多參加一些非營利性質的社群團體或學術研討會,例如「HIT(Hacks in Taiwan)台灣駭客年會」、工研院的「自由軟體鑄造場」、「酷!學園」、TWNIC舉辦的「網路安全教育訓練課程」等,多透過這些活動去多認識人,才能夠更加認識這個產業,得到更多學習的資源,以免走冤枉路。

此外,拿資安證照或許可以增加應徵到資安工作的機會,但並非絕對,他認為,像是CISSP也只不過是達到剛好及格的門檻而已,拿到證照也不代表是高手。他說,CISSP是將資安拆解成10個領域的證照,什麼都教,每個領域都談到一點,儘管講的都不深,但初學者可以透過考取CISSP的參考書籍來了解自己對哪個領域比較感興趣,再繼續往下鑽研。

李柏逸 小檔案

技術經驗
弱點研究:
-2007 xx信用卡網站資料擷取漏洞(發表於TVBS)
-2007 NetC網頁應用程式防火牆偵測繞過(未公布)
-2007 各大入口網站及購物網站轉址漏洞發布(發表於資安人)
-2008 Yahoo拍賣防釣機制繞過(發表於chroot.org)
-2008 網拍賣場防釣機制繞過(發表於chroot.org)
-2008 網路銀行交易安全機制研究(發表於資安人)
-2008 Nopam+垃圾郵件過濾系統驗證繞過漏洞(發表於2008台灣駭客年會)
-2008 入口網站安全圖章驗證弱點(發表於chroot.org)
-2011 M86 restore injection弱點
技術能力:
-作業系統:Windows、FreeBSD、Linux
-網路相關:TCP/IP網路協定、網際網路架構、作業系統安全、網路安全、入侵偵測系統理論與設計、滲透測試與弱點稽核、防毒軟體測試分析與架構規劃
-實體相關:視訊監控系統、環控系統、動線安全規劃
專業技術資格
-通過 趨勢TCSE 認證
-通過 微軟MCSE、MCSA、MCDBA認證
-通過 RedHat RHCE 認證
-通過 Cisco CCNA 認證
-通過 Sun SCJP、SCWCD認證
-通過 Twcert TCSE 認證
-通過 CEH、CHFI認證
-通過 ISO 27001 LA認證