有人說資安事件都沒有表面宣稱的這麼簡單,近年來資安事件的頻率似乎已經麻醉了企業的反應神經,不管是大還是小事件,最終都是以大事化小、小事一樁不足掛齒來收尾。我們來看看在ERS裡常發生哪些迷思。
迷思一:事件範圍與深度的認知
針對一樁事件,第一個步驟就是針對事件範圍應釐清,但是在這裡常見的問題就是頭痛醫頭腳痛醫腳,不夠全面。這樣事件範圍與深度的認知就已經與現實狀況不符,scope不對,也就導致最後處理結果的不完整,甚至是誤判形勢。
到底是什麼原因會有這樣的迷思發生呢?大概可以分為自發性的與非自發性兩大類,前者是單位內的負責人(這裡包含事件負責人、高層決策者或專案承辦人),對於事件本身的態度就「不想」太大張旗鼓,給一個交代收尾即可,另一面是來自於承接的廠商,礙於人員經驗、價格、時間,及甲方的壓力與不情願、不積極配合下所產生的自發性將範圍限縮。
範圍即決定了結果。另一種非自發性的因素,則是肇因於不同事件類型的特殊性質,因為處理過程中的方向錯誤,所造成的事件範圍定義落差。也有可能是因為參與處理之人員經驗與知識範疇不足的問題,這個跟另外一個ERS專業人員養成的迷思有很大的關係。
因為範圍與深度的認知不足及不一致,針對事件的處理就很難全面評估,至少範圍要抓對就是一個必要的能力。至於為什麼要全面來看,這樣就犯了廠商業務的大忌,時程及預算超支導致專案延宕付款延後,尤其ERS的利潤總是沒有比賣設備好,多半是做順水人情「撒畢思」(Service)。結果就是同一環境下事件再犯率、重犯率提高。另外,既然甲方都已經決定一個不合邏輯與事實的範圍,那ERS團隊又何必去戳破呢?
不能戳的秘密:碰過一些顧問的策略便是如此有商業頭腦,因為這樣下一季還有業績、總是會發生,留一些之後還會生意可做,或是賣一些設備方案進去。這樣的顧問或業務通常都吃得肥滋滋的口袋滿滿(不能戳的秘密不針對個人,上述是形容收入非個人)。
迷思二:如何選擇ERS團隊
好在這個問題現在比較少會遇到,目前較大的ERS服務幾乎都是綁在SOC年約中,就不必在事件最危急的時候還要開一個團隊評選會議,這是不合乎邏輯的迷思。若非常駐的團隊,對於環境內的熟悉度亦需要時間來熟悉,這是事件處理時間的浪費,因此採用年約與保險式的購買ERS服務會是一個重要的市場趨勢 。但是問題就在於,綁在其他資訊或資安專案中,ERS的單位成本是被低估與忽略的,甚至就是便宜的買菜送蔥價或等同免費。
若把時間拉回到可以選擇ERS團隊時,通常會有幾個錯誤的認知,第一個,團隊專案經驗洋洋灑灑很多頁,但是當初處理這些專案的人員其實早就不在公司或團隊內,因此團隊經驗不代表目前可執行能力。再者,資安事件處理通常不能條列出專案經驗,否則保密的要求與NDA(Non-disclosure agreement)精神就蕩然無存。
其二,人員的背景是否涵蓋企業資訊環境所需的處理能力?即便是有取得相關證照,還是必須多方詢問以往的客戶評語,以作為重要參考。幸好證照的迷思在台灣市場似乎不會太嚴重,多注意即是。
第三,喜歡先來個POC(驗證),但最後還是以價格取勝。採用模擬驗證方式是好事,但是回歸於現實面,即便驗證勝出,最後價格仍然是決定要素,導致了慣性以低價取得專案的市場機制。
迷思三: 甲方自己
甲方也就是客戶,在發生資安事件時會進入一個進退兩難的狀態,一則是要儘速先滅火把問題解決,另外在腦中的聲音則是找到問題會不會是自己管轄的問題?就陷入天人交戰的兩難中。最好的狀況是,負責資安與負責IT架構、負責應用程式的是不同的人員,而且資安事件處理要有最高層級的支持背書,相信決策者都是以把事情處理完整為目的,找出問題以後不要再犯。
不管因為IT部門做得好還是做壞了,都是責任,所以在配合處理時,要不要配合查?會是一個成敗的關鍵因素之一,這也是最常遇到的-「不清楚、不配合、不是責任範圍」的迷思。此外,常常有個狀況是平常已經有所謂的資安顧問與團隊的服務,或是已經導入ISO 27001等ISMS或PIMS國際資安認證,卻還是出事,尤其是經常上榜的就是會一再出事。這也已經是很普遍的迷思之一,管理程序的安全、認證的背書不表示實質的安全,只是陷入假安全的迷思症候中。
迷思四:資安顧問都可以做事件處理
資安這個領域是非常有趣也相當特殊。人員的養成途徑分成幾類,顧問型、實作安全測試、安全研究等,每種類型所需要的能力、背景、經歷各有所不同。在人力不足的關係下,以上類型通常都是通用型且互相兼顧,所以導入ISMS的顧問也可以做事件處理?滲透測試專家也可以做事件處理?更不用說是負責銷售的工程師也可以做?基本上,這是陷入一個「全才」的迷思。 簡單來說,就是叫醫生或電力設備專家去當消防員的意思。資安事件的處理需要廣泛的平台知識與經驗累積,但是沒有人一開始就是如同要當消防員或急救員的角度出發,來做事件處理經驗的培養。一個資安事件處理團隊,還是要具備有第一線的消防、急救人員,後面則是救人、診斷原因的醫生團隊。而第一線的處理判斷,則會影響現場火勢是否蔓延?是否可以迅速處理,又可以確保範圍最小化的關鍵。
因此,並不是人人都有功練或是可以當食神,那都是電影裡面演的,同樣的資安事件處理團隊並不是上述人員均可勝任。一個ERS人員養成,最重要的是背景知識與經驗累積,不同的事件類型需要不同的專才,甚至可以請求外部專家或客戶公司內的負責人員協助,總不可能人人都會AS/400或各種程式語言吧?再加上需要的腳力、體力、腦力與財力(設備),其實一個ERS團隊的成本所費不貲,真正能經營這樣團隊的大概也只有大型資安廠商可以做到。另外,ERS有時也會有「外國的月亮比較圓」的迷思。大多會被國外要求指名特定廠商,但是價格差異下要花更高的價格,而國外的資安顧問非常講究程序,但真正厲害的人,卻不會出來做這種不合經濟效益與興趣的工作,結果是遠水救不了近火,還不如找知名的會計師事務所來做。只是,要慎選,知名不代表什麼都行。
ERS團隊的養成過程通常是採取留好幾手的師徒制,所以一個團隊有沒有作業程序,有沒有定期研討或是專案後的檢討會議,通常就是經驗能否傳承的關鍵,說穿了,有時候工具比人好用、遠水救不了近火,企業也可以思索是否建立自己的ERS團隊,招募設立緊急救援團隊,至少招募條件中可以包含經驗、證照、一定的資訊科技背景、是否寫過軟體程式、管過IT網路設備,以上條件都是包含但不限於。
如果擋不了 更要沉著應戰
在今年RSA資安大會中,FBI的羅伯特.米勒說了一段話,沒有任何公司可以阻止這些駭客,不管是五百大企業還是鄰家的電腦。「將來只會有兩種公司:一種是被駭過的,一種是將要被駭的。而兩者的共同下場,就是再次被入侵。」。一語道破對企業對於ERS的需求趨勢,所以可以備而不用,但不能不防陷入上述迷思之中。
最後,提供幾項評量項目,可以看看是否對於破除迷思有幫助:
- ERS專有職務的建立。
- 證照與能力的等值性。
- 至少全面最大化設定範圍,勿草草了事或僅就報價範圍檢查處理。
- 價格決定處理高人力密集的服務品質?
- 團隊組成的能力經驗與真正第一線帶隊者。
- 不願聲張低調處理是王道,但是對內、對事應該要做到完整處理。
- 事件應追根究柢與驗證修補結果。
- IT通常肩負非常多的職務,也會有利益衝突的狀況,應降低這種可能。
- 處理後的教訓學習與經驗傳承。