APT攻擊出現後,改寫了防禦觀念與做法,企業或單位,如果沒有痛定思痛跟著調整,那就是根本不知道被攻陷了。
以滲透測試為例,國內有三種服務廠家,有以人工為主用手工打造的服務、有以大量接單之標準化服務模式、更甚者有以接單為主交完報告就結案,這裡面的差別就是價格與品質。
以價格為主的廠家,當然,人力素質不夠、以工具掃一掃、出報告結案。該找的問題沒找出來、如何改善更不知,做了等於沒做。
與一家精緻服務的資安廠商聊到,什麼樣的公司,願意付較高費用買專業服務,答案是靠網路生活的電商公司、遊戲公司、IoT設備商。幾乎沒有政府及金融,究其因,這些是標案市場,一堆人競價圍攻。或甚至承辦理解他們的價值,長官們或採購部門出不起錢。另一種情況是,有些單位政策規定,兩次服務必須用不同的廠家。這種種是不是很弔詭?
話題來到客戶為何會找上他們? 答案是客戶之前做的沒有效果。這讓我非常好奇,為何客戶會知道沒有效果? 原因有兩個,一個是PT才剛做完,就被攻陷;或是,被外部資源告知他們系統仍然有漏洞。
另一個矛盾現象依然在國內存在,就是做PT服務的廠家,與提供SOC服務廠家是同一家。雖然是不同的團隊,但這裡面存在多少公正客觀性。做是做了,『效果』究竟應該如何被看待?
這些種種讓我對比到,人生重病時,一定多方打聽醫生,甚至至少讓兩位醫師都看過了,才來決定下一步該怎麼做。個人面對生命的存續時,是如此高度關注,企業生命的存續,竟然如此輕忽。
說到APT攻擊,早期偵九隊李相臣隊長的一句話,深刻在心中『資安就該像警察一樣不停的巡守』。問題是,現在各企業有多少巡守能量?
個人深信面對APT的新挑戰,需要更多的資源,更清晰的戰略。把該做的真正做好,面對現在的新挑戰,半套防禦其實如同沒有防禦。