上個月我們舉辦的活動中,有位香港來的講者,提到台灣客戶針對弱掃服務有『4不』, 不修復(證明有危害才修復)、不當機(不影響系統穩定性)、不掃描(最好一年掃一次)、不呈報(掃到弱點不向長官會報)。這觸動了我與他深談的念頭,深談之下發現,我們落後太多了,台灣就像5-8年前的香港。
最大差異是接受服務有價
香港為國際港都,算是亞洲金融中心,國際化程度高,許多地方需要國外專家的協助,自然帶動國際收費標準,既使本地公司或人才提供服務,也會比照國際專家的收費標準。在資安的專業領域,自然接受服務有價。
除了專業服務可計價之外,資安設備的採購上,台灣是買完產品後,服務免費,相對於其他大多是設備與服務的採購是分開購買。畢竟,要做好這麼多分析及找出解決問題的辦法,是需要投入較多的人力資源。一家以產品銷售為主的公司,能投入多少時間? 免費很難確保服務品質。
即使是採購設備,香港客戶願意為好的產品多付一點價格。價格太低反而會引起客戶對品質及專業的質疑。香港公司重商譽,相對被駭客入侵後,商譽被影響的損失,資安上花的只是小錢。
態度與機制決定成敗
以銀行為例,即使香港銀行規模普遍較台灣小,但跟銀行開會討論專案項目時,參與會議的人員,規模小的銀行至少也有2到3位參與者,規模較大的還會有5到8位參與者。然而在台灣,不論銀行規模大小,大概就只有1、2位。
在香港,負責資安弱點掃描相關工作的人員,一樣嘴巴會罵罵罵。但罵歸罵,還是會回頭動手做。因為機構內安全目標明確,發現甚麼樣的弱點,多長時間內必須補強完成,規定的清清楚楚。萬一工作太多,不能達標,未必一定是他個人的問題,可以跟主管理性討論,工作太多,人手不夠,要不就加人,要不就找工具幫忙,無論如何該做的就得做好。
自建防禦機制 vs 委外
2014 Heartbleed 發生,香港金融管理局(HKMA)在弱點發報當天,馬上要求銀行兩天內提交報告,報告有哪些受影響的系統。這時平常透過委外服務的銀行,受限服務商的能量,很難每家都能兩天內交出報告。這讓銀行興起自己做安全評估的需求。
有些外商銀行開始考慮利用Cloud Service, 但不同地方對法規的要求是一大疑慮。但無論如何外包也好,利用雲端服務也好,資安的責任還是銀行自己要肩負的,因為有安全事件發生,客戶去找的是銀行自己,不是銀行的服務供應商。
資安服務需要專業證照
2016 年五月,HKMA提出新的安全要求建議書,提出要針對弱點評估服務、風險評估服務、滲透測試(Penetration Test , PT)服務廠商的人員資格正規化,內容包括服務應如何定制訂相關人員的專業資格要求。
在專業資格上,有針對 Assessor (評審員,負責定義服務的範圍)及實際動作的Test (測試員,實際進行評估/PT 的人員)。
在建議書中,目前列出針對Assessor的專業資格要求為CREST iCast Manager,但同時列出以下專業資格亦在考慮之內:
1. ISACA的Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM), Cybersecurity Nexus (CSX)。
2. ( ISC)2的Certified Information Systems Security Professional (CISSP), Systems Security Certified Practitioner (SSCP)。
而針對Tester的要求,目前列出需通過CREST iCast Tester,另外建議:
1. EC-Council的Certified Ethical Hacker (CEH), EC-Council Certified Security Analyst (ECSA), Licensed Penetration Tester (LPT)。
2. SANS Institute的- GIAC, GIAC Penetration Tester (GPEN), GIAC Web Application Penetration Tester (GWAPT), GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)。
3. Offensive Security的Offensive Security Certified Professional (OSCP), Offensive Security Wireless Professional (OSWP), Offensive Security Certified Expert (OSCE), Offensive Security Exploitation Expert (OSEE), Offensive Security Web Expert (OSWE)。
可見香港的金融管理機構開始規範資安評估服務水平,要有高水平的服務,服務還真的能“免費附送”嗎?
錢多花在 容易呈現成效的地方
台灣目前花錢還是較願意花在看得到的地方,例如買防火牆(FireWall)、網頁應用防火牆(Web Application Firewall, WAF) 等網路防護,因為這些設備往往可以具體提出報告擋掉多少攻擊,成效容易量化呈現。反之,安全評估及弱掃評估等往內看的服務,比較難具體看到所謂的成效,經費配置相對就少。香港的朋友打趣說,就正如去做運動,我們買一副漂亮的太陽眼鏡,一雙好的運動鞋,再買個智能運動手環,出來的感覺就很專業。但太少人會注意我們在控制體重上下的苦工。
台灣還有一個現象,通常問題解決了,就被放下來,眼睛轉往其他地方。但是,安全不是今天好了,明天就可以放鬆,它必須一直不斷地檢視與改善。因此,整個企業組織訂定合適的安全目標十分重要也是必要的。
應該設置資安專職單位
在香港因為有許多資安相關工作要做,還要經常面對許多稽核單位的稽查(至少一季一次),故在香港一般都有專職資安團隊,至少兩人,一位負責Policy、一位負責技術。多舉一個數字,目前在香港有註冊的 CISSP (Certified Information Systems Security Professional)人數為 1,413 位,而在台灣,只有257 位。為什麼呢?是能力問題,還是市場需不問題?台灣人連續很多年,在 DEFCON 的 CTF 活動也能取得好成績,我不認為是台灣人員技術不夠,反而是對整個資安行業認同不夠。
而獨立小組的好處是讓該做的事,能具體落實。例如,系統更新目標是30天內把更新安裝好,但server Team 也許做不到,這時安全人員可與 Server Team 溝通是甚麼令他們不能達到目標,例如找出是伺服器量大增,人手不夠,這時可以協助尋找恰當工具來幫忙。
出事隱瞞 後果更慘
萬一出事,香港一般出事會上報,因為出事後上報了,如果發現該做的都做了還是出事,不會罰得很慘。但如果發現該做的沒做好,甚至不報則會很慘,最嚴重可以停牌。真的能隱暪嗎?稽查員會查Log,Log 的保存也有要求,如果事後有所隱暪,發現就會重罰。
結論
看看別人想想自己,台灣資安要改善,就必須組織單位的經營管理階層把資安當作運營的基礎,做必要投資,而非應付主管機關。
肩負資安工作的人,不能把資安當作一般尋常工作,作完了就結束。畢竟資安工作是一連續不間斷的任務,應該求好而不僅是完成一份工作。
資安從業人員的使命感,才是皇冠上的那顆鑽石。
<感謝Disney Cheng鄭學輝 先生的資料分享與見解,其目前其任職於Tenable Network Security,APAC Solutions Architect 亞大區架構顧問一職。>