首頁 > 焦點新聞

[資安小錦囊] 選擇工具,也選擇服務廠商

作者:編輯部 -2018 / 07 / 06 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪


一位資安從業人員,大概都會有夜半突然被吵醒的噩夢,因為你永遠不會知道,下一次的攻擊會在什麼時候,或是資安事件會用什麼方式呈現。資安圈也常流傳著,駭客是不需要申請核准後才會購買防火牆。我們從國外的案例中也不斷強調預防勝於治療,這聽起來很簡單,但是要執行起來,又要怎麼做呢?


整合依舊是個困擾
理論上而言,目前駭客的攻擊已經不是單一的行為,他們甚至於會將攻擊的潛伏期拉長,因此他們也將有更充裕的時間,去做更多試探性的動作,如果資安人員夠機警的話,那就很有可能在事件還沒有造成傷害之前,提前將駭客的行為加以阻擋。談到此,第一個難題就出現了。資安人員從以往只需照顧好網路流量增進到現在每各節點、通道、主機、應用系統,甚至連使用者端都需要加以考量,然而,光要把這幾個部分的事件紀錄一一保存起來,就是一個大工程,外加資安人員還需要內部彼此溝通,讓全體單位整合。以資訊科技進步的今天,我們單從內部整合的過程中,就可以發現其實還有很多的路要走,也發現到系統內還有很多的紀錄依舊處於未處理的階段,這不但是資安人員心中的痛也是一大困擾。

設備到位,人員技術能力也需到位
從企業老闆或是高階主管的角度來思考,簡單明瞭的報告是他們最期待的,最好能透過數據分析與簡單易懂的圖表與說明來取代一堆艱澀難懂的技術名詞。「讓投資是有回報」這是每一位老闆基本對資訊人員的要求,然而對於資安人員啟動資安預防的作法、系統導入、軟體安裝、網路規劃與監測網路狀況等……這些如何能夠具體呈現呢?如何執行呢? 當然,資安人員可以採用最克難的方式,自己開規格、寫程式,但也可以購買現成的工具軟體。切記,如果購買現成的工具軟體,記得要有很好的擴展性,也就是不能工具建置完了,廠商就已經收手或是被其他公司轉賣,還是無法隨著軟、硬體升級而有所更新。

建置事件管理的過程中,同時也要訓練事件處理人員,訓練他們去辨別那些產生出來的紀錄是重要的,也別忘記了更重要的是人為的判斷,例如,並非要把所有伺服器、應用系統的紀錄都保存,然後做一個簡單的介面存取就可以了,而是要找出真正有可能對資訊環境造成影響的紀錄,將這些紀錄萃取出來後,還要經過人為的分析與判定,如此事件管理才能夠發揮一加一大於二的效果,真正達到事件管理的功用。

有些紀錄可能和系統、網路間都有關聯性的,如何找出這些關聯性,並且能夠達到預先示警的功能,資安人員除了要有資安基礎外,還要有相對的產業經驗,同時不斷吸收國內、外相關的案例,不斷的加以充實改進。當然,提供工具的服務廠商也是重要的一環,如此一來,當有了這一套事件管理軟體工具才能夠真正發揮所用。 


1
推薦此文章
0
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…