觀點

資安亂源:錯誤決策層級與自曝弱點的產品

2017 / 11 / 20
編輯部
資安亂源:錯誤決策層級與自曝弱點的產品
政府與企業需要找到真正懂資安的合作夥伴,並且建立內部資安治理流程,這是現階段政府部門與產業積極邁向數位化時,經常忽略之處。

IT科技已成為數位時代國家安全與企業營運的利器,根據外電報導,去年底(2016)前約有三成在Fortune 100大的企業聘請資訊長加入董事會,以仰賴其在技術與網路安全方面的專長。顯然美國已越來越多企業開始讓IT與安全議題上到高層進行決策。今年10月份《資安人》雜誌採訪前來台灣的BlackBerry政府機構解決方案副總裁Sinisha Patkovic,來分享從政府、企業的角度如何來看待資安。採訪一開始 Sinisha指出,約有80%組織的資安決策是在錯誤層級決定的。

BlackBerry近年將智慧手機業務授權外包並收購Good Technology、Encription、QNX等公司後,逐漸轉型為網路安全與行動、軟體公司。談到政府機構的資安工作現況,Sinisha認為現在是數位政府時代,政府應了解安全的本質,並且將安全提升到治理階段才能做好資安。

西諺:「人如其食( You are what you eat.)」Sinisha將這句話對照到資安,即組織的安全建構在於所佈署的軟硬體、網路產品以及配置它的方式。當企業購入有設計缺陷的軟體,漏洞存在軟體架構上,就會陷入被攻擊的風險中。例如,許多廠商在產品內建使用開源碼軟體,並非開源碼軟體不好,而是廠商礙於成本沒有先請研究人員進行分析就急於推出上市,結果是讓產品本身成為客戶的弱點,客戶暴露在所購買的產品品質上。

其二,政府與企業透過第三方網路安全顧問公司協助檢視IT環境上各種配置與設定是否正確,但在行動網路時代,許多顧問業者對行動安全掌握欠佳,仍只擅長網路、防火牆、滲透測試等,對於在行動網路上如何安全分享檔案、安全進行即時通訊或對BYOD管理不甚熟悉。

第三、物聯網時代來臨,還有車聯網、醫療聯網,到處都要用到軟體,然而這些相關設備元件的製造商過去從未想過所生產的設備將需要連接網路,因此他們的產品未曾考慮安全架構的問題。BlackBerry在為某個政府機關客戶分析所購入的連網汽車上內建的軟體安全性時,發現除QNX作業系統外,連網汽車上所使用的其他影音、車載系統等軟體都沒有考慮到安全架構;而在醫療聯網方面,一個連網的醫療器材其供應鏈上可能有5~6個廠商,由晶片、軟體等組裝成產品,這中間A將晶片賣給B、B將模組賣給C…經過許多手,導致產品沒有一致性的可靠度,如同前述,這些產品被買回去放在網路上使用,就成了脆弱的一環。

透過安全顧問公司的服務,可以協助上述情況進行滲透測試以提升產品安全性。滲透測試是眾所皆知的資安日常工作,是從技術面來強化資安的手段,至於非技術面則需要靠網路安全治理。Sinisha解釋,網路安全治理是指所有的IT安全策略是如何被決定。包括所購買的安全產品是否安全、設定是否正確、BYOD是否可讓公用與私用分離…等,這些公共安全策略是如何被決定的?許多組織是由IT主管做決定,高層負責人完全未參與。

Sinisha舉實例說明,某公司老闆找來IT主管,「我們想用自己的平板,你為何不放行?又可以省下公司預算」老闆說。IT主管回答,「好,那是否可以先給我3個月還有幾萬塊預算來做個測試?」於是IT主管回去後準備了三個方案,分別是自帶設備(方案A)、透過MDM管理(方案C)、嚴謹度介於兩者間的方案(方案B),並請使用者進行測試。測試完成,將三個方案依照方便使用度、提高生產力、安全性與成本做比較並提出報告,結果是方案A成本最低、安全低、最方便使用,而方案B成本稍低、安全高、易使用。IT主管提交報告並且告訴老闆,「如果你選方案A,請你在此簽名,這是你的決定」。上述是一個很好的安全治理案例,這位IT主管用謹慎行事的方法來說服老闆,安全有價。

邁入數位時代,政府與企業需擦亮眼睛選擇願意對產品負責的合作夥伴,也需了解自己有自己的責任,如設定配置等工作,同時透過資安治理的建立,讓管理階層擔負起資安的決策責任,有了好的運作框架在衝刺數位化業務的同時才無後顧之憂。