首頁 > 資安知識庫 > 駭客攻防與惡意程式威脅 > 駭客技術與新興威脅

在資安觀念上、做法上,我們落後香港了

作者:侍家驊 -2016 / 08 / 22 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

在建議書中,目前列出針對Assessor的專業資格要求為CREST iCast Manager,但同時列出以下專業資格亦在考慮之內:
1. ISACA的Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM), Cybersecurity Nexus (CSX)。

2. ( ISC)2的Certified Information Systems Security Professional (CISSP), Systems Security Certified Practitioner (SSCP)。

而針對Tester的要求,目前列出需通過CREST iCast Tester,另外建議:
1. EC-Council的Certified Ethical Hacker (CEH), EC-Council Certified Security Analyst (ECSA), Licensed Penetration Tester (LPT)。
2. SANS Institute的- GIAC, GIAC Penetration Tester (GPEN), GIAC Web  Application Penetration Tester (GWAPT), GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)。
3. Offensive Security的Offensive Security Certified Professional (OSCP), Offensive Security Wireless Professional (OSWP), Offensive Security  Certified Expert (OSCE), Offensive Security Exploitation Expert (OSEE), Offensive Security Web Expert (OSWE)。


可見香港的金融管理機構開始規範資安評估服務水平,要有高水平的服務,服務還真的能“免費附送”嗎?

錢多花在 容易呈現成效的地方
台灣目前花錢還是較願意花在看得到的地方,例如買防火牆(FireWall)、網頁應用防火牆(Web Application Firewall, WAF) 等網路防護,因為這些設備往往可以具體提出報告擋掉多少攻擊,成效容易量化呈現。反之,安全評估及弱掃評估等往內看的服務,比較難具體看到所謂的成效,經費配置相對就少。香港的朋友打趣說,就正如去做運動,我們買一副漂亮的太陽眼鏡,一雙好的運動鞋,再買個智能運動手環,出來的感覺就很專業。但太少人會注意我們在控制體重上下的苦工。

台灣還有一個現象,通常問題解決了,就被放下來,眼睛轉往其他地方。但是,安全不是今天好了,明天就可以放鬆,它必須一直不斷地檢視與改善。因此,整個企業組織訂定合適的安全目標十分重要也是必要的。

應該設置資安專職單位
在香港因為有許多資安相關工作要做,還要經常面對許多稽核單位的稽查(至少一季一次),故在香港一般都有專職資安團隊,至少兩人,一位負責Policy、一位負責技術。多舉一個數字,目前在香港有註冊的 CISSP (Certified Information Systems Security Professional)人數為 1,413 位,而在台灣,只有257 位。為什麼呢?是能力問題,還是市場需不問題?台灣人連續很多年,在 DEFCON 的 CTF 活動也能取得好成績,我不認為是台灣人員技術不夠,反而是對整個資安行業認同不夠。

而獨立小組的好處是讓該做的事,能具體落實。例如,系統更新目標是30天內把更新安裝好,但server Team 也許做不到,這時安全人員可與 Server Team 溝通是甚麼令他們不能達到目標,例如找出是伺服器量大增,人手不夠,這時可以協助尋找恰當工具來幫忙。

出事隱瞞 後果更慘
萬一出事,香港一般出事會上報,因為出事後上報了,如果發現該做的都做了還是出事,不會罰得很慘。但如果發現該做的沒做好,甚至不報則會很慘,最嚴重可以停牌。真的能隱暪嗎?稽查員會查Log,Log 的保存也有要求,如果事後有所隱暪,發現就會重罰。

結論
看看別人想想自己,台灣資安要改善,就必須組織單位的經營管理階層把資安當作運營的基礎,做必要投資,而非應付主管機關。
肩負資安工作的人,不能把資安當作一般尋常工作,作完了就結束。畢竟資安工作是一連續不間斷的任務,應該求好而不僅是完成一份工作。
資安從業人員的使命感,才是皇冠上的那顆鑽石。

<感謝Disney Cheng鄭學輝 先生的資料分享與見解,其目前其任職於Tenable Network Security,APAC Solutions Architect 亞大區架構顧問一職。>


2
推薦此文章
14
人推薦此新聞
文章回應話題
台灣網友 發表於: 2020 / 01 / 26
無意間看到這篇文章,根據(ISC)2於2020/1/1公佈的(ISC)2 Member Counts,CISSP證照人數:新加坡2191人,香港1827人,台灣326人。

在台灣,CISSP證照知名度遠不及ISO 27001 LA,而且在政府機關、國營事業,證照對於升遷、加薪並沒有絕對幫助,會去準備CISSP證照的人應該都是從事相關工作或公司有要求必須取得CISSP證照。另外,CISSP考試有相當高的難度,通過人數自然不高。

註:https://www.isc2.org/About/Member-Counts
SAM 發表於: 2017 / 04 / 26
TAIWAN S good in tech compared w HK
PS HKER IN EUROPE
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…