觀點

以攻防演練為主的資安人培2.0

2018 / 04 / 24
編輯部
以攻防演練為主的資安人培2.0

為落實資安即國安政策,與打造國家數位經濟的基石,去年11月行政院資通安全會報發布第五期「國家資通安全發展方案」。以建構國家資安聯防體系、提升整體資安聯防機制,與強化資安自主產業發展為3大目標,並將孕育優質資安人才列為4項推動策略之一,以做為台灣資安產業自主發展堅實基礎,並建立千人的資安應變小組。對此,行政院資安處長簡宏偉表示,根據2017年初的調查,目前政府資安人力缺口達500人左右,未來將透過教育部與經濟部共同推動的「資訊安全人才培育計畫」等方式,持續培養資安專業人才。

資安教育淪為紙上談兵
國內資安人力不足是存在已久的現象,第五期資通安全發展方案除了增加資安人才「量」的供應,也要提高「質」的問題。而提升資安人員素養的關鍵就在實戰能力的表現上,例如當事件發生時,能迅速予以回應處理,並了解掌握整個網路與系統弱點所在,避免損害範圍擴大,甚至進一步在駭客攻擊前及早發現並成功阻截。以往國內資安課程內容偏向理論,就算偶有實機操作的課程,也與企業真實網路環境有很大的落差,使資安教育淪為紙上談兵,無法應付企業實際需求。
即使這些年在政府、媒體大力推動下,企業紛紛導入像ISMS等資訊安全管理制度,也按照廠商顧問的建議買了各式的資安設備產品,建立所謂縱深防禦的架構。但不少企業主管還是會想問:「真正發生攻擊入侵時,這些防護是否真能發揮作用?」這時一場適度的模擬攻防演練,能協助企業檢視現有防禦機制在威脅發生時,是否真能如事前規劃般的正常運作,並找出缺失不足的地方。

建立模擬攻防的演訓平台
因此在方案中的培育所需資安專業人才中特別提到「以實習、實訓等方式培養實戰能力」、「建立學習與實習演練之平台」,與「促成國際資安訓練機構協同合作」的具體內容,就是希望藉由強調實戰經驗的教學方式來提昇資安人員在「質」上的實務能力。例如由科技部委託國網中心開發,配合資安人才培訓的CDX資安攻防平台,能讓使用者在安全隔離的環境下快速部署出具有漏洞的虛擬主機,並配合相關的檢測工具來進行操作訓練。也可建置成多台主機的網路架構,以模擬真實網路的狀況,進一步做為攻防演練之用。

第五期發展方案將國家的資安防禦機制從中央部會擴大到地方機關,建構以六都為首的區域聯防體系。每年由國家資通安全會報所主辦的大規模網路攻防演練也成為檢視單位資安防護工作落實與否的重要指標。雖然目前還是以政府機關參與為主,但隨著規模的擴大,關鍵基礎設施的業者未來也可能納入跨領域的演練範圍內。即便不是要求演練的對像,但隨著國內外金融、能源等關鍵基礎設施皆陸續發生攻擊事件,能檢視人員在攻擊發生時應變處置能力的攻防演練也將受到重視,進一步帶動民間企業在資安演練上的需求。因此國內不少單位開始推出相關的教育訓練內容。

強調實戰演練的資安人培2.0
無論是自行研發或國外引進的教材,與以往資安課程最顯著的差異就是以實作為主,強調透過實際攻防的上課方式,讓學員親身體會駭客發動攻擊時的整個脈絡,以培養學員面對攻擊時的應變能力。通常整個實作環境會包含三個部分:首先是包含靶機與模擬真實網路環境的演練平台;其次是用來執行弱點描描、資訊搜集、密碼分析等實作的各種資安工具;最後就是參考過往案例設計出不同的腳本場景。不過要提醒的是這類課程有些具有一定的技術門檻,或是將課程區分為基礎、實務與進階等不同難度,因此想參加的資安人員可先衡量一下本身是否符合所需條件。

以Cyberbit Range課程為例,會列出像作業系統管理、網路協定、資料庫等不同領域的基本資格條件,有些僅需具備基礎知識即可,則些則要求有實務操作經驗。或是像針對金融業的資安需求,就設計有金融網站防護、金融資料庫防護、金融高階防護不同的課程規劃,讓企業或個人可依單位需求或自身的職涯規劃來選擇訓練課程。

找回資安主導權
以往企業組織常依賴資安廠商或顧問的建議來進行相關設備的採購,如果剛好碰到負責的資安人員缺乏經驗的話,常常是花了大錢買了一堆用不到或不會用的產品,造成資安投資的浪費。透過攻防演練這樣實戰課程的訓練,能讓資安人員更清楚了解到自身環境裡缺少的是什麼?最迫切補強的地方有哪些?從這些地方著手,才能讓企業找回對資安的主導權。