身為資訊安全專家,應該成為「知道該如何做的部門」,而非「只會說NO的部門」。我們必須把重點放在如何讓用戶安全地做他們想做的事情,而非只是跟我們的客戶說NO,然後將系統鎖住。
兩個禮拜前,我參加在舊金山舉行的RSA 2013大會,並對所參加資安廠商的數量留下了深刻的印象。除了參加者的因素以及技術性會議裡突破性的研究發表外,技術性會議今年的演講場次也讓人耳目一新。
下面是我對於資訊安全意識、駭回去和合法攻擊等值得關注議題的一些經驗和想法。
安全意識計畫的七個有效習慣
Security Mentem的Samantha Manke和Ira Winkler討論了他們對於安全訓練和安全意識之間不同點的看法。他們強調公司內部安全文化的重要性,讓員工可以在日常作業裡應用最佳實作,進而導致組織內的長期安全意識。
他們介紹了最近針對財富500大公司中包括保健、製造、食品,金融和零售等行業的研究結果。這次研究重點在這些公司所實行的安全意識活動,以及它們的效果。他們提出了主要的發現,來建立他們的「安全意識計畫的七個有效習慣」:
- 建立堅實的基礎
- 讓組織買單
- 鼓勵參與式學習
- 更多創造性的努力
- 收集指標
- 和主要部門合作
- 成為知道該如何做的部門
我對這場演講的主要感想當然是在最後一個部分。我們身為資訊安全專家,應該成為「知道該如何做的部門」,而非「只會說NO的部門」。我們必須把重點放在如何讓用戶安全地做他們想做的事情,而非只是跟我們的客戶說NO,然後將系統鎖住。
我知道需要詳定什麼是該做而什麼是不該做的事情在公司安全政策內,但我們應該提高標準,將安全性成為幫助業務的一個重要部分,而非阻礙。
「駭回去」和「合法攻擊」
在大會期間,我參加了幾場有趣概念的討論,像是「駭回去」和「合法攻擊」。其中一場是由CrowdStrike的George Kurtz和Steven Chabinsky所帶來的Highway to the Danger Zone…Going Offensive Legally(進入危險區的高速公路…合法攻擊)。討論重點在於主動防禦的想法,利用進攻來對抗會影響公司的目標攻擊。他們明確地將這概念和激進駭客主義以及網路私刑(像人肉搜尋)做區分。不過,Steven Chabinsky同時也是名律師,他也闡述了這中間的複雜性,像是不同國家的法律和規定也不同,讓這概念一時很難被清楚界定。
另一場非常類似的討論是由趨勢科技的Dave Asprey所主持的Is it Whack to Hack Back a Persistent Attack。同時參加的還有EMC的Davi Ottenheimer,Titan Info Security Group的David Willson,以及前面提到的CrowdStrike的George Kurtz。他們討論著主動防禦/駭回去的現象,以及當在網路上實行時,法律、道德和業務層面的責任問題和複雜性。
結論
我個人在這些討論裡所獲得的主要感想是,主動防禦概念也代表會帶來風險和可能的後遺症,結果可能會帶來更多問題,而非解決問題。正確的作法應該是組織,特別是安全管理者,在面對目標攻擊時要有正確的態度,並且部署由內而外的防護措施。
我目前認為透過執法單位和私人公司間的相互合作會是最好、最安全的方式打擊APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊,最好的例子就是去年打擊Rove Digital的行動。
@原文出處:RSA 2013: On Security Awareness, Hacking Back and Going Offensive Legally
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
◎延伸閱讀
《趨勢專家談雲端運算》VMworld的熱門話題:為什麼安全團隊喜歡虛擬化桌面架構
小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事
關於雲端之旅的六個好處和風險(2012年趨勢科技雲端安全調查)
會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut)
《趨勢專家談雲端運算》軟體定義網路重新洗牌:VMware收購Nicira,Oracle收購Xsigo