資安事件頻傳,但仍不少企業的資安工作是由原本的IT或MIS人員兼差,甚至整間公司只有一個人扛起資安重責大任的例子也時有所聞。為什麼資安在一般企業中難以落實?從中小企業到大型企業,又分別需要怎樣的資安人才?
資訊人才缺乏資安訓練,高層缺乏資安思維
目前企業普遍的資安防護不夠,著重資安實務教育的亥客書院教學發展組組長張智凱,在台灣駭客年會HITCON Community 2018上分享幾點原因。
在人力方面,非資安領域的一般企業通常缺少專職資安人員,加上既有資訊人員的資安相關技術也不足。舉例來說,他曾發現會員系統雖然前台系統做得很精美,但後台資料庫卻以明文形式儲存帳號和密碼,沒有任何加密,顯示現有技術人員的訓練過程中缺乏資安教育。
另一方面,這也和高層缺乏資安思維有關。張智凱表示,高層追求具體效益,但在資安領域反而是「看不到事情就表示有效」,因此難以此說服高層在資安領域投入經費。此外,產業偏好自動化,但資安領域恰巧很難真正自動化,以及學術、證照考試和實務處理脫鉤等等,種種原因導致資安在一般企業中難以落實。
資安人員不只抓駭客,還有這些必備能力
那麼一間企業應該具備哪種資安人才?張智凱表示,以資安工作內容來說,可分成源頭的制度設計、系統設計與實作、營運維護和滲透測試等四階段;而以資安技術領域來說,則可分為威脅情資、資料保護、認證和稽核、可靠性和可用性四類。
不同的資安工作內容,搭配不同的技術領域,都需要不同的技能。以威脅情資為例,制度設計人員必須設定事件應變政策;系統設計與實作人員則要建置日誌整合系統、情資交換系統、事件應變SOP等;而營運維護團隊,要有能力處理情資分析、數位鑑識、事件應變、惡意程式分析等;滲透測試人員則負責測試弱點掃描、軟體漏洞和網頁漏洞。
當然,資安人力配置也會依企業規模而有所不同,將工作內容看作縱軸、技術領域看作橫軸,再搭配企業重點系統、可運用的人力,就能規劃出適合的資安人力配置。
張智凱建議,大型公司應設置資安長辦公室,負責整體制度設計,且核心縱軸成立工作團隊,例如,雲端儲存公司就建議要有負責資料保護,以及負責系統可靠性和可用性的團隊,至於其他較不核心的技術和工作就可以考慮外包。對中型企業而言,如果沒資源成立資安長辦公室,也能由資訊長或技術長兼任,並下設一級資安部門,主導制度設計,並建立資安營運維護團隊,其他如威脅行茲分析、滲透測試等業務可委外。
老闆也應該上資安課
「老闆的資安教育不能等,」張智凱表示,建議老闆可從學習資安政策制定和風險控管開始,讓老闆知道「沒看到結果代表是最好的結果」。不過他也補充,很多老闆不是不願意做好資安,只是沒人告訴他資安的重要性,建議企業老闆應學習了解最新駭客攻擊手法、影響及因應之道。
統計過去一年半亥客學院學員來自的產業別,張智凱指出,投入在資安教育的以金融會計、網通產業、法人和公部門三種產業最多,其中金融是因爲常是駭客首要目標、網通本來就是業務所需,會在榜上也不是太意外。
另外若以課程來看,則是網頁滲透測試最熱門。但張智凱也提醒,近來滲透測試、事件處理、情資分析等課程相對受企業歡迎,但若沒有基礎資安觀念和適當的系統安控,這些機制的幫助有限。例如,如果基礎安控沒做好,沒有正確備份log,在資安事件回應(IR)階段也沒資料可分析,「難為無米之炊」。
