從歷史老師變資安大師,他與駭客過招20年的實戰心法

2019.03.29 by
蔣曜宇
蔡仁譯
資安是只有專家才能涉足的領域嗎?Palo Alto Networks亞太區安全長Kevin O'Leary分享,學術背景出身的他,是怎麼走進資安的世界裡的。

時間來到1996年的布魯塞爾。當時26歲的Kevin O'Leary還是一個歷史老師,受到歐盟的邀請加入了一個教育委員會,協助歐盟各國建置教育合作資料庫,意外找到樂趣。從未接觸過IT的O'Leary被這個產業給迷住了。

那時Yahoo成立才一年,Google的搜尋引擎也剛創立,還掛名在史丹佛大學的網域內。O'Leary在IT產業正要開始蓬勃發展的年代,從茫茫的史籍書海裡,跳上開往未來的科技列車。

23年後,他已成為國際資安大廠Palo Alto Networks的亞太區安全長,在亞洲各地奔走,手邊放著他晚點要趕去香港攜帶的行李。回想過去,O'Leary肯定地說:「不一定要學什麼才能當什麼。」

從人文學術轉向網路世界,資安大師的自修之路

外人恐怕很難想像,資安大師的本科竟不是資工,而是歷史。不過,擁有中世紀歷史碩士學位的O'Leary,教職之路並不順暢。「我當了一陣子老師,可是我實在做不太來,教書太難了。」O'Leary說。在歐盟的工作結束後,他決心轉戰IT領域。

但已經讀完碩士的他實在沒有財力和時間回到大學重新學起,於是他透過在歐盟整理資料庫的經歷,找到了IT相關的工作——Levi's的基層工程師。

O'Leary第一份和IT相關的工作,就是Levi's的基層工程師。
shutterstock

「在Levi's,他們給了我一個管理資料中心的工作,而那是我接觸資訊安全的起點。」萬丈高樓平地起,資安大師的基礎,就是在值夜班的電腦室內,趁著空檔自修程式語言與不同的作業系統,一磚一瓦地架構起來。有經驗的積累,從沒受過專業訓練的他在2000年成功申請到了一份Unix系統安全工程師的工作。自此,O'Leary才終於正式進入資安領域。

資安三重點:機密性、完整性、可得性

一個安全長,在工作中到底會面對哪些事情呢?O'Leary笑著回答:「絕對不是一整天都盯著電腦打code。」他表示,安全長的工作其實非常有趣。針對各式各樣的企業客戶,他都要提供量身打造的資安策略。

「資安有三個重點,我們稱之為CIA,也就是confidentiality(機密性)、integrity(完整性)和availability(可得性)。作為一個安全長,你必須同時顧及到這三點,但也必須針對不同企業找出他們最需要受到保護的是哪一點。」

以藥廠來說,最重要的東西就是藥物的數據資料,也就是資訊的完整性。如果駭客竄改藥物上的數據,導致醫生在開藥時給了錯誤的劑量,可能會賠上人命。
shutterstock

O'Leary舉了幾個例子。以藥廠來說,最重要的是藥物的數據資料,也就是資訊的完整性。如果藥物還在測試階段資料就被流出了,導致機密性受損,或許會使藥廠在研發上遭受龐大損失;但如果駭客在不知情的情況下竄改藥物上的數據,導致醫生在開藥時給了錯誤的劑量,就可能會賠上人命。

對某些製造業來說,他們會認為可得性最重要,因為假設配送出了問題,可能會對工廠造成難以負擔的成本損失。至於政府與金融業,優先保護的當然是機密性。

這些產業間的不同需求,都是O'Leary過去20年內接觸電信、藥廠、金融、航空等產業後親身累積起來的經驗談。安全長的角色在業界裡非常寶貴,因為不是每個人都有能力客製化出最適合某間公司的資安策略,監督並適時進行調整。

資安應獨立於技術部門,為公司風險管理把關

O'Leary表示,許多人都對安全長的專業有迷思,覺得他必須要是一個非常技術導向的人。不過他認為,一個安全長最重要的是對風險有全面且入微的分析能力。

O'Leary觀察到,在亞太地區,許多國家把CSO(安全長)的職務囊括在CIO(資訊長)的管轄範圍內。但CIO優先考慮的面向可能有功能的運作、預算、新技術開發等,也就代表資安不一定能夠和其他決策的評估項目平起平坐,得到相同的重視。

根據Deloitte在2016年所做的一項調查顯示,越來越多公司認為安全長的角色定位,正從「網路守門人」的身份,轉變成公司整體風險管理的顧問。「這表示資安正逐漸獨立出來,不再隸屬於技術部門之下,成為直接影響公司整體營運的一個環節。」O'Leary說。

「這也是我這幾年努力在傳達的想法。資安應該獨立於資訊和技術部門,安全長應該要直接向執行長及董事會報告,並且有自己的一整個部門,為公司的風險評估做最專業的把關。」O'Leary認為,面對資安威脅的進化,公司也需要更加重視資安,拉升它的層級。這也是提升整體社會資安意識中,不可或缺的一部分。

防堵新網路攻擊,需抱持「零信任」的心態

提升資安層級,訂定出合適的資安策略,上述這些都是從上到下來完善資安的防備。至於個人和企業要如何因應新的網路攻擊型態,O'Leary以一個比喻來形容:「網路攻擊的進化其實有點像蚊子。有些蚊子身上帶有瘧疾,有些帶著更可怕的茲卡病毒。病毒變強了沒錯,但傳播的方式其實大多數都大同小異。」

雖然病毒升級、侵入的管道變多,但如果人們能夠抱持著「零信任」的心態去防堵各種威脅,開信時不輕易點開附件下載、定期更新系統、隨時備份資料,還是能夠有效降低被攻擊的機率。

以近年來常見的勒索軟體來說,很多駭客仍是以過去的傳播模式進行攻擊的。「很多傳播模式20年前就盛行了,但直到今天還是很多人會中招。其實很多駭客都是機會主義者,他經過每一道門都會開開看。若你沒上鎖,那他自然就進來。」O'Leary說。

不過,對於企業來說,O'Leary認為供應鏈攻擊是需要特別防備的一個環節。現在,越來越多企業都發展出自己的生態鏈,鏈上每一個端點,都提供駭客入侵的機會。「我看過太多例子了。有些是滲透企業的分部,有些則是第三方供應商雇用的IT人員本身就是駭客,而企業對權限存取的控管太寬鬆,這些都需要重新被評估。」O'Leary說。

但對於5G及物聯網所帶來的資安隱憂,O'Leary表示資安公司也都嚴正以待。物聯網的無所不在加上5G的高速傳播,兩者綜合起來等於有海量的資料可以讓駭客竊取。他舉例說,在深圳有超過300萬個人孔蓋,如果在上面加裝物聯網設備來測量環境,等於每一個細部的資料,包含交通狀況、路面高度、空氣品質等全都會被記錄下來。「人們紀錄了一堆不知道用來做什麼的資料。但假設這些數據被竊取了,我們也真的不知道他們會怎麼利用。」O'Leary說。

打一場永無止境的戰爭,O'Leary:我的工作充滿刺激

「所以我說資安是很刺激、很有趣的,不然我怎麼會把它當成我的工作?」O'Leary笑著說。
蔡仁譯

從業20年來,O'Leary看著駭客從最開始惡作劇般的竊取權限,到現在組織成跨國犯罪集團對工業基礎設施做出可能危及生命的大規模攻擊。放棄繼續研讀歷史的O'Leary,現在卻成了整個現代駭客史的第一線觀察者。O'Leary說:「歷史學的背景訓練我觀察事物的能力,讓我能用多種不同角度做思考。雖然很難說它與我現在的工作直接相關,但我想每件事都是相互連結的。」

雖然駭客的攻擊手法不斷出新,資安公司的防衛機制也持續築起高牆。從這個層面看來,O'Leary和Palo Alto Networks在打的可能是一場永無止境的戰爭。但這也讓他的生活充滿了各種新的挑戰。

「所以我說資安是很刺激、很有趣的,不然我怎麼會把它當成我的工作?」O'Leary笑著說。

延伸閱讀

每日精選科技圈重要消息