升任資安分析師時,我曾向Chief Technology Officer (CTO) 技術長問道:「未來一年,執行的工作上應該以什麼為目標?我們目前最擔心的幾個資安威脅是什麼?」當時CTO、CISO和我就這兩個問題進行ㄧ番長談,敲定接下來的年度目標。現在回顧當時這番長談,其實就是在拼湊所謂的資安藍圖Cybersecurity Roadmap,決定未來的IT Strategy資訊策略。
為什麼這樣的策略和藍圖很重要?因爲我在社群交流的時候遇過一些朋友,常常抱怨公司資安預算不足,這個也沒錢買,那個也沒辦法租,巧婦難為無米之炊,想找開源的產品,卻又不熟悉Linux不願意自己動手研究,那要怎麼辦?顧個懂Linux的實習生幫你研究Security Onion再幫你安裝嗎?另一種抱怨是市面上的產品太多了,目不暇接,究竟該怎麼選擇?或者覺得資訊安全根本是個無底洞,有買不完的設備,乾脆放棄。會有這些想法,多半是不明白自己需要什麼,以設備走向做決策,認為資安就是要買很多設備,其實如果有像前面文章提到做過資安健診,那怕只是大家坐下來思考:我們現在有什麼?我們最怕的幾個資安威脅是什麼?明白自己環境內需要加強的地方,將需求依風險程度排出先後順序,逐年編列預算添購,或是選擇代替的開源方案,打造安全的網路環境並非遙不可及的夢想,只欠缺資安分析師以專業評估,提供建議幫助主管下決策。
什麼專業建議?
以Ransomeware勒索軟體為例,當初爆發全球威脅的時候,我們團隊也向主管做出詳細的報告,類似文末所附的ITHome文章,從端點防毒、防火牆、端點偵防系統(EDR)、內部使用者行為分析系統(UEBA)、漏洞管理、資料備份、儲存設備、虛擬化平臺等各種角度,一一列出防護能力和對應方案,這個時候若是主管問該怎麼辦?要買什麼方案保護公司?我們是否能提出恰當的建議?如果公司今天沒EDR、UEBA和漏洞管理方案,該優先採購那一樣呢?
之前很樂烈討論的DDoS攻擊,針對各廠商提出的DDoS防護方案,那種比較適合公司?是否提供完整的防護?
如果公司的網站非常重要,網站面對的威脅將會影響營運,在網頁伺服器安裝EDR、啟動次世代防火牆IPS、WAF網頁應用程式防火牆,那個防護效益最高?
提升自我專業能力,提供建議,協助公司做出判斷,正是資安專業發揮的地方,大家一起努力加油吧!
“May the Force be with us” - - Jyn Erso
「願原力與我們同在」- - Jyn Erso《星際大戰外傳:俠盜一號》
來自IThome的技術文章:【杜絕勒索軟體威脅,從整體防護著手才是根本之道】強健度是整體防護的基礎
https://www.ithome.com.tw/tech/120214
來自NetAdmin網管人的文章:已知漏洞才是遭駭大宗 資安莫再捨薪輿而逐秋毫
http://www.netadmin.com.tw/article_content.aspx?sn=1801030010