升任資安分析師時，我曾向Chief Technology Officer (CTO) 技術長問道：「未來一年，執行的工作上應該以什麼為目標？我們目前最擔心的幾個資安威脅是什麼？」當時CTO、CISO和我就這兩個問題進行ㄧ番長談，敲定接下來的年度目標。現在回顧當時這番長談，其實就是在拼湊所謂的資安藍圖Cybersecurity Roadmap，決定未來的IT Strategy資訊策略。

為什麼這樣的策略和藍圖很重要？因爲我在社群交流的時候遇過一些朋友，常常抱怨公司資安預算不足，這個也沒錢買，那個也沒辦法租，巧婦難為無米之炊，想找開源的產品，卻又不熟悉Linux不願意自己動手研究，那要怎麼辦？顧個懂Linux的實習生幫你研究Security Onion再幫你安裝嗎？另一種抱怨是市面上的產品太多了，目不暇接，究竟該怎麼選擇？或者覺得資訊安全根本是個無底洞，有買不完的設備，乾脆放棄。會有這些想法，多半是不明白自己需要什麼，以設備走向做決策，認為資安就是要買很多設備，其實如果有像前面文章提到做過資安健診，那怕只是大家坐下來思考：我們現在有什麼？我們最怕的幾個資安威脅是什麼？明白自己環境內需要加強的地方，將需求依風險程度排出先後順序，逐年編列預算添購，或是選擇代替的開源方案，打造安全的網路環境並非遙不可及的夢想，只欠缺資安分析師以專業評估，提供建議幫助主管下決策。

什麼專業建議？

以Ransomeware勒索軟體為例，當初爆發全球威脅的時候，我們團隊也向主管做出詳細的報告，類似文末所附的ITHome文章，從端點防毒、防火牆、端點偵防系統（EDR）、內部使用者行為分析系統（UEBA）、漏洞管理、資料備份、儲存設備、虛擬化平臺等各種角度，一一列出防護能力和對應方案，這個時候若是主管問該怎麼辦？要買什麼方案保護公司？我們是否能提出恰當的建議？如果公司今天沒EDR、UEBA和漏洞管理方案，該優先採購那一樣呢？

之前很樂烈討論的DDoS攻擊，針對各廠商提出的DDoS防護方案，那種比較適合公司？是否提供完整的防護？

如果公司的網站非常重要，網站面對的威脅將會影響營運，在網頁伺服器安裝EDR、啟動次世代防火牆IPS、WAF網頁應用程式防火牆，那個防護效益最高？

提升自我專業能力，提供建議，協助公司做出判斷，正是資安專業發揮的地方，大家一起努力加油吧！

“May the Force be with us” - - Jyn Erso
「願原力與我們同在」- - Jyn Erso《星際大戰外傳：俠盜一號》

來自IThome的技術文章：【杜絕勒索軟體威脅，從整體防護著手才是根本之道】強健度是整體防護的基礎
https://www.ithome.com.tw/tech/120214

來自NetAdmin網管人的文章：已知漏洞才是遭駭大宗　資安莫再捨薪輿而逐秋毫
http://www.netadmin.com.tw/article_content.aspx?sn=1801030010