前幾天看到微軟的資安課程廣告，有句話讓我有點啼笑皆非…

『將由邪入正，先臥底當駭客….學會如何放大企業弱點，然後再殲滅他們(指企業弱點)，改善防禦工具及對抗手法，讓正義得以伸張，企業安心成長。』

筆者想法是，企業的資安目前應該還沒有強大到殲滅所有弱點，就算改善防禦工具及對抗手法，企業也還沒辦法到零缺點，而且講句良心話，如果隨便去放大企業弱點，老闆可能會不高興，很快的可能先被老闆殲滅。

『知己知彼，百戰不殆；不知彼而知己，一勝一負；不知彼不知己，每戰必殆。

解釋：了解敵我情況，百戰都不會有危險；雖不了解敵人；但了解自己，勝負各半 ；敵我情況均不了解，每戰必敗。
孫子兵法《攻謀第三》』

(1)事件：京晨科技，國產監視器軟體漏洞，監視器恐有被駭風險(新聞來源：https://www.ithome.com.tw/news/125954 )
(2)被攻擊單位：京晨科技監視軟體(官方表示目前未有使用者受害)
(3)系統：NVRsolo, NVRsolo Plus and NVRmini 2 surveillance systems
(4)時間：2018年9月
(5)攻擊方式：官方表示目前產品未受攻擊

這篇新聞是筆者最近調閱公司監視器畫面時，突然想到這家上櫃公司(不是上市公司)，上網查了一下新聞，果不其然有漏洞出現，以下連結是京晨科技在9/19所公布的四個更新及漏洞。

京晨科技官網公告：https://www.nuuo.com/NewsDetail.php?id=0425

引述其說明：It is confirmed that other NUUO product lines are NOT affected by the reported vulnerabilities. 京晨科技說明該公司產品目前並沒有因這四個漏洞而遭受影響。只是IThome的新聞，卻比官方新聞早一天發佈，那麼IThome所引用的Tenable揭漏時間是在9/17，比官方又早了兩天，那麼顯見這個漏洞應該至少有兩天處於可被攻擊的時間。

一般來說，只要上APP store或者android商店，就可以查到很多監視器軟體APP，有些監視器廠商裝好主機之後，會借用其他公司的APP跟監視器連線，然而監視器的主機裡面，卻沒有防火牆、掃毒軟體等防線跟措施，這樣無形之中，主機就暴露在危險的狀態底下。筆者也曾問過幾家公司負責管理監視器的MIS，大部分都不知道有這個問題，甚且也不知道到底監視器主機裡面如何設定。

舉這個例子也是呼應到本篇前言，正常狀況底下，這些監視器大部分是外包，如果不是監視器廠商主動通知，MIS對於這種外包的監視器，大部分都是後知後覺的，公司也不會去太在意這塊，但是引述IThome這篇新聞的一段話：

例如駭客能以靜止的畫面取代動態畫面，就像電影情節一樣。

以這個案例而言，企業對於監視器的角色，就是『不知彼不知己，每戰必殆。』，這樣要如何主動殲滅呢？

這樣來說，企業不就處於一直被挨打的局面嗎？

筆者也不覺得如此，至少企業要做到『不知彼而知己，一勝一負』的狀態，公司不可能全部了解所有資安，但是至少也要知道，主機有幾台，有沒有思考過會不會有漏洞出現，即使是外包，也要定期在外包商來維護時，詢問是否有需要更新？ 這點就是知己之弱點，企業不可能殲滅任何漏洞，但至少要有意識，盡可能將漏洞防堵，這樣至少就有一勝可入袋了。