iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 27
1
Security

資安戰爭 三十六計系列 第 27

資安戰爭 三十六計之第27計:假癡不癲

/images/emoticon/emoticon06.gif《原文注釋》:「寧偽作不知不為,不偽作假知妄為。靜不露機,雲雷屯也。」

/images/emoticon/emoticon15.gif《原文解析》:

(1) 寧偽作不知不為,不偽作假知妄為:寧可假裝無知而不行動,不可以假裝知道,而輕舉妄動。
(2) 靜不露機,雲雷屯也:雲行於上,雷動於下,雲在上有壓抑雷之象徵,這是屯卦之卦象。

/images/emoticon/emoticon33.gif《出處》:

此計語出自《說唐演義》第六十二回的標題「尉遲恭稱瘋魔」。戰國時,魏國大將龐涓因嫉恨自己的本領遠不如孫臏,於是設計加害於孫臏,把孫臏的雙膝蓋骨割除,使孫臏成為廢人。當孫臏得知龐涓還要置他於死地時,孫臏只得使出「詐瘋計」,突然間發瘋。龐涓為了驗證孫臏是否真瘋,派親信去探訪孫臏,只見孫臏在豬圈裡手舞足蹈,抓起豬圈裡的豬食往嘴裡塞,還一邊叫喊「好吃、好吃」。親信把看到的情況報告給龐涓,龐涓深信不疑,也就放鬆了對孫臏的看管。孫臏可以到街市上遊蕩,時好時瘋,起初,龐涓還派一名隨從時不時地監護孫臏,後見孫臏成天瘋瘋癲癲,沒什麼異常舉止,就連監護人員也取消了。一天,齊國使者來訪魏國,得知孫臏的冤屈後,設法把他帶回了齊國。由此,孫臏用「假痴不癲」計成功地瞞過了龐涓的猜疑,並順利地回到了齊國。

/images/emoticon/emoticon76.gif《資安戰運用實例》:

駭客其實比你想像中的更強大,在僅有你電話號碼的條件下,他們只需懂得利用一種叫SS7的系統漏洞,就可以透過網路來監聽你的電話、偷看簡訊,隨時掌握你的行蹤。同樣的這種方法也可以被用在Facebook,他們只需要透過「忘記號碼」的步驟,就可以取得你臉書帳號的相關資料並且控制它。

Facebook向用戶手機傳送驗證碼的時候,駭客可以從中攔截,藉此重設受害者Facebook的帳密,因此在Facebook移除電話號碼後,駭客就無從入侵。移除電話號碼後,就無法透過接收電話簡訊的方法來收驗證碼,這時則必須採用傳統的Email驗證方法。不過大家只要花一點熟悉一下,應該不會有太大的問題。

據了解,FBI局長、Facebook CEO Mark Zuckerberg,都將自己筆電視訊鏡頭用膠帶貼起來,看來他們對於駭客的可能攻擊,是非常警慎的。別以為以上情形不會發生在你身上,提早防範還是比較保險,避免未預料的情況發生後,才來後悔。

原文請參考:《東森新聞--別再手機綁帳號!駭客假裝「忘記號碼」你的秘密都沒了》:https://news.ebc.net.tw/News/living/27166

/images/emoticon/emoticon13.gif《企業實務上,筆者觀點》

2013年今周刊曾經發表一篇文章,標題是:《花錢就能拿證書 台灣資安玩假的?》,原文網址如下:

https://www.businesstoday.com.tw/article/category/80392/post/201303280024/%E8%8A%B1%E9%8C%A2%E5%B0%B1%E8%83%BD%E6%8B%BF%E8%AD%89%E6%9B%B8%20%E5%8F%B0%E7%81%A3%E8%B3%87%E5%AE%89%E7%8E%A9%E5%81%87%E7%9A%84%EF%BC%9F

這篇雖然是比較舊的文章,但是依筆者個人經驗,台灣這幾年在「證照」資格的維護上,早早就規定幾年之內若沒有從事相關工作,就必須要回訓上課,如果沒在限期內完成,該證照就暫時失效。

依筆者經驗,證照只是個門檻,拿到了資格,不代表你就是專家,但是在學習上,如果有個考試認證,總會有個學習目標,尤其在未來多元化的社會裡,有學習有證照,自然有機會,或者未來也可以跨領域應用,因此,有時間還是鼓勵大家多考證照,只是,切莫以為考過就是專家,有空就多學習,多參加考試,忙的時候,就專心工作。筆者個人已經有三十張以上的各類證照,本年度去參加某課程認證時,某位上課老師已經拿了一百多張以上的專業證照,他與讀者的想法一致,如果你想進某個領域,但是又很茫然之時,考證照的確是個幫助你找到方向的方法

同理可證,資安證照也一定是會越來越多樣化,也會越來越細分,想進入的人可以選擇某些特定的領域,開始學習,更重要的是,真的進入實務界之後,能夠將實務上的經驗搭配過去學過的資安證照的內容,舉一反三的提出解決方案,這才能發會證照的最大效用。

另外,有關企業導入ISO認證的部分,ISO 27000系列都是與資安有關的企業認證,筆者任職的公司剛導完ISO,筆者的認知上,其實ISO都會派老師協助企業制定內部SOP的條文,可是還是會有些問題,筆者整理成以下四點:

第一, 企業各單位普遍不知道名詞的定義及新的知識,很多上課的講師雖然很努力地解說,但是,相對的遇到的反抗也越多,主要因為公司的人員素質良莠不齊,很多員工做事情,都是依照個人過往的經驗在處理事情,總認為自己的經驗,在過去沒出問題,未來就應該這樣處理,然而,事實上,新的觀念早已改變,很多企業內部,普遍還處於封閉式狀態,缺乏向外學習的組織狀態,要重新在觀念及定義上,給予改變,實際上是困難重重的。更可怕的是,很多單位主管,在進行ISO課程訓練時,一開始就是拒絕的心態,這更是無法落實ISO要求的主因之一。

第二, ISO的講師,通常會給公版模板給企業參考,因為時間上的限制,所以只好以公版的方式,請企業修正,但是,企業員工拿來就照套,完全不管公司有沒有建置該流程,反正,就是有寫就好,結果實際執行,馬上出問題,筆者曾經看過企業講師花了一星期協助企業修改內控,並且實際比對結果,但是,最後還是只是個外表的形式,整體組織的運作還是斷鍊的狀態。

第三, 當ISO進行後續稽核,請公司各單位互相稽核,甚至由ISO派講師親自稽核,同時會定期檢視改善狀況,但企業真的有改善嗎? 答案是大部分都是在應付而已,最可怕的是,有些企業導入ISO後,內部制度變成多頭馬車在執行,筆者給諸位讀者一個觀念,千萬不要不相信,很多企業同樣的一個流程,出現三種以上的表單,這些表單有時都是同樣的一個作用而已。

第四, 導任何制度時,都應該由總經理或副總級以上的人員親自參與,企業在建置任何認證或者制度時,如果沒有一個有實際權力能夠整合橫向溝通的人,那麼就如同上述的問題,最後沒有整合成功,反而照成更混亂的情形發生。

以上四點,就是在導ISO時,筆者所見之部分心得,給各位讀者參考,資安的導入是個很重要的議題,如果無法達到內部整合,那麼所謂的企業資安,就會流於形式。

假作真時,真亦假 ; 無為有處,有還無!


上一篇
資安戰爭 三十六計之第26計:指桑罵槐
下一篇
資安戰爭 三十六計之第28計:上屋抽梯
系列文
資安戰爭 三十六計36

尚未有邦友留言

立即登入留言