鬼故事 - 真的有監控嗎

Credit: Star Wars: Attack Of The Clones | Anakin & Padme
靈感來源: UCCU Hacker

故事開始

小雨今天又到客戶家來做鑑識調查，
而這次做調查的單位比較大，所以小雨與多位同事一起進來處理，
但一進去聽到案情，小雨就覺得頭大了。

客戶資安團隊：「我們遇上勒索軟體，然後資料已經被偷走」
小雨：「好的，那是怎麼發現的？可以知道有確定有哪些資料被偷走嗎？」
客戶資安團隊：「我們是被勒索軟體組織公告之後才知道」
客戶資安團隊：「之後我們去查網路傳輸資料，流量確實有異常，大概從伺服器區三個小時傳走了 20GB 的資料」
小雨：「好的，那我們先進行調查，至於之後真的要跟勒索軟體組織交涉，我們有專門人士處理，不用擔心」

(小雨心想 ：這下頭大了，這種明顯的事情都沒辦法發現，不太能期望他們有留下什麼資料)

資安探討

我們常常說企業有資安監控，
但真的有做到監控這件事的其實不多，
沒錢／沒資源的連設備人力都沒有，
甚至可能連故事中要發現大量流量這件事都沒能力回查。

更多是設備擺著，錢花了但沒有安排去看，
就算有錢但是資安人力不足，根本沒辦法有效安排大家的事情，
誰會沒事看這些流量有沒有異常，更別說建立 baseline 了，
曾經看過一些案例，伺服器區主動對外部 domain 連線，
少數 IT 發現之後因為不確定是不是異常或是在更新什麼，
也就擺著放在那邊沒有跟其他人討論/調查。

現在許多單位都靠著產品去抑制資安問題，
這就好像一個人的身體出了毛病，吃藥當然是要吃藥，
但治好這次，下次還是又生病，因為生活習慣沒有變化，
一個企業/單位的資安問題也是相同，
花錢買資安產品的同時也應該加強自己的資安體質與團隊。

同時不論你是要"教練"還是"醫生"來改善你的資安體質，
請多加了解你請的人，你不會想要找蒙古太夫來建議你如何改善。