聽起來在乙方的生活變化多端,多彩多姿,豔麗迷人~
但是,每次放到前輩跟跟我說,看了你的鐵人賽或是演講之後,就換跑道跨資安了!!!
母湯母湯~冤有頭,債有主~真的要跨領域要好好想清楚~
資安聽起來剌激好玩,服務項目多元有趣,但是,有個前提是 – 你的恥度要夠,更要懂得以霸氣鎮壓全場!
怎麼說呢?
資安的技術檢測服務就目前而言,大部份就以人天工時來計價,
但是,如果是價格標,客戶就曾經回饋給我們 –
源掃弱掃滲透我都要,就只取一份報告,其他什麼都不要。
如果客戶有開發背景加上積極進取,弱點就有機會被修正;但就一般現實情況,會以價格標來選購資安產品的客戶,通常就只求有報告就好,所以修改什麼的…
就等有錢.有人.有時間.有要求… 再來改吧???
另外一種作法,通常就會直接請廠商把弱點藏起來,或是直接把整份報告的弱點清掉。
於是乎就算有 1000 個的弱點,產出到主管手上,或是上交主管機關,都是乾淨漂亮的報告。
客戶想的很美好,大家也不過出來混口飯吃嘛~你好我好大家好~
但是,你如果是廠商,你要嗎?
欸但性感人妻有心幫你驗證弱點,另外還無料放送真實應用漏洞,為追求真實,還加班熬夜,拋夫棄子完成報告,結果你說全部弱點拔掉改 0 / 0 / 0 / 0 ?????
你開玩笑嗎?我不要聽我不要聽~~~~~
當.然.不!!!
技術檢測是第一道防線!!!
下一次就是駭客的真實攻擊了欸?!
如果改成無弱點就沒有人會改啦?!
也不會後續被列為優化追蹤項目?!
也不能跟老闆爭取預算要錢錢欸?!
然後廠商也沒辦法賣新的產品了欸?
所以,通常這樣的客戶都會收到這樣的回應:
「不好意思~原廠工具 PDF 報告不支援編修功能噢~」
然後,比較高段的客戶就會拗業務去產一份可編修的手工報告及背書證明。
=________________________=
通常會在高層長官的關愛之下,總會有人完成這份報告,
然後,過一陣子之後,通常會在新聞上面看到這個弱點被實現而造成損害 Q Q
聽到這裡,是不是覺得,做資安好難哦~
掩耳盜鈴
通常就會直接請廠商把弱點藏起來,或是直接把整份報告的弱點清掉。
於是乎就算有 1000 個的弱點,產出到主管手上,或是上交主管機關,都是乾淨漂亮的報告。
這不是大家都知道的秘密嗎 XDDD
有的更甚至在做在工具端,直接產出 0 / 0 / 0 / 0 的乾淨報告。
我原本想說轉稽核就可以把這些東西抓出來,或者有機會可以讓高層知道,但即使抓出來了,受稽方會強烈 DEFENSE,也不是說想開就開的…
那我轉稽核幹嘛啦 XDDDD
DEFFENSE 誰?槍口對你還是對別人。哈哈
其實受稽方也有權說 不接受這份稽核報告的
或是有時候會威脅說 如果報告這樣寫 下次就會換驗證單位了
不是真的想開什麼 就能開什麼的 Q Q
其實,這一個現象也類似會計師報告,你不過我找下一家雷同。
不好說,說多了都是淚嗚嗚嗚嗚嗚~