iT邦幫忙

2023 iThome 鐵人賽

DAY 28
0
Security

資通安全管理法入門系列 第 28

[Day 28] 資安法的未來挑戰

  • 分享至 

  • xImage
  •  

如果是探討資訊安全的未來,我是完全不夠格的,要談論的話也僅能是泛泛之談。資安的範疇從策略面、管理面,到技術面,每一層就如金字塔一般構建而成,每一層的知識都縱深且廣泛,如果要看得出資安的未來挑戰需要很深的體會。

然而在資安法的發展上應該是有跡可循的,會從目前的著重的管理面漸漸轉為技術實作上,稽核畢竟只是紙上談兵,十分重要也是資安的基石,但只有真正經歷過駭客的攻擊,我們才能真正理解駭客的思考模式和手法。

這就好像滲透測試和紅藍隊演練之間的關係。滲透測試可以被視為是弱點掃描的進階版本,它不僅僅局限於尋找基礎的漏洞,更深入地探索各種功能的邏輯,看是否可以由此引發更深入的安全問題。其目標是發現並記錄系統中的所有潛在風險。然而,紅藍隊演練的策略則截然不同。一旦紅隊找到一個可利用的漏洞,他們會深入挖掘、進行橫向移動,旨在取得最高級別的權限或達到其既定目標,而不再專注於尋找更多的漏洞。

在資安的技術面,最核心的不是攻擊手法有多先進或是防禦策略有多周全,真正的關鍵在於偵測與反應的能力:如何迅速地察覺到潛在問題,並有效地解決它。而解決方案不必非常複雜或高超,只要能確保即使在斷網的情況下,內部系統依然可以正常運作,這樣的應對措施就已經相當實用和高效。

在資安法的實務運作中,不僅有行政院的稽核,還有網路攻防演練演練,是真正的矛與盾對決,挑戰的不只是技術,更考驗整體的協調與應變能力。與實地稽核有所不同,主要的挑戰在於,演練並不是在預定的固定的兩三天內進行,而是持續一段的時間。這樣的設定使得工作同仁難以維持長時間的高強度防禦狀態,需要用他們日常的能力和策略進行應對。
https://moda.gov.tw/ACS/operations/drill-and-audit/652

個人預測,未來的資安策略將更加重視這類攻防演練。其背後的考量,除了技術和策略之外,人力資源也是一大挑戰。行政院的每次稽核都需動用大量人力,但攻防演練則可以不需要大量稽核人員實地到場,更能體現實際情境下的應對能力。


上一篇
[Day 27] 資安治理成熟度
下一篇
[Day 29] 資安法入門心得總結
系列文
資通安全管理法入門31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言