在生活或工作，有時我們需要一位教練或是導師給予我們指引，有時需要一位夥伴與我們並肩做戰，有些時候我們需要一位閨蜜聽聽我們訴苦。
許多產業現在都有要求設置資安單位及資安長、定期辦理資安長聯繫會議；我覺得這真的是一個良策，讓資安長們可以互吐苦水、交換心得，戰略討論...白話也許可以說是互相取暖、討拍、互相慰藉。資安長的壓力確實大。
一、主題啟發
最近與一位夥伴在談金融零信任架構參考指引 ; 現在做零信任的廠商每個都虎視眈眈，嚴陣以待，他們對於政府或金融業的訊息發怖都特別關注 ; 而他談起近期有一種角色/服務出現，就是"零信任資安顧問評估服務"。

二、顧問服務

• 在資安領域我最常遇到的的顧問服務有二種，一種是資安相關認證導入的顧問服務，例如:ISMS、PIMS、PCIDSS...，另一種是資安檢測的顧問諮詢服務，例如: 源碼檢測的修改建議、滲透測試的漏洞修復建議。
• 而大約二~三年前，金管會開始對證券/人壽險/產險等金融產業，針對資安規範比照銀行業的要求 ; 而我在當時即聽到客戶向我提及，他們會依證券公會/產險公會的評估報告出來後才會開始規劃必要的資安設備，而證券公會/產險公會都是請"四大會計事務所"來做整體的資安需求評估。

三、法規VS管理實務的指導教練
近幾年四大會計事務所投多入資安的積極度很高，他們做會計簽證、資安認證輔導、資安檢測、資安方案建置;他們夾帶著龐大企業的基礎，加上他們在法規法條的專業度，以及專業組織的分工，他們有強大的底氣可以幫助客戶做整體的評估，相對的，大型企業也會需要這四大做背書保證。
金融產業為何需要資安評估顧問服務做為前導車 ?

• 應用性質致使資訊環境龐大且複雜。
• 新冠疫情、地緣政治的衝擊，致使數位金融、雲服務快速推進，而讓攻擊面擴大。
• 現在喊的 "零信件架構" 以及 "資料保全" 都是含蓋面很廣的議題。
• 資安方案上百套、分散管理、政策難以統一、資安事件反應慢、人員負載越來越高。
• 如果資安設備投資錯誤會造成高成本的浪費。

四、然而，人為疏失如何管理?
Orange Cyberdefense曾引用VERIS資安意外統計框架，指出全球所發生的資安事件中，大約有35%是源自系統的錯誤配置，顯示出若認真改善配置問題，全球組織將可減少1/3的資安意外。

• 2023年10月，美國國家安全局（NSA）與美國網路安全暨基礎設施安全局（CISA）聯合發佈一份資安報告，詳列出常見的 「10 大資安設定錯誤」。該報告是透過紅隊與藍隊評估，以及威脅獵捕與事件應變團隊的活動，找出的 10 種常見資安設定錯誤。
• 這10大資安設定錯誤的發生，多半會伴隨以下幾種情況：我不知道（專業知識或資訊不足）、我以為（單兵作業而缺乏查核）、我忘了（事務繁多而忙中有錯），尤其在資安能量有限的中小企業組織是更為常見的情況。
• 報告所列出的 10 大資安設定錯誤如下：1.軟體與應用程式的預設設定。2.使用者與管理者權限的分離不當。3.內部網路監控不足。4.缺乏網路分段。5.修補程式的管理不善。6.可繞過系統存取控制。7.多重要素驗證（MFA）方法薄弱或設定錯誤。8.網路共享和服務的存取控制清單不足。9.憑證的管理不善。10.程式執行未受限制。
• 因為技術的發展己有各類檢測工具產出，它們可以檢測內部各種產品的資安配置，密碼強度，漏洞利用性、權限的管理，測試SIEM告警的靈敏度、SOAR自動通報劇本的執行度，此外也可以爬出曝險在外的資料做攻搫性的檢測。當我們花大錢在合規、在資安產品、在顧問諮詢上，也別忘了定期盤查各種設定細節 ; 人腦有限，在不斷變更環境的同時很容易忘了設定的調整，別忽略了善用自動檢測工具，定期內外盤查。