我用 ~獅子~ 來發想今天的主題 ; 昨天在捷運站上看到一排的圖畫展示,其中有許多動物的畫像,我就想到我也劃了幾次獅子,於是這個主題由此而來。
我們對獅子有一種既愛又恨的複雜感情,一方面,我們討厭獅子的殘酷和懼怕牠們的侵略性,但另一方面,我們又欣賞獅子的雄姿,因此獅子也被刻劃為勇氣、力量、正義的象徵。
一、王者 ? 惡者 ?
- 聖經中寫著,以色列有十二個支派,其中一支是猶大,而猶大支派的象徵符號就是獅子, 因為以色列的先祖雅各稱他的兒子猶大是「小獅子」(創世紀 49:9)。一直以來「猶大的獅子」都是猶太人的象徵。在基督教中,「猶大的獅子」代表著勝利的耶穌,因為耶穌出自猶大支派(啟示錄 5:5)。
- 然而在聖經中,獅子也可以是惡,代表兇暴,殘忍和嗜血,是撲向善良之輩和殉教聖徒的惡獸 ; 務要謹守、警醒,因為你們的仇敵魔鬼如同吼叫的獅子,遍地遊行,尋找可吞吃的人(彼得前書5:8)。
二、聯想到資安領域裡的 Agent vs Agentless
在資安防護中為了監控設備、取得系統資料、執行檢測及阻斷惡意行為,因而必需在標的物上安裝軟體Agent(代理程式),例如 : 防毒軟體、端點偵測及回應MDR、資料庫軌跡監控、檔案異動監控、防資料外洩,軟體/Patch派送,....., 然而,有許多客戶不喜歡安裝Agent的方案,因為主機設備已經因為各種需求安裝各式各樣的Agent(代理程式),造成主機設備的負載不斷的增加而影響原本系統的運作效能。
- 安裝Agent的好處 : 取得較為詳盡的軟硬體資料、確保監測到完整的存取行為、資料有變動時可以及時回傳資訊給管理系統、可以較為容易對終端設備進行控制或阻斷異常行為,便於追踪遠距工作者。
- 安裝Agent的缺點 : 占用主機系統資源,具主機存取權限的系統管理者可能關掉代理程式,後續的行為便無從查證,與主機系統或與其它代理程式可能有不相容的狀況,Agent更新可能對主機系統有不可預期的影響,例如近期微軟/CrowdStrike的藍白畫面即是因為更新CrowdStrike MDR Agent所造成。
- Agentless的好處 : 通常皆是採用 ARP、SNMP、Nmap 等技術來掃描網路或是被動監聽網路封包,透過這些技術來獲取網路環境內的設備基本資料,讓管理系統的建置時間縮短,減少系統資源的用量,有效的降低系統的管理成本。
- Agentless的缺點 : 網路無法抓到使用者直接存取本機,或者以加密方式連線的狀況,無法阻斷(Block)異常行為,可能掉網路封包。
三、互相幫補
- 大破大立的領導者,通常評價是二極化的,在於由那一面向來評價 ; 而Agent和Agentless没有絶對的好或不好,可依系統設備效能,網路環境、法規要求、管理需求等因素來評估應對方式。
- 在ISMS資訊安全管理系統,對於無法改善的缺失或風險可以提出補救措施/因應措施來盡量完善管理,降低風險 ; 在資安環境中,如果僅以單一資安方案來評估其應用可能局限了其邊界,如果以各個資安方案的連結整合來評估,也許能夠由點組成一個面,減少產品與產品間的溝渠,增加互相幫補的效益。
例如具主機存取權限的系統管理者,有可能關掉代理程式的狀況,可以因應的方法是企業在責任歸屬上做到分權限制 ; 若是開發者連同系統管理與資安控管都是同一人負責,便是球員兼裁判的情況。
- 這幾年主管機關也立了許多資安檢測的要求,例如GCB的合規檢查,惡意程式檢查;或是遭受入侵時要做端點設備的全面掃描 ; 這一類的檢測可以在主機端安裝輕量的執行檔(綠色程式)進行掃描,之後將資料拋至管控端做分析即可,這讓一次性的檢測能更便利,減少安裝Agent的複雜也能達到收集資料的目的。
附錄:我的獅子
- 附上這些年我畫過的獅子; 我没有繪畫天份,甚至是不喜歡,但在2021年我爸去天國後,為了將在靈裡看到的景象讓家人看到,於是我開始拿起筆將它劃下來。
- 豬不怕胖、業務不怕別人說我醜,更不怕出名 (哈哈....) ; 因為這樣的經歷讓我更有意志參加這次的活動 ; 資安的管理也難以完美或是一步到位,總是在不斷的嚐試與改進中前進,而美好的是這之間的歷程。