我想由 "情、理、法" 來表達我在資安業務這個角色的三個面向，雖然我講的鬼話可能比人話多，但是由下列的陳述，相信您一定可以體會我也有一顆赤紅的心 ; By the way，我除了會說人話、鬼話，我還會說 "方言"，方言是指一種與上帝之間獨有的溝通語言，別人不一定聽的懂，白話文可能就是悄悄話吧 ! 順帶一提，我的閔南語不太會轉，有點卡。

一、數學魂

• 原本想下的標題是 "數學理"，但這實在太理科腦了，於是換成"數學魂"，感覺特別有魂魄氣。我讀的是數學，大學時做過家教，畢業後在補習班待了二年。我特別能理解每個人對同一件事的理解構造不一樣，我會想盡各種解說方法讓學生能理解及應用。
• 當我做業務時我發現對於同一個資安方案的運用，不同產業客戶的理解深度不同 ; 於是我的 "數學魂" 驅使我研讀產品的用處、觀察客戶的使用心得，然後就像教學一樣，感受客戶的表情，應答狀況來調整對談的角度。以下舉二個例子說明:

1. 繞不出的迴圈 : 客戶對於陌生產品常常是不知要分析什麼， 而工程師們會說 : 客戶没說，我無法做 ; 這種狀況在資安產品建置是常有的事，我學會向已經使用的客戶或其他同行夥伴詢問他們分析的項目及經驗 ; 這就像解答一個數學難題的堅持精神。
2. Logger/SIEM/SOC分不清:

• Logger : 儲存各設備(系統)的log，做為備份留存、佐證查詢使用。
• SIEM : 相較於Logger，SIEM著重在資安威脅分析；因此會透過各種能力來達成，例如:導入資安情資(IOC)做即時比對，將不同設備的資料做關聯拼圖，整合設備的漏洞判別風險，目地在於即早發現駭客藏匿的蛛絲馬跡。
• SOC : 相較於SIEM，SOC加入了人以及流程二個元素 ; 24小時的人員監控，明確的事件通報程序及處理SOP。

二、資安法

• 不同產業都有主管機關制定的資安法，例如:金融資安行動方案、金融零信任架構指引、醫療院所資安防護參考指引、政府資通系統防護基準、上市櫃資通安全管控指引...。
• 這一年來製造業因為勒索事件頻傳，因而主管機關對於資安管控以及重大消息的發佈都更加要求，而在其它產業學習到的經驗正好可以運用至上市櫃現今的資安需求，下列是我遇到比較多的二種需求。

1. Log收集及分析 : 上市櫃這1-2年購買MDR的量很多，但佈署二線資安分析平台SIEM的也不少，可能的原因為 : 擴大關聯分析範圍、供應鏈要求、ISMS制度要求、鼓勵情資共享 ; 這類需求在金融及政府單位都是已走過的路程，而金融及政府單位現正朝著下一階段邁進-利用SIEM來建立信任推斷的分析。
2. 資安檢測 : 一般產業對於資安檢測概念是非常模糊的，不知檢測何項目也不知檢測的目的，而這大多是商業交易行為被要求提供第三方檢測報告。這種狀況可以利用政府的 " 資通安全共同供應契約採購規範 " ，這份規範詳載了各項檢項的目地以及檢測項目，例如滲透測試的項目包含:作業系統、網站服務、應用程式、密碼破解以及無線服務 ; 也說明了計價方式、報告產出的條列內容，以及執行時程的規定。

三、業務情

• 資安人喜歡參考同行的作法 ; 他們買了什麼、分析了什麼、如何管理、如何向主管機關報備...而業務就是串起這份情結的重要橋梁，我們不洩漏機密，但我們可以分享心得 ; 我不吝嗇分享給不是我的客戶，因為我們要 "共好、雙贏 " , 因為我們要集結力量一起面對駭客攻擊；下列舉二個案例。

1. 金融零信任架構指引的" 第三階段信任推斷 " 建置在SIEM平台上，針對推斷做出風險評分 : SIEM的App外掛功能有一款APP-帳號行為分析(UBA)，能評估用戶的行為風險並且給出評分。下圖是 IBM SIEM的UBA App。
   
2. 老闆喜愛的紅黃綠燈 : 老闆喜歡看燈號，也喜歡看箭頭飛來飛去， SIEM外掛APP能將一條一條的事件轉成圖形化，歸類風險的嚴重高低等級，說明事件的攻擊來由，提供客製化介面讓客戶自訂分析圖表。下圖是IBM SIEM的Pulse App。
   

See ! 我火熱赤紅的心 !