為什麼我不能進天堂 ?

2024 iThome 鐵人賽

DAY 26

Security

16th鐵人賽自動化驗證平台有效性驗證

249 瀏覽

一個牧師死後竟然資格不足以進入天堂? 今天我要用這一個故事做為今天資安主題的開場。

一、一個牧師的真實故事

一位牧師每天為教會忙碌，上街發傳單、到醫院做義工，各式各樣的事情他都積極，有天身體不適在救護車上即己休克，有位天使出現帶他到二層天去看靈界，然後再到三層天去見上帝。
牧師對上帝說 : 我每天都為你工作，每天都稱您為主 ; 上帝說 : 您服事的動機是為了自己，以利己為中心，為了名聲和好處；您的信心是死的，行為是徒勞的，您的生活是建立在人們眼中一條條的禮俗教條。
信心是死的 ; 意指牧師没有時常與上帝禱告交流，不明白神的旨意，没有神的異象；而外表的敬虔行為與背後的生活不一即是假冒為善，對上帝而言這都是徒勞的 ; 人看外表，而神看透人的內心。

二、我也去了半導體展

昨天下午剛好有空閒，趕上Semicon Taiwan下午的資安議程，一連聽了中間没有空檔的六場議程，這一次體驗真的過隱，很容易在議題中做交叉比對，而且這六場的主題都很接近; 2場零信任、3場提到Semi E187、2場提到監控SIEM/SOC、而有3場在最後都提到定期檢測資安佈署有效性的重要。

三、資通設備定期檢測行之有年

如大家所知，政府有要求做資安健診，或金融是資訊安全評估；透過整合各項資通安全項目檢視，加強資安改善，落實技術面與管理面相關控制措施，提升網路與資通系統安全防護能力 ;檢測包含網路/電腦/伺服器的惡意活動檢視以及系統更新狀況、AD伺服器設定，政府組態基準(GCB)檢視、資料庫安全檢視等。
除了資通訊設備的安全檢測、網站以及手機APP的安全檢測，DDOS攻擊因應檢測也都有被要求。

四、定期檢測新走向
昨天在Semicom Taiwan的展場聽的六場資安議程中，有三場在最後都強調定期檢測試以驗證資安佈署有效性，針對驗證出來的漏洞不斷的改善，以提高主動防禦力。

我覺得這類驗證的起源來自於金融資安行動方案2.0 :
資安監控與防護重在早期發現處置與防護網之綿密，惟純粹以守方思維，難免掛萬漏一，爰鼓勵已建置SOC並達一定規模之金融機構引入攻擊方思維，藉由DDoS攻防演練、紅藍隊演練、入侵與攻擊模擬(Breach and Attack Simulation)等，定期檢驗資安監控及防禦部署之有效性。

五、近二年被推進的檢測

EASM工具會持續掃描企業的外部數位資產，如伺服器、Web應用程式、網域和雲端資源，識別所有曝露在外的資產，對每個暴露的資產進行詳細的風險評估，根據其功能和風險進行分類，生成詳細的風險報告。
根據風險評估結果，提供補救建議，幫助企業快速修補漏洞，減少被攻擊的風險。
這項檢測成本低，而且完全不影響公司內的系統，僅是在外爬取公司曝露在外的資料; 定期監控及風險評估，確保外部資產符合法規。

提供內部網絡的安全驗證，模擬攻擊者的行為，驗證每個資安漏洞的潛在影響、提供攻擊手法及關聯圖 ; 根據風險程度提供修補優先順序。幫助企業優先將資源投入在最緊急和可被利用的威脅。
能夠持續發現和管理企業的外部攻擊面，如同EASM外部攻擊面管理，但這類自動化驗證平台能更進一步驗證攻擊路徑，幫助企業不只識別漏洞還能即時知道修補措施，快速應對。
這類檢測平台不需BAS入侵與攻擊模擬的劇本即可自動檢測範圍內的標地，此外在檢測對象以及強度都可由人為控制。
相較於其它檢測工具，這類工具檢測速度快，節省人力，不需依賴劇本，檢測面向廣 ; 可即時發現系統異動或人為疏忽的設定錯誤做即時的修補。

六、我想

企業基於主機關的合規要求、或者防堵駭客勒索，或者怕員工被釣魚，或者被要求要做LOG分析....於是買買買，買一堆 ; 然後覺得自已特別委曲要管的設備越來越多，但是駭客來時還是秒被擊倒 ; 也許就如故事所說，我們需要時時省查自已是否對齊上帝的旨意，而不是盲目做著自己認為的事，然後到最後才發現無法進入天堂 ; 在資安這方面，這二年大家意識到，在買買買之後，需要定期檢驗防禦部署之有效性，確保各資安設備有在正確的定位上運作。
昨晚在想 " 上天堂 " 與 "資安檢測 " 有何關聯 ? 在靈裡浮出了下面這張圖，在聖經上有一個碗，碗裡燃燒著興盛的火焰。基督教徒大概會知道 " 碗 "意指承載上帝旨意的器皿，我想這景象大概是指，基於在上帝的話語下，承載的能力才能顯現及興旺。之後我又看到當聖經這本書不在時，火熄滅了，整個空間瞬問黑暗下來，黑暗中僅留下空碗獨存。