一個牧師死後竟然資格不足以進入天堂? 今天我要用這一個故事做為今天資安主題的開場。
一、一個牧師的真實故事
- 一位牧師每天為教會忙碌,上街發傳單、到醫院做義工,各式各樣的事情他都積極,有天身體不適在救護車上即己休克,有位天使出現帶他到二層天去看靈界,然後再到三層天去見上帝。
- 牧師對上帝說 : 我每天都為你工作,每天都稱您為主 ; 上帝說 : 您服事的動機是為了自己,以利己為中心,為了名聲和好處;您的信心是死的,行為是徒勞的,您的生活是建立在人們眼中一條條的禮俗教條。
- 信心是死的 ; 意指牧師没有時常與上帝禱告交流,不明白神的旨意,没有神的異象;而外表的敬虔行為與背後的生活不一即是假冒為善,對上帝而言這都是徒勞的 ; 人看外表,而神看透人的內心。
二、我也去了半導體展
- 昨天下午剛好有空閒,趕上Semicon Taiwan下午的資安議程,一連聽了中間没有空檔的六場議程,這一次體驗真的過隱,很容易在議題中做交叉比對,而且這六場的主題都很接近; 2場零信任、3場提到Semi E187、2場提到監控SIEM/SOC、而有3場在最後都提到定期檢測資安佈署有效性的重要。
三、資通設備定期檢測行之有年
- 如大家所知,政府有要求做資安健診,或金融是資訊安全評估;透過整合各項資通安全項目檢視,加強資安改善,落實技術面與管理面相關控制措施,提升網路與資通系統安全防護能力 ;檢測包含網路/電腦/伺服器的惡意活動檢視以及系統更新狀況、AD伺服器設定,政府組態基準(GCB)檢視、資料庫安全檢視等。
- 除了資通訊設備的安全檢測、網站以及手機APP的安全檢測,DDOS攻擊因應檢測也都有被要求。
四、定期檢測新走向
昨天在Semicom Taiwan的展場聽的六場資安議程中,有三場在最後都強調定期檢測試以驗證資安佈署有效性,針對驗證出來的漏洞不斷的改善,以提高主動防禦力。
- 我覺得這類驗證的起源來自於金融資安行動方案2.0 :
資安監控與防護重在早期發現處置與防護網之綿密,惟純粹以守方思維,難免掛萬漏一,爰鼓勵已建置SOC並達一定規模之金融機構引入攻擊方思維,藉由DDoS攻防演練、紅藍隊演練、入侵與攻擊模擬(Breach and Attack Simulation)等,定期檢驗資安監控及防禦部署之有效性。
五、近二年被推進的檢測
- 紅藍隊演練 :
- 以白帽駭客模擬真實攻擊,幫助企業識別和修補潛在漏洞,提升整體防護水平:通過實際攻擊測試現有的安全措施,確保其有效性。
- 但紅藍隊演練需要專業人員和工具,成本高,演練過程可能需要較長時間,此外雙方會議定一個攻擊目標做為之後的驗收標準,因而檢測目標很單一性。
- BAS(Breach and Attack Simulation,入侵與攻擊模擬):
- 是一種自動化的資安測試技術,能夠自動模擬多種攻擊,包括內部威脅、橫向移動和資料外洩等風險評估,提供詳細的風險報告,幫助企業識別系統和應用程式中的安全漏洞
- 相比傳統的紅隊演練和滲透測試,BAS的自動化特性可以節省大量人力和時間成本。
- BAS檢測需依賴攻擊劇本來檢測,例如:釣魚攻擊、勒索軟體攻擊、橫向移動,資料外洩 ; 因此廠商持續更新劇本的能力很重要。
- EASM(External Attack Surface Management,外部攻擊面管理):
- EASM工具會持續掃描企業的外部數位資產,如伺服器、Web應用程式、網域和雲端資源,識別所有曝露在外的資產,對每個暴露的資產進行詳細的風險評估,根據其功能和風險進行分類,生成詳細的風險報告。
- 根據風險評估結果,提供補救建議,幫助企業快速修補漏洞,減少被攻擊的風險。
- 這項檢測成本低,而且完全不影響公司內的系統,僅是在外爬取公司曝露在外的資料; 定期監控及風險評估,確保外部資產符合法規。
- 自動化資安驗證平台 :
- 提供內部網絡的安全驗證,模擬攻擊者的行為,驗證每個資安漏洞的潛在影響、提供攻擊手法及關聯圖 ; 根據風險程度提供修補優先順序。幫助企業優先將資源投入在最緊急和可被利用的威脅。
- 能夠持續發現和管理企業的外部攻擊面,如同EASM外部攻擊面管理,但這類自動化驗證平台能更進一步驗證攻擊路徑,幫助企業不只識別漏洞還能即時知道修補措施,快速應對。
- 這類檢測平台不需BAS入侵與攻擊模擬的劇本即可自動檢測範圍內的標地,此外在檢測對象以及強度都可由人為控制。
- 相較於其它檢測工具,這類工具檢測速度快,節省人力,不需依賴劇本,檢測面向廣 ; 可即時發現系統異動或人為疏忽的設定錯誤做即時的修補。
六、我想
- 企業基於主機關的合規要求、或者防堵駭客勒索,或者怕員工被釣魚,或者被要求要做LOG分析....於是買買買,買一堆 ; 然後覺得自已特別委曲要管的設備越來越多,但是駭客來時還是秒被擊倒 ; 也許就如故事所說,我們需要時時省查自已是否對齊上帝的旨意,而不是盲目做著自己認為的事,然後到最後才發現無法進入天堂 ; 在資安這方面,這二年大家意識到,在買買買之後,需要定期檢驗防禦部署之有效性,確保各資安設備有在正確的定位上運作。
- 昨晚在想 " 上天堂 " 與 "資安檢測 " 有何關聯 ? 在靈裡浮出了下面這張圖,在聖經上有一個碗,碗裡燃燒著興盛的火焰。基督教徒大概會知道 " 碗 "意指承載上帝旨意的器皿,我想這景象大概是指,基於在上帝的話語下,承載的能力才能顯現及興旺。之後我又看到當聖經這本書不在時,火熄滅了,整個空間瞬問黑暗下來,黑暗中僅留下空碗獨存。