随着资讯化程度提升,原先只是产业界会关心的资安防护议题,变成-也需要费心,甚至要设置专责机构处理的程度。具备相当丰富-资安政策经验的 Jim Richberg,如今到业界工作,仍旧愿意分享他对于资安政策的想法,并且指出好莱坞夸大了骇客的能耐,讲成上天下地的天神了。
影剧作品神化骇客的能耐与成功率
Jim Richberg 有三十年-资安经验,如今转到民间企业 Fortinet 的资安长 (CISO) 办公室任职资安副总裁,丰富的经验,一直是大大小小规模的资安会议重要参与人。Jim 说骇客没有影剧作品中表现得那么神,防守方一定是占优势的一方,攻击入侵的一方往往要尝试好几次,把握防守方那珍贵的 1% 失误机会,才有可能成功入侵。
▲ 不少的骇客因受到影视作品影响,被形容能上天下地,但实际上骇客必须长时间坐在电脑前,等待防守方出错才有机会侵入。(Source:shutterstock)
Jim 进一步说大家常常从媒体得知哪家大企业或-机关遇到资料外泄事件,他也感谢媒体的报导,并且说媒体是朋友,不过他同时指出当他说话时,往往令他旁边的公关人员要很小心听他说的话,深怕有说错或引发争议的话语。Jim 总结资安报导这回事,公司并不爱坏消息,而媒体则是天性爱坏消息。他建议像我们这类报导资安的媒体,要好好如实纪录发生了什么事情,至少撰文用词上,区分入侵和攻击事件。一般来说不会将常见的治安事件如闯空门叙述成攻击,但在报导资安事件时,入侵被跨大说成攻击,就是超过的情形了,媒体该好好拿捏尺度。
Jim 也谈到影视作品,如好莱坞电影或是影集作品神话入侵这件事,不论是心怀不轨的骇客还是 《CSI:Cyber》 当中的数位鉴识人员,入侵是一件相当乏味而且费时甚久的过程,不是剧中半分钟画面,敲敲键盘一下子就有结果。前面提及防守方有优势,入侵者得把握防守方那 1% 出错的机会。
国家会保护好脆弱的关键基础设施,防守方有主场优势
而一般人会想到不少骇客是国家级骇客,往往针对敌对国家的设施攻击,不会是一般人的事情。但随着越来越多的设备联网,一般公司也有些钱财,防护也比国家弱,成为商业间谍下手的好目标。
这年头新技术如 AI、5G 到底对资安有什么影响,Jim 认为 5G 影响还好,真正重要的是 AI,入侵者和防守方都会获益。不过防守方仍有主场优势,能透过大量累积的连线 log 纪录,训练 AI 自动化侦测可疑行动,取得传统人力来做难以达成的事情。
Jim 也说 Fortinet 与业者做平台要交流警讯资料,彼此之间分享资料,更强化防守方的能力。对于入侵者来说,他们本来的成功率就不高了,需要花相当长的时间尝试,不停的失败之后也许有可能成功一次。大部分人都不是像是福尔摩斯作品当中的坏蛋莫里亚提那么聪明,公司内部或是顾问性质的红队通常要找特殊方法侵入,所以防守方只要转换视角,设想犯罪者会怎么做,预先多一步往往就占了上风。
-的法规如同胡萝卜和鞭子
大半时光贡献给公部门的 Jim,来到 Fortinet 不过几个月光景,谈到法规制定者的脚色。-通常是大尺度管理国家的政策,在资安政策上也是,他花了不少时间协助制订数据指标,评估国家层级的资安状况,才有可能针对不足处改善。另外还要面对特定国家可能的攻击,展开防守布局。
Jim 比喻-手上的工具像是胡萝卜和鞭子,像是资料保护法规方面,近期有欧盟 GDPR 以及美国加州连线法律,这些法律就像鞭子一样,出错会罚公司,罚款金额相当高,甚至还有不回报资安事件,企图隐瞒事件公司董监事必须要坐牢的条款,督促民间别做不好的事情,好好保护产品和服务。
由于国家的防护力量一般是强过民间,因此-的资安单位也会多多留意像是水、电、能源供应等关键基础设施的防护,避免成为国家级骇客的攻击目标。
Jim 在这次访问分享了不少事情与看法,不过可惜这趟来到台湾是商务旅程,忙着见台湾的合作伙伴,还没有机会与台湾的资安单位交流,台湾被频繁攻击入侵,攻击事件频传的地方,一定能从美国-的经验取经,凭借他在公部门的宝贵经验给予很贴切的建议。
(首图来源:科技新报)
