【獨家專訪】資深保安專家江明灶: 現今業界做IT 保安的方法,行不通!

今天做好 IT 風險管理,已不是專屬 IT 部門需要管好的事情,事故不再分突發不突發,每個崗位都隨時作好準備,應付因系統漏動引發的事情。今次我們就訪問了,即將在第 3 屆風險管理研討會上分享的資深保安專家江明灶,探討商業機構在危機四伏的今天,如何作好有效 IT 風險管理。

系統保安小則關係到企業的日常運作,大則可牽連企業存亡,故如何做好風險管理,一直都是 IT 界趨之若鶩的事情,其近年於企業發展所衍生出來的影響力,更超出不少業內人士所料。今天做好 IT 風險管理,已不是專屬 IT 部門需要管好的事情,部份前瞻企業如香港匯豐銀行,更提出風險管理乃一有急切需要建立的企業文化,就是說企業上下,尤指資訊保安人員,承認系統必存漏動,並時刻意識風險之存在。事故不再分突發不突發,每個崗位都隨時作好準備,應付因系統漏動引發的事情。

新加坡的著名資深保安專家江明灶(Meng-chow Kang),剛剛撰寫了一名為《Responsive Security- Be Ready to Be Secure》的 IT 保安書籍,就是講述相類近的理念。獲 KORNERSTONE 的邀請,江明灶將於 6 月 27 日假香港會議展覽中心舉的第三屆風險管理研討會(The 3rd Symposium on Risk Management)作相關分享,以下是 unwire.pro 在此業界年度盛會前,跟江先生作的獨家專訪。

新加坡的著名資深保安專家江明灶,將出席第三屆風險管理研討會作嘉賓講者,分享他在 IT 風險管理上的獨到見解。

 

記 ─ Unwire.pro 記者
江 ─ 江明灶(Meng-Chow Kang),新加坡著名 IT 保安權威,第三屆風險管理座談會演講嘉賓

 

記:多謝閣下接受訪問。在基礎設施、人才培訓和公眾意識的角度來看,你怎麼評價香港的 IT 保安發展水平?若與亞洲其他國家或地區如新加坡、上海、台灣等比較又如何?

江:我沒有特地就香港或任何國家地區作出具體的比較,但我認為於不同的經濟體系中,不管是政府、工業、商業,以至消費者層面,都會有自己獨特的方法去應對 IT 風險的挑戰。就我所了解,香港已有不同的部門、組織正在努力,在不同範疇上推動 IT 保安水平提升,不管他們是專責還是兼任。我認為不同城市只需走好自己的步伐就好,不用特意去作比較。

 

零日漏洞威脅不會消失

記:Microsoft 早前釋出了有關 IE 瀏覽器的漏洞更新,此漏洞因為在 XP 終止支援後出現,因此令不少機構感到壓力。你認為企業應該如何應對類似的威脅?

江:我不認為這些漏洞的消息,有為市場帶來多大的「震撼」。其實已不是第一天出現「零日漏洞」(Zero day Vulnerability),而這些漏洞也不只是源自 Microsoft 的產品,其他 IT 廠商如 Apple、Oracle(尤其是 JAVA)也會出現,若企業到今天還在驚訝,正在運用之系統其實是危機四伏的話,那麼情況其實是相當糟糕。

軟件總有缺陷,此刻能暢順運作,只因漏洞未被知悉而已。因此我們必須做好事故隨時發生的心理準備,當發生問題時能冷靜地及時處理。以瀏覽器為例,世上還有很多瀏覽器可選擇,如果一早裝好了代用瀏覽器,那在官方提供零日漏洞修正方案前的空窗時間,就能立即轉用較安全的瀏覽器,直到它被修補。如果你未有做好準備,自然會陷於被動。

 

機構應面對現實正視風險

記:很多機構都擔心,像 Microsoft 規模那麼大的軟件開發商,在開發產品時是否把安全問題都忽略了,才會造成類似事故?

江:我不認為 Microsoft 或其他 IT 系統開發商,會在開發他們的產品時忽略 IT 保安問題。其實像 Cisco、Microsoft 等大規模軟件開發商都有自己的軟件開發生命週期安全政策,會投放大量的資源在實踐系統安全和尋找系統漏洞之上。但正如我之前所述,軟件系統不會是零缺陷的,只要軟件開發者是人就難免會有漏洞。我們必須接受這一點,並時刻準備好應對突發事件。

 

人員應有足夠保安培訓

記:那你能給這些機構甚麼保安建議?在面對漏洞出現時應怎樣即時處理?

江:保安事故發生時,企業必需即時採用應變及救援措施。在開發商未有發出系統修正程式之前,最簡單直接的做法,就是依照他們提議的緊急應對方案,以暫緩事故所帶來的損害,並壓止其壞影響擴大蔓延。這建議同樣適用於個人電腦系統用戶。

而在網絡、系統、工作流程的設計和架構層面上,企業亦必須為所有有份參與系統保安的IT員工提供足夠的培訓,令他們覺察到系統不完美的事實,並擁有處理因系統漏洞而引發的突發事故的能力。在這個範疇上,我建議 IT 保安人員及有興趣的讀者閱讀我所撰寫的《Responsive Security- Be Read to Be Secure》,對為何系統保安的挑戰只會繼續存在、增長及蔓延的概念作進一步了解,最重要的是,參考其中講述如何拆解及應對這當然存在的挑戰的智慧。

 

外判 IT 有助轉移風險

記:隨著 IT 保安威脅愈來愈多,機構需要花費在 IT 風險管理的投資也愈來愈高。對缺乏經費的一般中小企而言難免產生很大壓力。你能給這些中小企什麼建議?

江:以中小企業的營運規模而言,將部份或整個 IT 風險管理外判並交予第三方專業團隊代為管理,有很大機會能在成本效益及數據安全上帶來顯著的提升。於香港註冊的中小企業共 31 萬之多,佔全港註冊企業的 98%,如此龐大的市場,絕對有能力支撐一個擁有多元及優質 IT 保安服務供應商的市場。這對整個 IT 界在 IT 保安上的發展,有著極大的前向推動作用。

 

來港分享最新風險對策

記:你即將來港出席由 KORNERSTONE主辦的第 3 屆風險管理研討會(The 3rd Symposium on Risk Management),真替香港本地 IT 從業員高興。你能預先透露一下,你將會於研討會中,跟出席者們作什麼主題的分享嗎?

江:我非常榮幸能夠獲得 KORNERSTONE 的邀請出席 Symposium on Risk Management,能跟多位重份量的講者嘉賓以至每位出席的來賓,就 IT 風險管理這關鍵課題上作現場交流,是十分難得的機會。我將會在研討會上分享 IT 風險管理的挑戰和原則,重點解說『Responsive Security Approach』為何,其重要性及實際應用。

 

風險管理專家雲集分享經驗

由 KORNERSTONE 主辦的第 3 屆風險管理研討會(The 3rd Symposium on Risk Management)將於 6 月 27 日假香港會議及展覽中心舉行。研討會將分成上下午兩大部分,上午部份習中探討 IT  風險管理,下午部分則習中探討金融風險管理。

研討會現在開始接受報名。Unwire 是此研討會的支持機構,Unwire.hk 及 Unwire.pro 讀者購買門票可獲七折優惠,(於 6 月 6 日前報名,更可同時享有早期報名優惠)。是次活動演講嘉賓陣容確實強大,讀者們不要錯過。

 

講者陣容:http://www.kornerstone.com/srm2014/speakers/technology/

研討會流程表:http://www.kornerstone.com/srm2014/agenda/technology/

 

The 3rd Symposium on Risk Management (SRM)

日期: 6 月 27 日
時間: 9:00 am – 12:50 pm(Technology Morning)
3:10 pm – 17:50 pm(Finance Afternoon)
地點: 香港會議及展覽中心新翼
主辦: KORNERSTONE
網址: www.kornerstone.com/srm2014/

 

票價

門票類別 標準價錢/ 早期報名優惠(25/5/2014 或以前) Unwire / Unwire.pro讀者可獲七折價惠 (6/6/2014或以前)
半日門票(Technology Morning / Finance Afternoon) HK$1,380 / HK$980 HK$686
全日門票 HK$2,280.00 / HK$1,680 HK$1,176