close
業界專訪資訊保安

3rd SRM 專訪 保安專家江明灶:現代 IT 風險管理必須主動出擊

本站曾專訪新加坡的著名資深保安專家江明灶,淺談一下新時代 IT 保安的關鍵。早前江明灶出席了由 KORNERSTONE 主辦的第三屆風險管理研討會進一步分享了對機構 IT 保安的看法:承認系統漏洞的存在,與其等待被攻擊,倒不如主動出擊自行發掘未發現的問題所在。

unwire002

 

停留傳統風險管理思維是危機開始

在數碼化的時代,幾乎各行各業都用上 IT 科技來處理日常營運。但當愈來愈倚重 IT 系統時,IT 系統的關鍵性也愈來愈高,不容出現故障以至保安事故。系統保安小則關係到企業的日常運作,大則可牽連企業存亡,因此如何做好風險管理,一直都是 IT 界趨之若鶩的事情。

但今時今日,機構要做好 IT 風險管理,已不能單單由專屬 IT 部門管理,因為業務每個環節都會涉及到 IT,如果只一味試圖用一套保安系統去解決問題,不僅不會一勞永逸,更可能是危機的開始。

部份前瞻企業如香港匯豐銀行,已提出風險管理乃一有急切需要建立的企業文化,就是說企業上下,尤指資訊保安人員,承認系統必存漏動,並時刻意識風險之存在。事故將不再分突發或不突發,每個崗位都隨時作好準備,應付因系統漏動引發的事情。

unwire003

 

機構對漏洞警覺性嚴重不足

新加坡的著名資深保安專家江明灶(Meng-chow Kang),早前出席由 KORNERSTONE 主辦第三屆風險管理研討會(The 3rd Symposium on Risk Management),分享了他對新時代的機構 IT 風險管理的看法。江明灶認為很多機構都只視 IT 保安是 IT 部門的事,對於系統漏洞的警覺性也不足,導致一旦出問題時顯得措手不及。他認為機構應把 IT 危機等同於火災等意外,必須經常檢視系統和做好演習工作。

江明灶在分享上提到,太多機構並未思識到系統漏洞有多普遍。每次有系統漏洞的新聞也為機構「帶來震撼」,意味著機構根本不了解一個事實真相,就是「世上並無完美的系統」。若企業到今天還在驚訝,正在運用之系統其實是危機四伏的話,那麼情況其實是相當糟糕。

 

機構必須承認存在「黑天鵝」

他引述 N. N. Taleb 所著的《黑天鵝》的觀點,認為保安漏洞只是未出現而不是不存在,意外終歸要出現的話就應該主動出擊,及早發現問題,而不是期待意外不會發生。軟件總有缺陷,此刻能暢順運作,只因漏洞未被知悉而已。因此我們必須做好事故隨時發生的心理準備,當發生問題時能冷靜地及時處理。

所謂「黑天鵝」的觀點是,人們總以主觀想法去認定事情。在 18 世紀歐洲人發現澳洲之前,由於全歐洲的天鵝都是白色的,所以在他們眼中天鵝只有白色的品種。但當他們來到澳洲並目睹黑天鵝後,才思識到之前對白天鵝的觀測並引伸出的結論都是錯的。

而黑天鵝的故事也令人們開始對認知反思,以往認為對的不等於以後總是對的。而「黑天鵝」也用來隱喻那些意外事件:它們極為罕見,在通常的預期之外,在發生前沒有任何前例可以證明,但一旦發生,就會產生極端的影響。

20100630_2010+26swan_w

 

主動出擊親自找出弱點所在

系統漏洞也是一樣的。其實已不是第一天出現「零日漏洞」(Zero day Vulnerability),而這些漏洞也不只是源自 Microsoft 的產品,其他 IT 廠商如 Apple、Oracle(尤其是 JAVA)也會出現。零日漏洞就像以為一直不存在的「黑天鵝」,而它的出現也會為機構帶來深遠的影響,而且代價隨時是想像不到的高昂。

被動的保安即使反應再快,也會為黑客提供了空窗階段,引致的損失亦難以估計。因此江明灶認為,機構必須承認漏洞是存在的,只是尚未發現而已。機構一旦有此認知就會更有警覺性,因為隱藏的風險被發現只有兩種可能性,就是自己發現,或是由黑客發現。

換言之,機構如果不想讓漏洞由黑客發現,那就只能主動出擊,自己搶先找出問題再加以彌補。因此也愈來愈多機構會主動邀請「白客」,即友善的保安人員主動攻擊自己的系統,從而及出找出問題,作出補救。

 

「人」才是最大弱點所在

但問題是,今時今日的黑客攻擊並非只會攻擊系統漏洞本身,事實上整個 IT 保安環境的最大弱點往往不是系統,而是使用的人。例如釣魚電郵就會引誘受害人主動提供自己的登入名稱和密碼,如果員工沒有警覺性的話,就算系統做得多麼滴水不漏也毫無意義。

因此江明灶認為,機構主動出擊尋找漏洞,不能只著眼在系統本身,同時也應一併提高員工對這些風險的警覺性。如果機構會為員工準備火警演習,那為何不也替 IT 風險做演習?他認為壓力測試是很好的方法,可協助機構評估系統和員工兩者,是否已做好足夠的準備,應對未知的威脅。

舉個例子,如果機構會為系統找尋專家主動找出漏洞,為何不能也扮黑客向員工發送演習的釣魚電郵?從這過程中機構可實際了解,員工對這類危險電郵的警覺性,事後反饋是否快速妥善,從而針對性加強有關保安的教育工作,減少員工成為黑客攻擊跳板的可能性。

unwire004

 

機構必須前瞻性思考

另一方面,充足的演習經驗,可讓員工在真正出現保安問題時,能夠妥善的快速應對,有助減少損失。江明灶認為,機構的 IT 風險管理必須看得更遠,就像下棋般要預視未來幾步,為一旦出現的危機做好對應的錦囊策略,這樣才能快速對應問題。

以瀏覽器為例,世上還有很多瀏覽器可選擇,如果一早裝好了代用瀏覽器,那在官方提供零日漏洞修正方案前的空窗時間,就能立即轉用較安全的瀏覽器,直到它被修補。同樣地,如果是系統出現漏洞,機構是否已準備好 Plan B,而員工又是否能快速適應 Plan B 的工作?如果你未有做好準備,自然會陷於被動,因此江明灶認為演習和後備方案都是非常重要的。

 

Tags : risk managementsecurity
Catabell Lee

The author Catabell Lee

Leave a Response