隨著資訊化程度提升,原先只是產業界會關心的資安防護議題,變成政府也需要費心,甚至要設置專責機構處理的程度。具備相當豐富政府資安政策經驗的 Jim Richberg,如今到業界工作,仍舊願意分享他對於資安政策的想法,並且指出好萊塢誇大了駭客的能耐,講成上天下地的天神了。
影劇作品神化駭客的能耐與成功率
Jim Richberg 有三十年政府資安經驗,如今轉到民間企業 Fortinet 的資安長 (CISO) 辦公室任職資安副總裁,豐富的經驗,一直是大大小小規模的資安會議重要參與人。Jim 說駭客沒有影劇作品中表現得那麼神,防守方一定是佔優勢的一方,攻擊入侵的一方往往要嘗試好幾次,把握防守方那珍貴的 1% 失誤機會,才有可能成功入侵。
▲ 不少的駭客因受到影視作品影響,被形容能上天下地,但實際上駭客必須長時間坐在電腦前,等待防守方出錯才有機會侵入。(Source:shutterstock)
Jim 進一步說大家常常從媒體得知哪家大企業或政府機關遇到資料外洩事件,他也感謝媒體的報導,並且說媒體是朋友,不過他同時指出當他說話時,往往令他旁邊的公關人員要很小心聽他說的話,深怕有說錯或引發爭議的話語。Jim 總結資安報導這回事,公司並不愛壞消息,而媒體則是天性愛壞消息。他建議像我們這類報導資安的媒體,要好好如實紀錄發生了甚麼事情,至少撰文用詞上,區分入侵和攻擊事件。一般來說不會將常見的治安事件如闖空門敘述成攻擊,但在報導資安事件時,入侵被跨大說成攻擊,就是超過的情形了,媒體該好好拿捏尺度。
Jim 也談到影視作品,如好萊塢電影或是影集作品神話入侵這件事,不論是心懷不軌的駭客還是 《CSI:Cyber》 當中的數位鑑識人員,入侵是一件相當乏味而且費時甚久的過程,不是劇中半分鐘畫面,敲敲鍵盤一下子就有結果。前面提及防守方有優勢,入侵者得把握防守方那 1% 出錯的機會。
國家會保護好脆弱的關鍵基礎設施,防守方有主場優勢
而一般人會想到不少駭客是國家級駭客,往往針對敵對國家的設施攻擊,不會是一般人的事情。但隨著越來越多的設備聯網,一般公司也有些錢財,防護也比國家弱,成為商業間諜下手的好目標。
這年頭新技術如 AI、5G 到底對資安有甚麼影響,Jim 認為 5G 影響還好,真正重要的是 AI,入侵者和防守方都會獲益。不過防守方仍有主場優勢,能透過大量累積的連線 log 紀錄,訓練 AI 自動化偵測可疑行動,取得傳統人力來做難以達成的事情。
Jim 也說 Fortinet 與業者做平台要交流警訊資料,彼此之間分享資料,更強化防守方的能力。對於入侵者來說,他們本來的成功率就不高了,需要花相當長的時間嘗試,不停的失敗之後也許有可能成功一次。大部分人都不是像是福爾摩斯作品當中的壞蛋莫里亞提那麼聰明,公司內部或是顧問性質的紅隊通常要找特殊方法侵入,所以防守方只要轉換視角,設想犯罪者會怎麼做,預先多一步往往就佔了上風。
政府的法規如同胡蘿蔔和鞭子
大半時光貢獻給公部門的 Jim,來到 Fortinet 不過幾個月光景,談到法規制定者的腳色。政府通常是大尺度管理國家的政策,在資安政策上也是,他花了不少時間協助制訂數據指標,評估國家層級的資安狀況,才有可能針對不足處改善。另外還要面對特定國家可能的攻擊,展開防守佈局。
Jim 比喻政府手上的工具像是胡蘿蔔和鞭子,像是資料保護法規方面,近期有歐盟 GDPR 以及美國加州連線法律,這些法律就像鞭子一樣,出錯會罰公司,罰款金額相當高,甚至還有不回報資安事件,企圖隱瞞事件公司董監事必須要坐牢的條款,督促民間別做不好的事情,好好保護產品和服務。
由於國家的防護力量一般是強過民間,因此政府的資安單位也會多多留意像是水、電、能源供應等關鍵基礎設施的防護,避免成為國家級駭客的攻擊目標。
Jim 在這次訪問分享了不少事情與看法,不過可惜這趟來到台灣是商務旅程,忙著見台灣的合作伙伴,還沒有機會與台灣的資安單位交流,台灣被頻繁攻擊入侵,攻擊事件頻傳的地方,一定能從美國政府的經驗取經,憑藉他在公部門的寶貴經驗給予很貼切的建議。
(首圖來源:科技新報)
