不論社交工程演練、弱點掃描、滲透測試等資安服務,目的皆是強化資安體質,但安資捷執行長陳勇君認為,資安健檢並非僅止於找到問題,還必須更進一步協助回復正常運行,以及後續管理,測試才有意義。因此安資捷不只提供檢測服務,亦有自行研發弱點案件管理系統(VMS),協助客戶得以有系統地控管資安問題。
其實任何的風險,主要皆來自威脅與弱點,現階段的資安服務大多是在找弱點,以便經由管理或修正機制來降低風險。「目前台灣企業中,懂得要藉由實施資安健檢,以改善體質為主要思維的大約只有二成,但也正是我們首要鎖定的族群。」陳勇君強調。
安資捷自行研發的弱點案件管理系統,主要即定位在擁有二百台以上伺服器的企業環境,需要有效率的方式協助控管,因此大多為金融、電信產業,共通特性是已建置各式對內與對外提供服務的應用系統。
 |
| ▲安資捷執行長陳勇君認為,資安服務的價值主要在於協助企業或組織往正確的方向發展,而非毫無策略地導入產品工具,又缺乏技術能力善加運用,如此情況下,即使建置最先進技術,仍無力阻擋資安事件發生。 |
正常來說,IT管理者欲掌握每台系統的安全性,首要步驟是檢測,運用弱點掃描、黑白箱測試來執行。之後可能發現不同應用系統存在不同問題,並非每個漏洞都得以被修正,實務上常見修正後反而導致運行效能變差,因此在執行前通常要先經過測試運行確認後,才能部署在線上環境。但問題是,內部系統眾多,以逐台測試的工作模式進行,既費時又耗力,且難以追蹤。
「發展弱點案件管理系統的目的,並非解決技術問題,而是解決管理問題。主要是以掃描過後的資料為基礎,匯入管理系統中,並自動判斷負責弱點處置工作的IT人員,以便藉此回報執行修正工作的結果、無法確實執行的原因等狀況,讓IT管理者可隨時登入查看工作進度與執行狀態。」陳勇君說。
當然,也可能遇到無法修正的漏洞,例如影響效能、執行程序發生衝突導致當機、原廠未發佈更新檔等因素。陳勇君認為,以「風險=弱點×威脅」理論來看,若有弱點無法降低時,欲控制風險等級,只能降低威脅。因此可選擇在伺服器系統前方建置應用程式防火牆,或安裝個人防火牆、入侵偵測措施,以保護無法修補的漏洞不被攻擊者利用來執行滲透。資安服務的價值,即在於正確解讀檢測後的資訊,協助企業往對的方向修正,才不致過度仰賴產品。