業餘大叔程式心得筆記#10:幾個關於資訊安全的觀念/葉光釗

最近談起資安相關的話題時,發現其他人有些觀念可能有待澄清。筆者因為過去的經歷,在這方面也算是有點心得;所以這裡就來探討幾點大家可能比較有興趣、但觀念上可能跟一般研發經驗不一樣的地方。

1. 資安真的是不能算「投資報酬率」的

之前聽過一個有趣的例子,但不知道是真是假:有些零售業的業主老闆會斤斤計較 「我裝了監視器可以抓到幾個小偷啊?」

我寧願相信這只是個都市傳說。有許多例子可以證明,某些資安措施甚至不一定能降低風險,而是針對 「末日情境」(worst-case scenarios)所設計的,例如「只要某個東西被偷,公司就垮了」狀態的最後一道防線。

所以,即使是願意出錢投資在資安上的老闆們,也必須要認清楚這個現實。

2. 要先弄清楚「保護的標的」和「優先順序」

資安措施無法包山包海,這一點不難瞭解;但是,很多人都忽略了「優先順序」的重要性。

在很多情況下,你保護了A之後,同時保護或使用B的複雜度可能就會大幅增加,你要決定划不划得來;到最後,很多防護預算的分配也都是折衷的結果,只是看大家是不是有共識而已。

3. 要想想壞人會怎麼進來

這個就是技術活了,也是最需要外部專家的地方。不過在砸下重金邀請駭客天才之前,可以基於保護標的系統型態,先來沙盤推演一番。

例如做網站的人,可以到網路上搜尋一下「十大網站弱點」之類的關鍵字,這樣對於概念的瞭解會比較有幫助。

但話說回來,除非你已經身經百戰,不然千萬別開口說「可以全部自己來」。

專家的價值,就是幫你找出你看不到的問題。

4. 別想要「滴水不漏」,要想著「早期發現早期治療」

我自己還真沒看過攻不破的系統,連不上網的都會出事。我們能做的,大部分只有「拖慢攻擊」,或是讓攻擊「容易被發現」。

5. 資安是一種沒有人歡迎的「稅」

講到資安防護,大概沒有人是不板著臉的。但就是因為它不受歡迎,所以才會發生「該做而沒做」的致命錯誤。

這真的沒甚麼好方法,不要期望人性會戰戰兢兢、自動自發;人性的問題,在這裡就只能靠系統跟流程來補救了。

我的心得是,資安成也因為人、敗也因為人,技術能做到的影響還是有限的。