講不聽的資訊安全 ?

或許是 PC 太過廉價，而下一步安裝也太容易，對一般人而言，伺服器這個名詞似乎已不再神秘(或從沒過)，資安事件頻傳，即便是具有象徵意義的網站首頁淪陷，許多受害公司仍不為所動；另一方面，看到不少資安專家們做著吃力不討好的工作，他們縱然閱站無數，但字裡行間仍常感嘆一些企業的回應消極、資安意識薄弱，對於這點我是十分佩服但卻作不來的，可能作資安也是要佛心來的，不像我似乎唯恐天下不亂，當然這主要來自於，我想像的資安是新鮮有趣的，其次是，我認為大部分的 End User 是無法被教育的，這可不僅僅是針對資安，而原因自然也不在於學習力。


你的選擇未必左右了結果
舉例來說吧，在公司內 MIS 人員常會面對重複性的 Helpdesk 問題，有些人基於『不懂就別用』理論，因此變身成同事口中兇兇的沒耐心 MIS；而有些人選擇把一切隱藏化、自動化，包括用複雜的手段避免掉使用者可能會遭遇的簡單問題，雖然其實不一定比較輕鬆，不過至少不用面對講不聽的同事，而且有機會變成 Script 魔人；另外有些人則會耐心教導及回覆使用者的疑惑，而這讓我想起每次到修車廠時，總會看到許多車主一臉困惑的表情，希望能知道為甚麼車會這樣，不過當師傅真的要詳細解釋原因時，多數人卻又是一副晃神狀，因為他其實根本不想知道背後的真正原理，至於願不願意盡力避免再發生呢 ? 這就要看旁邊是否有個隨叫隨到的免費修車師傅。

無論選擇或被迫扮演上述哪種角色，都沒有完全的對或錯，不過也許最後你得到的是一樣的使用者。最近 Dr Anton Chuvakin 做了一個不太正式的投票，『Have you, a security professional, ever willingly circumvented a security measure?』，基於其 Blog 性質及題目內容，我保守一點說參與者至少對資安有一定觀念或關心，即使不是組織內資安政策制定者，也應充分了解其內容，但投票結果很明顯的表達了一件事，就是資安人員也是人，同樣會為了一時方便而違規，如果連這些人都是如此，又如何能要求一般使用者遵守資安的政策呢 ? 當然我們可以假設，因為資安專家知道底線在何處，因此自認為可以拿捏高速公路超速的上限而不會出事，只不過，一般使用者同樣也會在他有限的認知中測底線，這無關乎公司的 Policy 是不是訂的很爛，或是有沒有做好教育訓練，它就是會發生。


資訊技術應符合商業流程
端點安全向來是組織中相當難以掌控的一環，特別是用戶端對網路的需求不斷攀升，使得整體安全控管越加艱難，這也可以解釋為何在選擇企業端防毒軟體時，偵測率並非首要考量，但即便建構了如 NAC 架構，實務上仍無法100%確保端點安全的瑕疵，這是因為除了技術層面，NAC 更有賴於良好而嚴緊的 Policy，諸如規範所有設備連接前之系統修補、防毒軟體更新等政策，可是遇到副總在國外用 VPN 連回公司時，似乎不可能叫他先花半個小時更新，這邊只是點出一個管理面與資安政策面的小衝突，請不要馬上想到說：『啊副總都嘛用嘴打電腦就好』，我到不認為錯在那一邊，其實我想說的是，在資安威脅衝擊下，現今許多資訊技術變得無法符合組織的商業流程。


那到底是誰的問題？
許多美式科幻英雄電影中，都會出現一些令人咋舌的壞蛋角色，擁有著與英雄們不相上下的神奇力量，有趣的是，他們大多比英雄晚成型，這是否意味著，任何太過強大的力量都將引出其反向的能量。為了因應愈加複雜的威脅，資安的技術發展無可厚非，但如果你用過 TiVo，就會知道 Windows MCE 這強大的東西為何不普及，我所謂『大部分的 End User 是無法被教育的』，並非指責，亦不代表我自暴自棄，而是資安應當更簡化、生活化，我衷心期待著擁有卻不意識到它的日子。