暗網潛航——虛擬戰場生死最前線 (九)—— 軍勢:風林火山

        雖然信息安全監控中心 (SOC) 有多種技術應對網絡攻擊,但就有最好的情報、最有經驗的安全專家及最先進強大的SIEM系統,若指揮不好,就如缺乏隊形的軍隊一樣,結果還是會應聲倒下。營運SOC也需要一套管理方法,讓各種技術協同合作,俗稱叫做「安全營運控制」(InfoSec Operating Control) 。

  這套管理方法可再分為四個不同的方向。第一個是技術控制 (Technical controls),也就是之前詳述的SOC功能設置,例如漏洞及危機情報、黑客術、電子取證等,用以保障和對應技術性的攻擊及可能產生的問題。

  第二個是行政控制(Administrative controls),不管你使用如何先進的技術,最終也需要員工設置和輸入規條。惟在訊息安全範疇內,「人」卻是最危險及最難以控制的風險!缺乏知識、經驗,又或者是粗心大意做錯事,甚至是心懷不軌或另有目的,對整個系統來說都是未知的危機,所以需要有效控制,包括僱員背景調查、訊息安全意識培訓、權責分隔、保密協議 、資料敏感度分類等。

  第三個是營運控制(Operation controls),將前述兩個控制項疊加,並直接應用在技術環境營運當中,包括前台管理、問題管理、應急響應、更新補丁管理等,細則包括營運流程、手冊、檢測驗收指引等文件。

        最後是財務資源控制(Financial and resource control)。所謂「三軍未動,糧草先行」,在戰場上戰勝歸來,最重要是考慮資源損耗,哪一方用最少的資源對抗,贏面越大。《孫子兵法》有云:「不戰而屈人之兵」,確有其道理。

        不過現實是你永遠不會有足夠的資源,不可能用一百塊錢去保護只值十塊錢的東西吧!更殘酷的是你往往只會有一塊錢資源,去保護價值一百塊錢的東西!故此財務資源控制會直接影響之前三個控制項,如果它們都「半桶水」,財務資源控制是完全不可能實現的。

        這個控制項包括營運設備財務控制、人員、安全設備及資源分配等,比較特別的是信息安全風險事故保險及公關法務資源應用。

        網絡攻防戰,就如戰爭一樣,充滿技術及戰術的較量,必須要有系統化的指揮及管理方法,才能控制及整合各種資源,快速處理各類危機。

TOZ聯合創辦人

龐博文


hd