在日常生活中,我们看到各种想要兼顾便利性与安全性的设计,例如,轿车内建保护驾驶的安全气囊,如果需要额外设置、装载的安全性装置,往往会因为增加使用者负担,而必须透过刻意宣导、法令惩罚的方式要求配合,例如,乘坐汽车、高铁、飞机需系上安全带,骑乘机车要戴安全帽,4岁以下孩童乘坐汽车需使用儿童安全座椅。
所有人都知道安全性很重要,然而,如果因为管制方式不良,影响正常运作、甚至造成停摆,这显然是大家都无法接受的。事实上,在紧急的情况下,我们可能必须进行大规模的隔离、甚至暂停所有手边的工作,肆虐全球三年之久的COVID-19,就是很典型的例子,我们都希望在确保安全、健康的状态下,设法维持正常的生活与工作状态,而非因为惧怕病毒感染,而停止所有作息。
所谓的安全优先、安全至上,并非为了安全而牺牲一切,「宁可错杀一百,不可纵放一人」、「宁为玉碎,不为瓦全」都是面对极端状况才可能允许的作法,为了达到目的,我们可能需付出惨痛的代价。然而,在大多数时候,当我们面对生命、财产、资安等各种威胁时,「先研究不伤身体,再讲求效果。」是众人比较能接受的作法。
单就资安领域而言,相信很多人都听说「资安铁三角(CIA Triad)」的概念,C代表Confidentiality(机密性),I代表Integrity(完整性)、A代表Availability(可用性),我们必须要意识到控制的手段与目的,以及所要保护的对象,不能毫无控制、疏于防范,但也不能为了安全而过度控制或不当控制,导致处处受限、动辄得咎的困局。
从实务的角度来看,关于企业级资安产品的采用上,如何降低误判是许多用户在意的部分,若仅牵涉到警示的处理,往往需耗费人力与时间厘清警报真假,若因为自动阻挡而不慎影响到系统与网路的正常运作,使企业与组织业务无法运作,后续如何尽快完成调查与复原工作,会成为更艰巨的挑战。
资安解决方案除了针对威胁侦测与应变处理机制,需具备足够的精准度,另一个重点在于如何确保产品与服务的品质,必须能够稳定运作,否则可能无法发挥应有作用,甚至拖累所要保护的对象。
7月19日资安厂商CrowdStrike的EDR软体更新出错,造成全球至少850万台Windows电脑停摆,堪称是近期最严重、规模最大、范围最广泛的世界级IT事故,令大家感到难堪的是,这起大灾难并非源于一或多个恶意软体、骇客组织,或是对特定区域抱有敌意的国家,而是一家资安公司的疏失所致。
如同我们的资安主笔黄彦棻采访到的一位资安主管所言:「勒索软体都没有办法做到的事情(公司电脑大规模当机),CrowdStrike办到了。」这个令全世界都感到困惑的窘境,不光是在EDR产品与服务有高市占率的CrowdStrike承担,实际上,也可能严重打击整个资安端点防护市场的信心。
台湾可能因为个人电脑安装防毒软体的比率很高,加上企业也很重视次世代网路防火墙的部署,对于后起的资安解决方案,如EDR,接受度算是缓步提升,因此,在这波CrowdStrike造成电脑大当机的灾情当中,受到影响的程度相对较低。
不过,台湾因为EDR采用率低而逃过一劫,这样的局面其实很矛盾,EDR发展至今,各家厂商的产品与服务其实已达到足够的成熟度,我们不能因为其中一家厂商的失手,一竿子打翻一船人,完全否定采用EDR的必要性,相反地,我们该思考的是如何选择与导入适当的现代化资安解决方案,而非因噎废食,当网路威胁与时俱进,却天真地认为继续依赖原本做法即可永保平安。
经过这次事故的发生,我们深刻地体会到部分EDR可能因为功能设计不良,或厂商没有严格测试其发布的更新,而导致端点系统无法正常运作,该做的事情是要求资安厂商、作业系统厂商负起责任把关,同时,也要预先规画两者都出包的状况该如何应变。