科技迭代发展,资安思维却难以跟上
格里斯沃德表示,资安界目前面临的挑战有二。第一、由于黑客圈的情资分享很顺畅,许多网攻工具甚至以开源的方式公开在网络上,使得黑客越来越难应付。同时,基于面子问题,许多大公司并不互相分享情资,很多中小企业的资安人员是由IT管理人员兼任,在遇到勒索软件攻击的状况时,时常会选择付钱了事。「 直接付钱可能比请一个资安人员来得划算, 」格里斯沃德说。
第二,也因为新的攻击一直出现,旧的攻击也始终奏效,不同的资安防护技术及工具不断叠加,但这些东西缺乏统整。许多企业手里都有超过80种不同的资安工具,同时也导致资安人才越发稀缺。因为人们期待资安人员要懂得很多不同技术,这使得进入资安界的门槛越来越高。
「以我的经验来说,常常开出三个资安相关职缺,面试到最后,就只有一个人能真正符合要求,其他位子则继续空着。」他说。
至于格里斯沃德没说出口的第三个挑战,或许是最难改变的现实:在资安界里,攻击是一种技术,防御却不只如此——它更是一种思维。无论是一般网络、云端或是未来由5G驱动的赢咖4注册时代,价值观都跟不上科技的改变。随着科技迭代发展,人们恐怕得为了落后的价值观付出更大的代价。
▲2017年的WannaCry勒索软件攻击,是格里斯沃德在资安界做了二十多年,最难忘的一次经验之一。
大众缺乏资安思维的状况难以在短时间扭转,格里斯沃德也积极地思考一些解套的方法。例如,由IBM X-Force提供威胁情资的非营利资安专案Quad9,就可以透过服务器的设定,让一般民众在不知情的情况下受到连线防护。
访问到尾声,好奇地问了格里斯沃德在资安界做了二十多年,最难忘的一次经验是什么?他说,2017年WannaCry勒索软件攻击爆发时,他听朋友说,火车站内显示时程表的屏幕被切换成勒索软件的画面,大大地呈现在所有旅客面前。那不只暗示了有多少老旧的机台没有即时更新补丁的习惯,同时也是一种恐惧的公然散播。
确实,黑客是不等人的。不过,资安意识虽然难以推动,但在大众跟上以前,如格里斯沃德一样的资安大师,还是愿意走在前线,去打一般人难以想像的仗。问他为何喜欢这个产业?格里斯沃德笑说:「敌人永远在改变啊。这种充满动态的感觉,任何其他产业都找不到。」
