這裡是資安防禦系列課程的起頭,介紹資訊安全的基礎知識
這場只講概念,不會有技術性的內容,請放鬆心情來聊聊天
- 什麼是安全
- 為什麼要安全
- 基本的原則
- 用什麼態度進入這個領域
推薦先修:無
這不是傳統的課程,請不要來“聽課”,腦袋硬梆梆的是做不好資安的,請不吝跟大家分享想法
另外如果你已經有相當經驗,可以跳過這堂課,但也歡迎來聊天
授權方式 CC: BY-SA
- 不安全的代價是什麼?
- 安全是什麼?
- 對管理者、經營者來說,安全又是什麼?
- 推薦的態度
- 了解我們的對手
- 防禦重點規則
- 系列課程介紹
- 分享一下大家遇過什麼樣的倒霉事?
☠ 我也是看新聞才知道被黑了
☠ 收到違反個資法的傳票賠到脫褲
☠ 網站掛了,老闆在背後很火,工程師很無奈
☠ 資料庫被清空了(捲舖蓋)
☠ 老闆的D槽(?)被勒索了
☠ 用戶控告我們散播木馬,要求賠償
☠ 公司的款項被駭客捲走損失慘重
☠ 機密的計劃被對手搶先曝光
☠ 主機首頁被ISIS掛了國旗
☠ 談判每談必輸,底牌都被摸透了
☠ 網站上線收到大量訂單,出貨了才發現收到的錢是0元
- 資產損失
- 客戶流失
- 名譽損失
- 業務萎縮
- 倒閉、走路
用一個單詞來形容什麼是安全:紀律
一切都運作在預期之中,所有例外皆被良好的抓取與處理
- 機密性
- 完整性
- 可用性
這三者往往難以兼顧,一般來說抓了兩者,另一邊就會弱下去
-
錢
-
名聲
-
樂趣
-
別忘了網軍
- 資料收集
- 弱點掃描
- 實際攻擊
- 植入後門
- 清理行蹤,開始搜尋下一個目標
如果你是一個職業的資安人員,你的技能要非常廣,而且要比一般人都還要深
任何一點斷裂,都可能導致全面的失效
攻擊者只要專注一個點去深入,但防禦者必須全盤皆顧
反過來,要讓對方進入你所創造的世界
你必須比駭客了解的更深,比攻擊者了解的更廣,比你的對手更熟悉整體佈局
就算是開發者,公司老闆,也沒有人比你更清楚一切
你就是這個世界
- 對不起講者中二病發(被拖走
但最靠北的還是:如果沒事發生...如果異常發生了...
我們都是技術人,但是資安最難纏的不是技術...
來看看其他角色怎麼想
提問:有沒有 經營者、管理者、網管 在?你為什麼來?
了解你的系統
做好例外處理
人最難搞 - 對上 / 對下
如何展現成效 / 評估成果?
核心:風險管理
看見:我暴露在多少風險下?
我該花多少錢,在哪邊,來降低風險,增加收益?
- 一般員工,或家裡的父母?
我想進這一行,但是我該怎麼做?
- “擁有”屬於你的系統
- 對一切充滿好奇心
- 開放學習,並放手去玩
- 講得出“我做了什麼”
- 然後,擴展自己,了解更大的系統如何跟當前交互作用
- 聆聽,理解其他人的視角
- 學習與風險共存
- 會動就好
- 反正有設備擋著不用怕(反正我用Mac....etc)
- 反正出事不是我負責
- 忙到自己沒時間學習
在資訊與技術的洪流中,要掌握哪些原則,才能站穩腳步?
如果你是技術人
- 縮小可攻擊面
- 最小權限原則
- Simple is better
- 上線前完成測試
- 備份與備援
- 良好的Log管理
如果你是管理者
- 看清楚當前的情況
- 將資源放在有效的地方
- 實體隔離
- 實體安全
- 社交工程