HW2 CYBERSEC 2021 心得報告

Group content visibility: 
Use group defaults

這次在5/4參加資安大會,早上在七樓聽了演講,下午則是參觀四樓的攤位,接下來就介紹我印象最深刻的一場演講。

演講的主題是「安全的奇點,與起點」,從主題也許有點難看出演講的內容,如果要我總結這場演講的重點,我認為是在講述如何最「有效」的實現資安。

有些公司可能會覺得花了很多錢買資安產品,就一定能保證安全,但是過多的資安產品反而會增加風險。資安產品越多,就可以幫忙對應更多已知威脅,但同時也會造成資安體系的複雜化,使其變得不透明、不易管理,從而產生更多不確定因素,也就是未知的威脅變多了。

知道了再多的資安產品也不能保證一定安全,接下來就要開始談究竟該如何做到有效的資安,講者提出了三個步驟:評估與量化、決策與執行、量測與改進。

第一步是評估與量化,分為威脅與現有配置兩部分來進行,威脅評估使用MITRE ATT&CK框架,接著進行攻擊情境的想定,最後得出威脅的風險分布;現有配置的評估使用防禦評估矩陣,同樣進行攻擊情境想定,得出現有配置的防禦分布。

第二步是決策與執行,將風險分布與防禦分布做比較,風險高防禦低的部分就是應該要加強資安的地方,而風險低防禦高的部分就可以減少資安配置,以降低資安體系的複雜度。

第三步是量測與改進,駭客的攻擊手段是會不斷進步的,所以資安也必須要跟著加強。根據可能增加的風險,提出改進的計劃,並重複前面兩個步驟,確保資安體系的完善。

在資安上落實這三個步驟,就可以幫助公司建立完善的資安體系,實現最有效的資安。

參加資安大會讓我獲得了很多以前不知道的資安知識,除了上述的這場演講之外,還有聽了OT、企業內網等等資安的議題,也讓我接觸到一些資安的產品,對我在資安方面的學習很有幫助