从历史老师变安全大师,他与黑客过招20年的实战心法

时间来到1996年的布鲁塞尔。当时26岁的Kevin O’Leary还是一个历史老师,受到欧盟的邀请加入了一个教育委员会,协助欧盟各国构建教育合作数据库,意外找到乐趣。从未接触过IT的O’Leary被这个产业给迷住了。

那时Yahoo成立才一年,Google的搜索引擎也刚创立,还挂名在斯坦福大学的域名内。 O’Leary在IT产业正要开始蓬勃发展的年代,从茫茫的史籍书海里,跳上开往未来的科技列车。

23年后,他已成为国际安全大厂Palo Alto Networks的亚太区安全主管,在亚洲各地奔走,手边放着他晚点要赶去香港携带的行李。回想过去,O’Leary肯定地说:“不一定要学什么才能当什么。”

从人文学术转向网络世界,安全大师的自修之路

外人恐怕很难想象,安全大师的本科竟不是信息工程,而是历史。不过,拥有中世纪历史硕士学位的O’Leary,教职之路并不顺畅。 “我当了一阵子老师,可是我实在做不太来,教书太难了。”O’Leary说。在欧盟的工作结束后,他决心转战IT领域。

但已经读完硕士的他实在没有财力和时间回到大学重新学起,于是他通过在欧盟整理数据库的经历,找到了IT相关的工作——Levi’s的基层工程师。

O’Leary第一份和IT相关的工作,就是Levi’s的基层工程师。

“在Levi’s,他们给了我一个管理数据中心的工作,而那是我接触信息安全的起点。”万丈高楼平地起,安全大师的基础,就是在值夜班的计算机室内,趁着空档自修程序语言与不同的操作系统,一砖一瓦地架构起来。有经验的积累,从没受过专业训练的他在2000年成功申请到了一份Unix系统安全工程师的工作。自此,O’Leary才终于正式进入安全领域。

安全三重点:机密性、完整性、可得性

一个安全主管,在工作中到底会面对哪些事情呢? O’Leary笑着回答:“绝对不是一整天都盯着计算机打code。”他表示,安全主管的工作其实非常有趣。针对各式各样的企业客户,他都要提供量身打造的安全策略。

“安全有三个重点,我们称之为CIA,也就是confidentiality(机密性)、integrity(完整性)和availability(可得性)。作为一个安全主管,你必须同时顾及到这三点,但也必须针对不同企业找出他们最需要受到保护的是哪一点。”

以药厂来说,最重要的东西就是药物的数据数据,也就是信息的完整性。如果黑客篡改药物上的数据,导致医生在开药时给了错误的剂量,可能会赔上人命。

O’Leary举了几个例子。以药厂来说,最重要的是药物的数据数据,也就是信息的完整性。如果药物还在测试阶段数据就被流出了,导致机密性受损,或许会使药厂在研发上遭受庞大损失;但如果黑客在不知情的情况下篡改药物上的数据,导致医生在开药时给了错误的剂量,就可能会赔上人命。

对某些制造业来说,他们会认为可得性最重要,因为假设配送出了问题,可能会对工厂造成难以负担的成本损失。至于政府与金融业,优先保护的当然是机密性。

这些产业间的不同需求,都是O’Leary过去20年内接触电信、药厂、金融、航空等产业后亲身累积起来的经验谈。安全主管的角色在业界里非常宝贵,因为不是每个人都有能力定制化出最适合某家公司的安全策略,监督并适时进行调整。

安全应独立于技术部门,为公司风险管理把关

O’Leary表示,许多人都对安全主管的专业有偏见,觉得他必须要是一个非常技术导向的人。不过他认为,一个安全主管最重要的是对风险有全面且入微的分析能力。

O’Leary观察到,在亚太地区,许多国家把CSO(安全主管)的职务囊括在CIO(首席信息官)的管辖范围内。但CIO优先考虑的面向可能有功能的运行、预算、新技术开发等,也就代表安全不一定能够和其他决策的评估项目平起平坐,得到相同的重视。

根据Deloitte在2016年所做的一项调查显示,越来越多公司认为安全主管的角色定位,正从“网络守门人”的身份,转变成公司整体风险管理的顾问。 “这表示安全正逐渐独立出来,不再隶属于技术部门之下,成为直接影响公司整体运营的一个环节。”O’Leary说。

“这也是我这几年努力在传达的想法。安全应该独立于信息和技术部门,安全主管应该要直接向首席执行官及董事会报告,并且有自己的一整个部门,为公司的风险评估做最专业的把关。”O’Leary认为,面对安全威胁的进化,公司也需要更加重视安全,拉升它的层级。这也是提升整体社会安全意识中,不可或缺的一部分。

防堵新网络攻击,需抱持“零信任”的心态

提升安全层级,订定出合适的安全策略,上述这些都是从上到下来完善安全的防备。至于个人和企业要如何因应新的网络攻击形态,O’Leary以一个比喻来形容:“网络攻击的进化其实有点像蚊子。有些蚊子身上带有疟疾,有些带着更可怕的兹卡病毒。病毒变强了没错,但传播的方式其实大多数都大同小异。”

虽然病毒升级、侵入的渠道变多,但如果人们能够抱持着“零信任”的心态去防堵各种威胁,开信时不轻易点开附件下载、定期更新系统、随时备份数据,还是能够有效降低被攻击的机率。

以近年来常见的勒索软件来说,很多黑客仍是以过去的传播模式进行攻击的。 “很多传播模式20年前就盛行了,但直到今天还是很多人会中招。其实很多黑客都是机会主义者,他经过每一道门都会开开看。若你没上锁,那他自然就进来。”O’Leary说。

不过,对于企业来说,O’Leary认为供应链攻击是需要特别防备的一​​个环节。现在,越来越多企业都发展出自己的生态链,链上每一个端点,都提供黑客入侵的机会。 “我看过太多例子了。有些是渗透企业的分部,有些则是第三方供应商雇用的IT人员本身就是黑客,而企业对权限访问的管控太宽松,这些都需要重新被评估。”O’Leary说。

但对于5G及物联网所带来的安全隐忧,O’Leary表示安全公司也都严正以待。物联网的无所不在加上5G的高速传播,两者综合起来等于有海量的数据可以让黑客窃取。他举例说,在深圳有超过300万个人孔盖,如果在上面加装物联网设备来测量环境,等于每一个细部的数据,包含交通状况、路面高度、空气品质等全都会被记录下来。 “人们纪录了一堆不知道用来做什么的数据。但假设这些数据被窃取了,我们也真的不知道他们会怎么利用。”O’Leary说。

打一场永无止境的战争,O’Leary:我的工作充满刺激

“所以我说安全是很刺激、很有趣的,不然我怎么会把它当成我的工作?”O’Leary笑着说。

从业20年来,O’Leary看着黑客从最开始恶作剧般的窃取权限,到现在组织成跨国犯罪集团对工业基础设施做出可能危及生命的大规模攻击。放弃继续研读历史的O’Leary,现在却成了整个现代黑客史的第一线观察者。 O’Leary说:“历史学的背景训练我观察事物的能力,让我能用多种不同角度做思考。虽然很难说它与我现在的工作直接相关,但我想每件事都是相互链接的。”

虽然黑客的攻击手法不断出新,安全公司的防卫机制也持续筑起高墙。从这个层面看来,O’Leary和Palo Alto Networks在打的可能是一场永无止境的战争。但这也让他的生活充满了各种新的挑战。

“所以我说安全是很刺激、很有趣的,不然我怎么会把它当成我的工作?”O’Leary笑着说。

发表评论