資安反被資安誤

在日常生活中，我們看到各種想要兼顧便利性與安全性的設計，例如，轎車內建保護駕駛的安全氣囊，如果需要額外設置、裝載的安全性裝置，往往會因為增加使用者負擔，而必須透過刻意宣導、法令懲罰的方式要求配合，例如，乘坐汽車、高鐵、飛機需繫上安全帶，騎乘機車要戴安全帽，4歲以下孩童乘坐汽車需使用兒童安全座椅。

所有人都知道安全性很重要，然而，如果因為管制方式不良，影響正常運作、甚至造成停擺，這顯然是大家都無法接受的。事實上，在緊急的情況下，我們可能必須進行大規模的隔離、甚至暫停所有手邊的工作，肆虐全球三年之久的COVID-19，就是很典型的例子，我們都希望在確保安全、健康的狀態下，設法維持正常的生活與工作狀態，而非因為懼怕病毒感染，而停止所有作息。

所謂的安全優先、安全至上，並非為了安全而犧牲一切，「寧可錯殺一百，不可縱放一人」、「寧為玉碎，不為瓦全」都是面對極端狀況才可能允許的作法，為了達到目的，我們可能需付出慘痛的代價。然而，在大多數時候，當我們面對生命、財產、資安等各種威脅時，「先研究不傷身體，再講求效果。」是眾人比較能接受的作法。

單就資安領域而言，相信很多人都聽說「資安鐵三角（CIA Triad）」的概念，C代表Confidentiality（機密性），I代表Integrity（完整性）、A代表Availability（可用性），我們必須要意識到控制的手段與目的，以及所要保護的對象，不能毫無控制、疏於防範，但也不能為了安全而過度控制或不當控制，導致處處受限、動輒得咎的困局。

從實務的角度來看，關於企業級資安產品的採用上，如何降低誤判是許多用戶在意的部分，若僅牽涉到警示的處理，往往需耗費人力與時間釐清警報真假，若因為自動阻擋而不慎影響到系統與網路的正常運作，使企業與組織業務無法運作，後續如何盡快完成調查與復原工作，會成為更艱鉅的挑戰。

資安解決方案除了針對威脅偵測與應變處理機制，需具備足夠的精準度，另一個重點在於如何確保產品與服務的品質，必須能夠穩定運作，否則可能無法發揮應有作用，甚至拖累所要保護的對象。

7月19日資安廠商CrowdStrike的EDR軟體更新出錯，造成全球至少850萬臺Windows電腦停擺，堪稱是近期最嚴重、規模最大、範圍最廣泛的世界級IT事故，令大家感到難堪的是，這起大災難並非源於一或多個惡意軟體、駭客組織，或是對特定區域抱有敵意的國家，而是一家資安公司的疏失所致。

如同我們的資安主筆黃彥棻採訪到的一位資安主管所言：「勒索軟體都沒有辦法做到的事情（公司電腦大規模當機），CrowdStrike辦到了。」這個令全世界都感到困惑的窘境，不光是在EDR產品與服務有高市占率的CrowdStrike承擔，實際上，也可能嚴重打擊整個資安端點防護市場的信心。

臺灣可能因為個人電腦安裝防毒軟體的比率很高，加上企業也很重視次世代網路防火牆的部署，對於後起的資安解決方案，如EDR，接受度算是緩步提升，因此，在這波CrowdStrike造成電腦大當機的災情當中，受到影響的程度相對較低。

不過，臺灣因為EDR採用率低而逃過一劫，這樣的局面其實很矛盾，EDR發展至今，各家廠商的產品與服務其實已達到足夠的成熟度，我們不能因為其中一家廠商的失手，一竿子打翻一船人，完全否定採用EDR的必要性，相反地，我們該思考的是如何選擇與導入適當的現代化資安解決方案，而非因噎廢食，當網路威脅與時俱進，卻天真地認為繼續依賴原本做法即可永保平安。

經過這次事故的發生，我們深刻地體會到部分EDR可能因為功能設計不良，或廠商沒有嚴格測試其發布的更新，而導致端點系統無法正常運作，該做的事情是要求資安廠商、作業系統廠商負起責任把關，同時，也要預先規畫兩者都出包的狀況該如何應變。

 相關報導