資安的幾個觀念

先說明，這一篇跟之前所寫比較不一樣。不知道為什麼，最見常常談起資安的話題，言談之中也發現有些觀念好像有待澄清。由於自己過去的經歷也算有點心得，這裡就來試著深入幾點大家比較有興趣，但是可能與一般研發經驗不一樣的地方。

一，資安真的是不能算 ROI 的

之前聽過一個有趣的例子，但是不知道是真是假: 有些零售業的業主老闆會斤斤計較 「我裝了監視器會抓到幾個小偷阿」；我是寧願相信這是個 urban legend。有多例子，有些資安措施甚至不一定能降低風險，而是針對 「末日情境」(Worst Case Scenario) 而設計 (例如某些東西被偷嘞公司就垮了)，出錢的老闆們要認清楚這個現實。

二，要先弄清楚保護的標的以及優先順序

資安措施無法包山包海不難了解，但是很多人都忽略了「優先順序」的重要性。很多情況下，你保護了 A，可能同時保護或是使用 B 的複雜度會大幅增加，你要決定划不划得來。到最後，很多防護預算的分配，也都是折衷的結果，就看大家是不是有共識。

三，要想想壞人會怎摸進來

這個就是技術活了，也是最需要外部專家的地方。不過在砸重金邀請駭客天才之前，基於要保護的標的系統型態，可以先沙盤推演一番。像做網站的，到網路上蒐關鍵字: 十大網站弱點 之類的，會對概念的了解有幫助。但話說回來，出非已經身經百戰，不然別開口說可以全部自己來。專家的價值，就是幫你找到沒看到的地方。

四，別想著滴水不漏，要想著如何及早發現及早治療

我自己還真沒看過攻不破的系統，連不上網的都會出事。能做的大部分是拖慢攻擊，或是讓攻擊容易發現。

五，資安是一種稅，沒有人會歡迎

講到資安防護，大沒有人是不板著臉的。就是因為不受歡迎，所以才會發生「該做而沒做」的致命錯誤。這真的沒甚麼好方法，不要期望人性會戰戰兢兢，自動自發，就只能靠系統跟流程了。

我的心得: 資安成也因為人，敗也因為人，其是技術的影響是有限的。其實還有好多案例和經驗可以談，之看心情再聊唄。