上个月我们举办的活动中，有位香港来的讲者，提到台湾客户针对弱扫服务有『4不』， 不修复(证明有危害才修复)、不当机(不影响系统稳定性)、不扫描(最好一年扫一次)、不呈现(扫到弱点不向长官会报)。这触动了我与他深谈的念头，深谈之下发现，我们落后太多了，台湾就像5-8年前的香港。

最大差异是接受服务有价

        香港为国际港都，算是亚洲金融中心，国际化层度高，许多地方需要国外专家的协助，自然带动国际收费标准，既使本地公司或人才提供服务，也会比照国际专家的收费标准。在资安的专业领域，自然接受服务有价。

        除了专业服务可计价之外，资安设备的采购上，台湾是买完产品后，服务免费。相对于其他大多是设备与服务的采购是分开购买。毕竟，要做好这么多分析及找出解决问题的办法，是需要投入较多的人力资源。一家以产品销售为主的公司，能投入多少时间? 免费很难确保服务质量。

        即使是采购设备，香港客户愿意为好的产品多付一点价格。价格太低反而会引起客户对质量及专业的质疑。香港公司重商誉，相对被黑客入侵后，商誉被影响的损失，资安上花的只是小钱。

态度与机制决定成败

         以银行为例，即使香港银行规模普遍较台湾小，但跟银行开会讨论项目时，参与会议的人员，规模小的银行至少也有2到3位参与者，规模较大的还会有5到8位参与者。然而在台湾，不论大小，大概就只有1、2位。

         在香港，负责资安相关工作的人员，一样嘴巴会骂骂骂。但骂归骂，还是会回头动手做。因为机构内安全目标明确，发现甚么样的弱点，多长时间内必须补强完成，规定的清清楚楚。万一工作太多，不能达标，未必一定是他个人的问题，跟主管理性讨论，工作太多，人手不够，要不就加人，要不就找工具帮忙，无论如何该做的就得做好。

自建防御机制 vs 委外

        2014 Heartbeat 发生，香港金融管理局（HKMA）在弱点发报当天，马上要求银行两天内提交报告，报告有没有被影响的系统。这时透过委外的银行，受限服务商的能量，很难每家都能两天内交出报告。这让银行兴起自己做安全评估的需求。

        有些外商银行开始考虑利用cloud service, 但不同地方对法规的要求是一大疑虑。但无论如何外包也好，利用云端服务也好，资安的责任还是银行自己要肩负的，因为有安全事件发生，客户去找的是银行自己，不是银行的服务供货商。

资安服务需要专业证照

        2016 年五月，HKMA提出新的安全要求建议书，提出要针对弱点评估服务、风险评估服务、渗透测试(Penetration Test，简称PT)服务厂商，的人员资格正规化，内容包括服务应如何定制及相关人员的专业资格要求。
在专业资格上，有针对 Assessor （评审员，负责定义服务范围的范围）及实际动作的Test （测试员，实际进行评估／PT 的人员）。

        在建议书中，目前列出针对Assessor的专业资格要求为CREST iCast Manager，但同时例出以下专业资格亦在考虑之内：
1) ISACA的Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM), Cybersecurity Nexus (CSX)。

2) (ISC)2的Certified Information Systems Security Professional (CISSP), Systems Security Certified Practitioner (SSCP)。

        而针对Tester的要求，目前列出需通过CREST iCast Tester，另外建议：
1) EC-Council的Certified Ethical Hacker (CEH), EC-Council Certified Security Analyst (ECSA), Licensed Penetration Tester (LPT)。
2) SANS 的Institute- GIAC, GIAC Penetration Tester (GPEN), GIAC Web Application Penetration Tester (GWAPT), GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)。
3) Offensive Security的Offensive Security Certified Professional (OSCP), Offensive Security Wireless Professional (OSWP), Offensive Security Certified Expert (OSCE), Offensive Security Exploitation Expert (OSEE), Offensive Security Web Expert (OSWE)。

        可见香港的金融管理机构开始规范资安评估服务水平，要有高水平的服务，服务还真的能“免费附送”吗？

钱多花在 容易呈现成效的地方
        台湾目前花钱还是较愿意花在看得到的地方，例如买防火墙（FireWall）、网页应用防火墙(Web Application Firewall, WAF) 等网络防护，因为这些设备往往可以具体提出报告挡掉多少攻击，成效容易量化呈现。反之，安全评估及弱扫评估等往内看的服务，比较难具体看到所谓的成效，经费配置相对就少。香港的朋友打趣说，就正如去做运动，我们买一副漂亮的太阳眼镜，一双好的运动鞋鞋，再买个智能运动手环，出来的感觉就很专业。但没太多人会注意我们在控制体重上下的苦工。

         台湾还有一个现象，通常问题解决了，就被放下来，眼睛转往其他地方。但是，安全不是今天好了，明天就可以放松，它必须一直不断地检视与改善。因此，整个企业组织，机构订定合适的安全目标十分重要也是必要的。

应该设置资安专职单位
       在香港因为有许多资安相关工作要做，还要经常面对许多稽核单位的稽查(至少一季一次)，故在HK一般都有专职资安团队，至少两人，一位负责policy、一位负责技术。多举一个数字，目前在香港有注册的 CISSP （Certified Information Systems Security Professional）人数为 1413 位，而在台湾，只有257 位。为什么呢？是能力问题，还是市场需不问题？台湾人连续很多年，在 DevCon 的 CTF 活动也能取得好成绩，我不认为是台湾人员技术不够，反而是对整个资安行业认受不够。

        而独立小组的好处是让该做的事，能具体落实。例如，系统更新目标是30天内把更新安装好，但server team 也许做不到，这时安全人员可与 server team 沟通是甚么令他们不能达到目标，例如找出是 server 量大增，人手不够，这时可以协主寻找恰当工具来帮忙。

出事隐瞒 后果更惨
        万一出事，HK一般出事会上报，因为出事后上报了，如果发现该做的都做了还是出事，不会罚得很惨。但如果发现该做的没做好，甚至不报则会很惨，最严重可以停牌。真的能隐暪吗？auditor会看log，log 的保存也有要求，如果事后有所隐暪，发现就会重罚。

结论
        看看别人想想自己，台湾资安要改善，就必须组织单位的经营层，把资安当作运营的基础，做必要投资，而非应付主管机关。
肩负资安工作的人，不能把资安当作一般寻常工作，作完了就结束。毕竟资安工作是一连续不间断的任务，应该求好而不仅是完成一份工作。
资安从业人员的使命感，才是皇冠上的那颗钻石。