近年來駭客攻擊事件不斷,不管是為了政治威脅,或是竊取資料獲利,不難發現駭客攻擊策略、技術程度皆已超越既有的資安防護技術。
EC-Council(國際電子商務顧問局)副總裁Sean Lim即指出,企業為了降低資安風險,所需投入的成本越來越高,卻仍舊防不勝防。一方面駭客工具太容易取得,連購物網站都可以買到含有駭客程式的隨身碟;另一方面是基於人性使然,畢竟資訊犯罪仍相當有利可圖。
他在實際承接顧問專案時就常發現,企業端雖建置了防火牆、IPS、WAF等資安設備且持續穩定運作,也從未發現過攻擊事件,但實際上駭客卻早已入侵,只是透過隱匿的手法避開安全防護偵測,正在背景執行情資蒐集,或把機密資料打包加密上傳。
「IT人往往會迷思在鑽研設備端的知識與技能,而忽視該如何善加運用來巡邏檢視、抵擋駭客的攻擊行為。其實要對抗駭客攻擊最好的辦法,就是讓自己成為一名不做壞事的道德駭客。」Sean Lim強調。
懂得理論基礎之後,必須透過實際演練駭客攻擊行為,才能懂得駭客的思維,這也就是EC-Council CEH(Certified Ethical Hacker)駭客技術專家認證課程的宗旨。EC-Council CEH認證在台灣也常被資安界稱為「白帽駭客認證」或「駭客殺手認證」,其課程內容會以真實發生的攻擊事件為範本,不僅教導學員當時駭客運用的手法,且讓學員自己實作,在測試環境中實際演練,才得以從中理解駭客攻擊行為邏輯,進而運用到實務環境。
|
▲EC-Council副總裁Sean Lim(左)與精誠資訊知識產品事業部資深處長周惠卿(右),期能藉由引進國際專業認證,讓IT人員得以有系統的學習駭客技術,實際在工作中發揮。 |
其實EC-Council在台灣推廣教育已有近五年時間,可提供認證課程的類別相當多,還包括資安鑑識調查、資安危機處理、安全程式設計師等方面。Sean Lim發現,台灣不僅在IT基礎建設與技術研發人才方面皆有一定的成熟度,並且是一個高度證照化的環境,尤其是MCSE與CCNA認證資格,往往是企業招募IT人員時重要的參考依據。但是在基本證照過度普及的年代,若能同時具備資安方面的能力,更容易吸引企業關注,擁有可證明的相關證照,亦可在競爭對手中突顯出差異性。
EC-Council相較於在台灣較知名、也較多人取得的CISSP(資安系統專家認證),精誠資訊知識產品事業部資深處長周惠卿認為,CISSP較著重在發展資安管理政策的技能,較偏向管理階層的訓練。而EC-Council強調的是實務面運用,因此藉由國際間資安領域相當認同的CEH認證課程,將有助於IT人員提昇駭客攻防的專業知識與能力。