資安稽核員的精神— 如何成為值得信賴的稽核員?
為什麼 IT 經常與資安單位或稽核員對立?資安稽核需要具備什麼樣的心態與精神?稽核員的證照比較?稽核員的品質?
緣起
最近正在撰寫稽核員該了解的技術科普文,在工作中不免要執行資安稽核、環境評估或是合規檢視,也聽過許多同行或是受稽方的抱怨,想來寫幾篇看到日常發生的樣態,也正在寫對稽核常困擾的網路原理、資料庫基礎、資安設備入門文章,強化基本概念,本文以下皆為個人觀點。
資安稽核員的基本知識系列文章 ( 持續更新 ):
- 資安稽核員的基本知識 — MS SQL Server (資料庫)的備份、安全性、維運與稽核軌跡入門
- 預計會有防火牆、網路設備等常見介紹
是否要考證照?
背景經驗與興趣
- 四大會計師事務所 Cyber Security Consultant / 金融業資安管理/高科技製造業
- 資安專案經驗 : 資安稽核、資安成熟度評估、企業網路架構安全分析、組態管理評估、弱點分析與滲透測試、APP 安全檢測、安全設定檢視、封包分析、稽核軌跡分析與評估、國內外金融合規檢視、工控架構安全( IEC 62443)、國內外資安框架(CIS Control / STIGs / NIST 等)、資安事件調查、威脅情資、ISMS、營業秘密保護解決方案評估與雲端安全架構
- 2021 / 2022 /2023 資安大會講者、2024 雲端大會講者
- HITCON / COSCUP 志工(興趣)
已取得認證 (表列部份有付費的並持續更新)
- 2019.01 — Cisco Certified Network Associate : Routing and Switching (CCNA RS) (文化大學進修推廣部上課)
- 2019.11 — Network Security of Packet Analysis Course (NSPA)(重點整理)
- 2019.12 — EC-Council Certification Ethical Hacker (CEH) (心得)
- 2020.04 — Cisco Certified Network Professional: Enterprise (CCNP Enterprise)(心得)
- 2020.04 — VMware Certified Professional : Network Virtualization (VCP-NV)(心得點我)
- 2020.05 — Cisco Certified Network Professional : Security (CCNP Security )
- 2020.07 — Azure AZ-900 (心得點我)
- 2020.11 — EC-Council Certified Security Analyst (ECSA) & CPSA換證心得
2021 (心得連結在最後證照簡稱上)
- 2021.02 — Certified Threat Intelligence Analyst ( CTIA )
- 2021.04 — Certified Information Systems Auditor ( CISA )
- 2021.05 — EC-Council Certified SOC Analyst ( CSA )
- 2021.08 — Certified Information Systems Manager ( CISM )
- 2021.09 — Certified in Risk and Information Systems Control (CRISC)
- 2021.10 — Certified in the Governance of Enterprise IT (CGEIT)
2022 (心得連結在最後證照簡稱上)
- 2022.07 — Certified Information Systems Security Professional (CISSP)
- 2022.10 — Certified Data Privacy Solutions Engineer ( CDPSE )
- 2022.12.30 — Certified Cloud Security Professional ( CCSP)
2023
- 2023.2 — Certified CyberSecurity Certification ( CC)
- 2023.04 — EC-Council Certified Incident Handler ( ECIH)
- 2023.08 — EC-Council Certified Ethical Hacker Practical / Master (CEHP)
2024
- 2024.02 — AWS Certified Cloud Practitioner Certification (CCP)
- 2024.02 — AWS Certified Solutions Architect — Associate (SAA)
- 2024.03 — GCP Associate Cloud Engineer (GCP-ACE)
我的部落格是把各種經驗寫出來做分享教學,希望把社群的分享風氣帶出來給大家。並期望之後有人也可以寫出不同的心得文,如果是自修(的邊緣人)對於申請考試和準備上有任何問題都可以透過 LinkedIn 交朋友與 Facebook 來聯絡我,能力範圍內盡量幫你解決(或是你想認識我出來喝杯咖啡也歡迎,我很喜歡多認識業界的朋友們交流,也真的不少人找我聊聊過了!)。
- 關於 Kuro 介紹、聯絡方式、文章分享(推薦透過此連結比較完整) :https://portaly.cc/kurohuang
- 其他聯絡方式 : https://kuronetwork.me/contact/
- 所有資安教學文章: https://kuronetwork.me/posts/
- 我做的資安貼圖 :
ISACA證照學習組合包與教材總整理:
資安稽核員的工作
資安稽核員不乏常執行 ISMS 稽核、一般資安查核、合規檢視等內容,在台灣通常甲方會在稽核室或資安單位,乙方除了驗證公司外,都是輔導顧問身兼資安稽核,以通過資安驗證和定期稽核為主,個人最早是從管理制度開始做到現在的技術評估,也持續精進管理與技術,希望習得不同領域的能力。
稽核員與受稽方的戰爭
稽核其實是一個相當吃力不討好的工作,因為被稽核者大多都會躲東躲西,態度也不一定會對稽核員良善,可能怕考績變差,工作量倍增、怕麻煩等,除非是主管機關來,否則連要資料或看上機佐證都並不是很好配合。
但在這必須為被稽核方說點公道話,有關資訊相關稽核,一方面聽不少 IT 表示稽核員的基礎能力不佳,如不知道網段區隔該如何判斷、不知道 AD 原理、不熟防火牆的原理與邏輯、不懂加密與雜湊差別、不熟資料庫、不知道資安設備功能,不知道開發流程、不知道作業系統等,而問出非常多奇怪的問題,也聽不懂 IT 人員的回覆,久而久之 IT 就會知道如何閃避資安稽核,可能會用不同話術或介面來繞過稽核員的題目。
所以如何成為一位值得信賴的資安稽核?
我想這是一個困難的議題,沒有人可以全能或是精通每一個領域,當一個資安稽核不需要精通技術,但要當資安稽核應理解各種不同技術領域的基本概念(管理與技術),可考慮做簡單的 LAB、學習 CISSP 知識(很好用)、熟悉控制措施的原理 ,又或者熟讀條文的實務面作法,理解 IT 日常任務,就像是念大學時,即便你不會用到所有必修科目,但基本的概念都應該要知道,畢竟是同一個科系,總言之,適當地去瞭解背後的理論是關鍵之一!
一個稽核員要自我進修與請教同行知識 ,可透過訪談受稽核方去了解對方回答,能夠學到不同知識,以後開的缺失才有憑有據、合情合理,至於好的稽核員應有的精神與態度,我舉幾些例子如下:
- 自我進修新事物的精神。
- 不能用「我覺得應該」,應拿出法規或框架的要求,如果只是單純優化或深度的資安查核,針對設備的機制面也可參考 STIGs 或 CIS Control 。
- 公正且具有獨立性,遵守道德守則,ISACA 道德規範寫著,確保在各自領域內具有必備能力,同意僅參與在合理預期下透過必要技能,知識和能力來完成的活動。真的還不熟該領域就避免去稽核 ,以免開出不合理的缺失,對的起自己也對得起受稽核方(非常重要)。
- 不為了開缺失而開缺失,乙方比較不常出現這問題,不管是不是為了績效都要合理。
- 不可與自身部門或業務有利益衝突,維持獨立性。
- 基於風險為考量的稽核策略 (ISACA),抓大放小。
- 找出控制失效的根因。
- 不帶有偏見:例如依照過往操作經驗、設備品牌、官階等。
- 了解各項資安技術的基本知識,確保控制被落實且有效並可衡量。
- 具有效力的資安認證。
- 找到一間好的公司,不會為了任務而把腰折斷,堅守道德守則與標準要求,如果無法堅守道德守則,甚至會有法律責任或出事情變成你背鍋(但還是不可以亂開缺失),並需要有足夠的時間去好好完成任務。
- 理解不同產業的特性,了解固有風險。
- 凸顯對方的長處:意思為做的好就要稱讚與報告,並非一昧抓對方辮子和缺失,功過皆須呈現,能凸顯對方價值才是一位優秀的稽核員。
- 盡可能不要照著底稿念,應透過對方的回答評估接下來問話方式。
- 說明發現事項可以用精進或改良的語氣,不要是抓小辮子的感覺,沒做好或許有可能是 IT 資源不足,不是 IT 人員的問題,要考慮不同面向的可能性。
- 缺失要有證據,並能合理不牽強的的說明原因與建議方向,不要拿其他公司有買的設備或實施的控制措施直接套到每一個受稽方身上。
如果是你被派去一個不熟悉的領域執行任務,那也只能硬著頭皮上了,畢竟現實上都是出來混口飯吃,但依據有相當公信力 ISACA 的精神,我認為沒有基礎能力,並不適合急著丟去做資安稽核,但我們台灣的 ISO 27001 專案中,顧問公司派出的顧問其實大多不懂這些背後 IT 知識,導致框架淪為形式,輔導顧問沒辦法依需求量身打造好的資安管理制度,稽核更找不出問題,因為顧問剛畢業或是年資尚淺,又或者都非本科聽不懂客戶需求,即便做了五到十年,還是很多人都不懂基本的資訊系統原理,甲乙方都不懂,那資安淪為形式也就不意外了。
稽核員資安證照
證照比較:ISO 27001 LA 與 ISACA CISA
台灣主流都為導入 ISO 27001 標準,故大多數人會將 ISO 27001 LA 當作稽核員的證照,但要強調的是,合格的主導稽核員不是上完五天課程與考試通過就是稽核員,這只是通過考試,還必須登錄 IRCA 與實習,才能成為合格的 ISO 27001 主導稽核員,而 ISO 27001 課程與考試因為不包含資訊原理,大多圍繞在條文標準與稽核員準則,環繞在 ISO 27001 的標準為主,基本上有心都可完成 ISO 27001 LA 的課程,導致現在人手一張主導稽核員受訓證書,無法證明在稽核能力這塊是否具有基本能力,未登錄的話也僅為通過受訓的證明。
這邊不是要否定 ISO 27001 LA 證書的作用, ISO 27001 LA 仍然對於新手學習風險管理、稽核員準則、各領域基本的控制措施來說非常推薦,僅提醒並非僅拿到 ISO 27001 LA 受訓證明就可以勝任資安管理,或是代表具有相當水準的稽核員,必須從多方評估考量。
另一張有關的稽核認證則為 ISACA 具有40年歷史 的 CISA (Certified Information Systems Auditor ),2021 年台灣持有的合格的 CISA 不到四百張 ( 未維持CPE 持續進修學分會被取消認證資格,即 CISA 失效),考試難度也高上許多,是國際公認上在資安最 Top 的稽核認證;從流程評估到 IT 管理、稽核章程、IT 治理、稽核手法、資訊資安技術、攻擊手法、網路架構、開發流程、專案管理皆為內容,且沒有考古題可背,所以 CISA 目前為世界上最有公信力的稽核認證,取得 CISA 會有比較高的機會被認定有一定基礎知識,當然兩張的任務取向並不完全相同,需要由個人去取捨。
回歸考試的本質與形式,並非考到 CISA 就可完全信賴,僅代表有較高的機會是有一定程度的能力,還是要確認稽核員的背景、專案經驗、談吐內容或是否有其他相關證照來評估稽核員能力,我個人推薦稽核可以考 CISSP ,身邊有好幾位朋友是電腦稽核都具有 CISA 與CISSP,CISSP 是管理考試,考試會不會過是取決於管理觀念,而且 CISSP 的知識可以提升稽核的判斷能力與開缺失的合理性,資安稽核若沒有基本技術名詞的認識、優缺點比較與基本原理會無法抓出根因與最佳建議,而且 CISSP 也不會考你動手和指令!
最後,大多有公信力的認證如果沒有維持 CPE 學分就會失去效力,做稽核如果沒有評估人員的證書是否為有效的,我想也是一大疏忽,證書的序號都可以在官方查驗,廠商投標的人員資格經常不符,身為管理人員應該要注意這點。
剛入行新手想增加全面的資安核心觀念,建議念 ISC2 的 CC (Cybersecurity Certification)證照,有 CISA 其實也可以唸個 CC!
延伸閱讀,證照跟證明的差別,你的資安證照真的是證照嗎?
所以我要不要考證照?
要,但要考有價值的,當一張證照過於氾濫就失去了價值,且不是為了考而考,你所處在的公司所使用的方法論或顧問的方法論可能也不正確,必須自己斟酌判斷。原因很可能方法論為了客戶需求改變、政治因素、不熟條文與框架精神、前輩教錯、歷史共業、新人趕鴨子上架等問題,而自己去讀 ISACA 或 ISC 的精神與框架,我相信除了驗證方法論外,也會學到非常多的東西,理解什麼才是對的,而不是不思考直接相信第三方的意見。
最後附上一個梗圖,合理且有足夠的證據下,各位記得堅守自己的道德準則,頂住壓力,該開缺失就開,還有確保自身能力才對得起彼此。
想聊聊可以敲我,關於 Kuro 介紹、聯絡方式、文章分享(推薦透過此連結比較完整) :https://portaly.cc/kurohuang
若您喜歡我的文章,歡迎按下「拍手」與Liker按讚給我支持並轉發給你的朋友們(可以多拍幾下手喔),或是「Follow」我,讓我提供文章給您。Facebook 粉絲專頁
