攻防的不對稱，防守難顧全

為什麼攻防難對稱 ? 攻擊者具備的優勢

實體戰場通常易守難攻，考慮後勤補給問題，有武器攻擊密度問題，有地形障礙，場地空間容量限制等。虛擬世界的戰場剛好相反，幾乎沒有限制；而且攻擊者具有無限複製分身的特性，可以來自四面八方。

存在技術落差

通常攻擊方具備專業技術上的優勢，通常隱身於世界任何一個角落，有網路便可以發動攻擊。一些組織公布揭露的弱點資訊，原本的美意是讓資安人員修補系統加強防禦。但那正好是駭客的攻擊工具準備清單。 現在的普遍現象就是：弱點公佈當天就是攻擊起始日，而望穿秋水的原廠修補可能還未開始。

商業獲利模式驅動

不像實體世界，想要增兵援助得大費周章；真實的生物病毒壽命有限，而數位世界則可以無限制的複製與傳染。以往攻擊電腦系統的動機，不外乎是為了炫技、報復懲罰或者只是好玩。在比特幣發明之前，雖然也有恐嚇、詐騙、勒贖，但無法成為大規模經濟活動。比特幣發明之後，因交易幾乎無法被追蹤的特性，使利益成為主要動機驅動著駭客經濟。綜合以上變化的趨勢，跟以往電腦犯罪不同的是，不再需要挑選特定目標了，直接無差別攻擊。

防禦的劣勢

大家都明白防禦這些危害的重要性，但建置佈署資安防禦，會面臨到的現實問題

• 組織經濟規模不足以支撐資安團隊。在台灣中小企業佔整體企業97.64%，在員工數本來就不高的情況下，不易組成專屬資安人員編制。
• 人力配置不足，通常組織會優先滿足生產力人員，接下來才會考慮專業IT人員，資安人員通常是非不得已後的配置。IT或資安部門甚至還會由其他部門(如：管理部門)兼任或輪派，人員配置偏低。
• 專業技術訓練不匹配，一般以IT管理系統訓練優先，針對資安技術、資安治理的專長訓練比例低，問題一旦發生，可能無法由內部尋求協助。
• 求證不易舉證困難，攻擊方為了隱藏行蹤，可能會毀滅跡證。無法調查來龍去脈，將來也難於防範。
• 環境變化快速，攻擊方時時磨練新功夫，或使用現成自動化工具，而防守方常處於被動的形勢難以跟上。
• 資訊系統或通訊協定先天設計的缺陷，未被發現或無法修補，造成就算已知也無法補強的情況。

防守的盲點

大家都知道修補防守的重要，專家也常常提出建議，告訴我們要更新修補。但不幸的現實是，有一些議題常被忽略：

• 雖說時時更新，但生命週期結束服務中止?不少的設備在採購的當下，作業系統可能已經EOS(End of Service)，更別提在上面的應用程式。更有不少的設備，是必須在不能更新的隔離環境工作。
• 已知的漏洞好補，如果是未知(被揭露)的，雖然大部分的資安系統，都可以十分可靠的幫你找出已知的漏洞、威脅。但最難管理的是未知的未知 (the unknown unknowns)，目前卻是沒有明確的解決方案。
• 防守難以全面覆蓋，我們使用的設備包羅萬象，有各種不同作業系統，硬體架構。不是每一種都可以找到對應的防護方案。
• 基礎建設不足，該具備的必要防護措施不齊全。可能礙於經費、組織規模等考量，組織決策接受風險。但對比於防疫觀念，不做防護卻可能害了其他人。
• 外包管理，不論是上下游供應商，維護服務商。不論是用他們自己的設備或使用組織提供的設備，基於管轄權問題，很難維持跟組織資安要求一致的水準。還有一個考量，該負責對外業務單位可能根本沒有資安人員，或設備並非由資安(IT)管理單位所管轄。
  
  

盤點被忽略的治理盲點  尋回防守優勢

組織可能常會依賴資安廠商或顧問的建議來進行相關系統/設備的採購。的確，工欲善其事，必先利其器；適當的系統/裝備有助於管理成效。但盤點前述被忽略的議題，多半與資安治理有關，並非光靠設備就可以解決。如果負責的資安人員缺乏經驗，或專業程度不對等，可能造成投資的浪費。盤點環境中設備，或檢視管理上的疏漏，能讓資安人員與組織高層更清楚到自身環境所缺。檢討最迫切補強的地方著手，才能讓企業找回對資安防護的主導權。