搜尋此網誌

2008年8月28日 星期四

吃不飽、吃到飽、吃過飽 - 你也資訊過載了嗎?

身為現代人,不只對於食物有攝取過多的危險,對於無形的食物(資訊)亦然。數位化的時代,讓資料的流通跨越了許多原本存在的隔閡 (如距離、語言等),而且傳遞的速度幾乎是即時的。而在Web 2.0的時代,每個人都可以用各式各樣的方法產生資訊並加以分享,更使得資料數量呈爆炸性的成長,而且無時不在,無所不在。垃圾郵件的問題依舊存在,但是有更多的Blogs、RSS訂閱、Soical Network Platforms與Gadgets ,提供了看似有用或有趣的資訊,甚至很多還是我們自己自願接受的。但是,人的時間畢竟有限,這麼多的資訊,不要說是閱讀了,光是瀏覽都不夠時間。所以資訊過載這個名詞再次被提起,至於怎麼避免或防範,除了增加自己吸收的效率外,最重要的是如何選擇必要的資訊與良好的資訊來源。如果你跟我一樣有資訊焦慮症,要最到後面這點還真需要一番掙扎。

其實早在很多年前,資訊過載的議題就已經存在資訊安全的領域中。我們都知道,幾乎所有的設備、電腦(作業系統)、應用程式都有各式各樣的Log,這些Log提供了我們系統執行時的訊息。除了執行的狀態外,大多數也會針對一些特殊的事件(尤其是異常的事件)作成Log。所以,各個管理者必須將其負責範圍內的Log嚴加監控,以防止問題發生而不自知。簡簡單單的一句話,但是我相信沒有幾個人辦得到,甚至沒有人想真的這樣做。原因很簡單,這些Log不但散落各處,而且每種Log都有其特定的格式與解讀方式,在加上資料量龐大...所以,通常在發生問題後,能夠依據Log找到問題發生的來源並解決之已經算是很好的了。

不過,資訊安全廠商當然有更遠大的眼光,所以就有了 SIM (Security Information Management)或SIEM (Security Information and Event Manager)這類產品,希望能夠把各式各樣的Log訊息集中處理,以期並找出真正危害資訊安全的事件。當然,這類產品的資訊來源並不限於所謂的Log,有些甚至會有自己收集資訊的元件,不過這個其實也可以看是Log的一種,只是這是由廠商自行開發的格式。SIM主要的流程大致為Filtering -> Collecting -> Normalization -> Consolidation -> Correlation -> Analysis -> Alarm & Reaction & Reporting。這個只是可能的流程之一,每個產品會有自己特定的行為與流程,甚至有些流程行為可能會重複一次以上。這個部分礙於篇幅的關係,有興趣的讀者就請自行參考相關連結與其他文件了。這樣的產品立意很好,但是現實是很難達成廠商所宣稱的目標。當然,不用這類產品,光靠人力幾乎沒有辦法產生效果。但是有了產品,問題依然存在。其中最嚴重的問題當屬這麼多事件來源,而且大家又都有自己的格式與意義,要全部收集就已經是不可能的了。所以...第一步就玩不下去了,那後面做得再好也是救不了使用者(產品)。不過,如果我們退一步看,接受所有訊息來源的資料,這點確實本來就是不實際的需求,所以在大部分的情況下,以實務的角度來看,SIM或SIEM還是有相當作用的。

我們在討論許多具備偵測功能的系統時,常常喜歡用Flase Positive與Flase Negative來討論系統的有效性。在是非分明的世界,這樣的分法是適當的。但是在安全的領域中,很多事情卻不是一翻兩瞪眼這麼簡單。因為我們希望SIM/SIEM不僅能針對已經發生的問題產生事後的回應(Reaction),最好能夠在事情正在發生,但是還沒產生危害之前就加以制止(Prevention)。以遠端入侵而言,我們可以說許多都會經過嘗試密碼的動作,所以有錯誤登入是可疑的。但是,要在多少的時間內累積到一定的錯誤次數才是真正可疑,是否要使用同一個帳號、來自同一個IP位址才算是可疑?這麼多的變數,都會影響到系統的判斷。當然,這些東西可以設計成可控制的變數,但是這樣做只是把問題從產品丟到佈署與使用的人員身上,並不能真正提供企業所需的防護。關於這點我認為是目前實際應用上最困難的地方。過於寬鬆的設定,可能會導致預警能力過低。但是過於嚴謹的設定,就會產生所謂愛哭的小孩。愛哭的小孩不像放羊的小孩那般愛說謊,只是喜歡大驚小怪,但是所造成的傷害可能比放羊的小孩還多。

所以,有所謂的異常行為偵測(Abnormality Detection)的技術,希望系統能夠自己判斷何為正常的行為,以期在行為產生偏差時提出警示。這樣的技術都需要在導入初期經過一段時間的學習,以收集足夠的資訊來建立所謂正常行為的資料庫。而且,這類技術也需要在運作中隨時將觀察到的資訊回饋到資料庫,並更新正常行為的資料庫。這樣做有兩個問題,第一個是原先的正常行為,不見得是好的,甚是可能已經違反了公司的資安政策。第二個問題則是心懷惡意的人,有時候可以透過教導的方式,將系統正常行為資料庫的內容漸漸導向特定的異常行為。這部分需要透過分析趨勢(Trending)的方式加以防範,只是這樣的技術並沒有比較簡單,而且使用者要去分析與判斷也相對困難。自動化?當然可以解決一部分的問題,但是還是會衍生出新的問題需要去克服。

SIM/SIEM是一個好的工具,但是要取代人工達成全自動化,可能需要使用到人工智慧才有辦法。當某件事以人來做都很模糊而沒有標準做法時,要以系統來全自動化是很困難的。當然,這樣的系統還是會比絕大多數的人做得還好,只是再好的系統也有其限度,絕非萬靈丹。這是我們應該深刻認知,也是在決定採用前必須加以考量的。其他功能像是發現資安事件發生時,應該採取甚麼措施,這部分應該可以一併由資安事件回應(Incident Response)機制加以制定了。

相關連結:

6 則留言:

  1. 您覺得Google閱讀器可以減輕資訊過載嗎?

    回覆刪除
  2. 這個問題就像問"擁有槍枝"會不會解決治安問題一樣,答案是"會",同時也是"不會"。

    Google Reader只是一個工具,能發揮甚麼作用還是要看使用者的心態。如果因為用了Google Reader後,大量訂閱RSS Feed,那麼只是讓自己面對更多的(無用)資訊。

    以資訊傳播來說,簡單來看就是買方(接收者)/通路商(媒體)/賣方(提供者)三者的遊戲,而賣方會無所不用其極(Anywhere、Anytime)的將資訊推給買方。買方有時候可以選擇,有時候其實很難選擇(如置入性行銷),又有時候甚至會自願接受這些多餘的資訊(如點選廣告可以收取費用或免費使用服務)。

    以目前而言,關掉電視、電腦、PDA、手機,或許還能從資訊過載的負擔中獲得釋放(至少是暫時性的)。只是也許未來就沒辦法了。

    回覆刪除
  3. 您說得沒錯,好像是松下幸之助說只有3%的資訊是對個人有用的,我這兩天才忍不住刪除大量重複性高的訂閱項目,Google
    Reader似乎也有意為廣告商找出真正的買方,但我一直認為Anti-spam的廠商蠻適合走這條路的...

    回覆刪除
  4. 我想Anti-Spam要達成這樣的功能還有很大很大的努力空間。因為不管是搜尋引擎還是Anti-Spam,大致上還是從群體的觀點來看資訊的使用性。但是以資訊是否過載,又有哪些是過載的資訊來說,是很個人化的感受。這部分其實也是Anti-Spam跟搜尋引擎想要解決的部分,只是效果依然有限。

    至於Google,以前我會認為它會真正會了解決使用者的問題而努力。但是我現在認為Google會漸漸偏向賣方,一方面是因為Google有營收的壓力(尤其是在現在經濟衰退的時代),另外一方面就是同一種型式的廣告效應都會遞減(包含之前有報告指出AdWords效果已經減少了),而Google需要的營收卻是增加的。嚴格說起來就是同一件事-Money。上市公司有他的企業責任,那就是對所有股東負責。

    回覆刪除
  5. 記得當初網擎比Google先走資訊訂閱這一塊,結果下場是被國內媒體抗議而收起來,現在換成Google快訊在做,國內媒體反而噤聲...網際網路很明顯是可以做全球生意的,但真正能賺到錢似乎又非得具備大型的經濟規模才行,起碼是從美國市場堀起,亦或從中國大陸市場做起,但中國大陸又是人治的國家...這有點像好萊塢電影,賺錢的網路公司也幾乎是Made in USA,不曉得除了趨勢、訊連以外,其他國內的軟體廠商及網路公司的出路到底在哪裡?...只是有感而發罷了~

    回覆刪除
  6. 也許你可以參考一下數位之牆站長的意見-寫給我親愛的台灣網際網路同業們(一)。

    網址是:
    http://www.digitalwall.com/scripts/display.asp?UID=427

    回覆刪除

About