FineArt News
新一代DLP系統,AI可以扮演的角色

Data Leak Prevention ( DLP數據外洩防護)這個詞本身就傳達了有關此類系統的明確目標,最主要在解決的特定任務:阻止有價值資訊的洩漏。雖然這解釋了這種系統傳統上的一般要務,但隨著時間的推移,這個概念已經包含了額外新的任務含義。下一代 DLP 解決方案不僅可以防止有意和意外洩漏,還可以幫助企業應對其他資安領域上的需求。

適應新的變化需求產生的挑戰? 而這些挑戰又有哪方面新技術可以幫上忙?

CMMC 合規對小型企業營運的挑戰

CMMC(網路安全成熟度模型認證)是美國國防部政府(DoD) 開發的框架,旨在提高國防基礎企業和組織的國防採購相關資訊的安全性。該框架定義了不同級別的安全措施,企業和組織必須實施這些措施才能被視為合規。CMMC 合規性現在是所有 DoD 合約承包商(包括中小型企業和組織)的要求。

使用 Lua 做外掛方案

Lua 是一種輕量小巧的腳本語言,用標準C語言編寫並開放源始碼, 其設計目的是為了應用程式提供靈活的擴展和定制功能。

Lua 是巴西裡約熱內盧天主教大學(Pontifical Catholic University of Rio de Janeiro)裡的一個研究小組,由Roberto Ierusalimschy、Waldemar Celes 和 Luiz Henrique de Figueiredo所組成並於1993年開發。

CMMC 與信任供應鏈

美國國防部 (Under Secretary of Defense for Acquisition & Sustainment ,OUSD(A&S)),推出了網路安全成熟度模型認證(CMMC),為國防基礎工業(DIB)及其他領域提供了一致的資安保護要求。CMMC 推動國防基礎工業 (DIB) 中的組織,主動完善其整體網路安全能力、增強他們的商業案例、保護他們的品牌,最重要是保護國家的經濟和安全。該計劃向整個政府機構及其相關供應鏈提出挑戰,在技術上可接受的最低價格來源,必要滿足整體網路安全要求下開展業務。

如何保護上下游廠商交給你的資料

供應鏈資訊安全

供應鏈資訊安全除了防範駭客對整個製造鏈進行破壞之外,供應鏈之間的資料傳遞後,是否每個節點都有執行完善的防護措施,這其中就包含是否有善盡責任的保護上下游廠商交給你的資料,除了制定資安規範以外,X-FORT這類的工具亦可協助保護廠商提供的資料。

應用程式的身分證

如何證明你就是你?

王小明因為生病要到醫院拿藥,首先要證明自己的身份,可能有下面狀況:

  • 狀況一:他告訴醫院:我叫王小明
  • 狀況二:他告訴醫院:我叫王小明,而且你看看這是我的識別證
  • 狀況三:他告訴醫院:我叫王小明,這是我的身份證
  • 狀況四:他告訴醫院:我叫王小明,這是我的身份證,還有我的健保卡

美國國防部CMMC與軟體供應鏈的關係

為什要推CMMC?

美國整體每年平均因網路安全所造成的損失達六千億美金。目前國防部的供應鏈,從極音速武器到皮革工廠,大約有三十萬家合約承包商,而其中約有二十九萬家基本上沒有任何的網路安全措施。除了之前沒有法規要求,美國政府近幾年決定大加整頓國防供應鏈,而網路安全被視為首要議題。在此之前,國防部請廠商遵循 DFARS 252.204-7012 以及 NIST 800-171 裡所敘明的規範,其中包括廠商須自行評估認證一百一十項資訊安全項目。然而問題其一在於這是由廠商自我認證,其二是國防部並未特別看重此標準。

攜手X-FORT漫步雲端

Microsoft 365是由微軟提供的一個集成式套件,旨在幫助個人、企業和組織更有效的工作、協作和提高生產力。該套件集成了多種應用程序、工具和服務,涵蓋了文書處理、電子郵件、日曆、文件共享、通訊和更多方面,且具備卓越的整合性,能促進各部門協作與各項流程的推進。

淺談供應鏈資安

全球化程度提升及數位化的轉型,對於上、下游企業之間,形成更多交互影響的情況,以資訊安全來說,也不再是自己做得好,就沒有問題,而是和企業相關聯的公司有沒有做好資訊安全,有連帶的關係。

  • 公司產品的零件供應商,因為資安問題洩露機密,影響公司產品的競爭
  • 公司交付給外包公司的產品,發生資安問題,導致產品規格洩密
  • 顧主因為資安問題,要加強稽查公司是否有做好資訊安全

親愛的,「誰」把檔案變不見了

"達文西密碼"一文中,主人公羅柏.蘭登,憑藉著豐富的符號學知識,一步一步地,解開聖杯和錫安會兩千年間守護的祕密,所以瞭解原理,進一步擴展成解決方案,才能協助我們使用檔案系統的"達文西密碼"找出隱藏檔案的兇手。

如何避免資料外洩?

傳統以來關於數據外洩對策方面的議題,最了解的應該是DLP;而Data Leakage和Data Breach 有什麼不同? 以中文來看是很像。

Data leakage 和 Data breach雖然是相關聯的概念,但是在涉及未經授權揭露或暴露敏感資訊的情境場景中,兩者之間的區別明顯。

親愛的,我把檔案變不見了

Windows中的每個檔案都會有屬性,其中包含了唯讀、隱藏2種屬性。如果在檔案總管中,對每個檔案點選「右鍵」再點選「內容」,或者按住 「Alt 鍵」後再連點滑鼠左鍵 2 次,就可以看到檔案內容的相關資訊,其中有「屬性」區塊,可設定唯讀、隱藏 2 種屬性。唯讀屬性表示檔案僅能讀取,無法修改。而隱藏屬性則是另一種附加的條件,可以在檔案總管中,透過開關對有隱藏屬性的檔案進行隱藏,這樣,就不會在檔案總管中顯示有隱藏屬性的檔案,這些簡單的設定,可以避免有心人士,在你的電腦上,查找機密檔案。不過,因為這種方法是檔案總管的基本操作,也不是真正的隱藏檔案,無法阻擋有心人的窺探。

如何控管使用者提問微軟Bing Chat AI、ChatGPT?

爆紅的生成式AI,已成為知識工作者不可或缺的生產工具,卻潛藏外洩企業資訊的風險,根據資安廠商Cyberhaven偵測旗下企業客戶,僅在3/14一天內,每10萬名員工中,就有5,267起將企業資料貼上ChatGPT的資料外流事件,比例高達1/20 (https://www.ithome.com.tw/news/156293)。

面對Bing Chat、ChatGPT的安全管理,針對機密單位,可禁止使用以避免機密外洩。
若開放使用,建議搭配螢幕浮水印,時時刻刻提醒員工不可洩露公司訊息。亦保留其提問內容,以便必要時稽核提問記錄,將生成式AI的使用納入管理。

考量資訊安全,謹慎使用ChatGPT

ChatGPT這個語言模型原本具備良好的善意,就是幫助人類!聽起來很不錯。但是,AI發展之初目標就是模仿人類大腦的認知機制,沒有道德審查機制。所以不僅是對好人,對網路犯罪分子也是一視同仁服務。因此它可能被刻意誤用,或因意外衍生成惡意,成為對業務及數據的潛在威脅。

當利用ChatGPT幫助企業業務活動,如何對數據安全構成威脅? 並提供企業保護自己的建議方案。

金融資安與DLP息息相關

於5月11日CYBERSEC 2023台灣資安大會 ”金融資安論壇”,金管會資訊服務處林裕泰處長以”展望金融資安行動方案 2.0”進行主題演講,同場,並且有幾位金控資安長在現場資安專題分享。藉本篇文章,把金融產業重視的資安層面各項推動措施的觀察與心得,就以下幾個議題,進行分享。

翻轉戰線,讓端點防護成為資料最強堡壘

混合式辦公模糊企業防護邊界

工作環境因新冠疫情的蔓延,造成人員移動的限制與居家辦公模式普及,資安疆界產生很大的改變。雖然疫情已流感化,但結合遠距、現場的混合式辦公完全沒有因隨疫情而遠去,成為職場的新工作模式。

未來DLP的演化發展

過去的一年可能是有記錄以來,企業數據洩漏最嚴重的一年,預計未來在混和工作與雲端運用成長,攻擊和被洩漏的數量只會更增加。鑒於這些趨勢,採用數據防外洩防護(DLP)資安系統,變得比以往任何時候都更加重要。而以往的DLP通常是用於邊境安全方案,難以面對混合工作的場域變化;因此組織現正在尋求 DLP 工作的現代化,以應對這些挑戰。

多層次資安防護,深化資料保全方案

 根據iThome 於2022針對”未來一年中最可發生的十大資安風險”的調查(見下圖)顯示,企業最容易發生的資安事件,其中”勒索軟體”與”駭客”的資安風險高居10大資安風險的前2名。如何防止資料外洩,保護核心資料的安全,是企業不可忽略的一大重點議題。

數據存取為中心的零信任架構

零信任是Forrester的Kindervag在2010年創造的概念。大約在2017年,Gartner另一位分析師正在運作一個相關但不同的想法:持續自適應風險和信任評估(continuous adaptive risk and trust assessment : CARTA)。CARTA的設計目的與Kindervag的零信任相吻合,使用明確驗證的為信任要求,取代網路設備天生對信任區域的隱含(implicit)承認。

因地制宜的政策管理,不同工作場域防護零死角

許多企業改變了工作型態,容許員工在任何地方工作的「混合工作模式」(Hybrid Working)已崛起,使用者被迫藉由私人的桌機或筆電來執行公務,此舉恐為企業的資安帶來全新的挑戰,考驗著企業IT反應能力,平常就忙於應付繁雜的問題處理與威脅,多數難以完整滿足異地工作者需求,完全脫離公司建置的防護網,凸顯資料外洩風險無法有效控管問題。

子分類