FineArt News

零信任

網路安全逐漸成為ESG 評估的重要指標

近年來,環境、社會和治理(ESG)標準已成為企業績效、聲譽和風險緩解的關鍵指標。成功實施ESG計劃不僅對公司的社會和社群形象加分,還可以對潛在的業績產生正面影響,贏得投資人信心。眾所周知的ESG內容除碳排放,人資發展,負責任的投資和商業道德之外,個資隱私和網路安全正迅速成為在其ESG計劃中披露的重要話題。與CSR 廣泛理想願景的概念相較之下,ESG 更像實際的管理策略。

端點防護上的應用程式零信任

應用零信任體系架構,組織企業不再假設定網路邊界內的使用者是受信任的, 而是採用"零信任"方法,在授予使用者存取之前,必須對所存取的資源進行驗證,最常被提到的就是ZTNA(Zero Trust Network Access)。但是,這樣的架構忽略了端點本身的安全性防護等級並不足夠。攻擊者利用端點作為跳板,成了零信任模型中最薄弱的環節。他們就可以擁有端點作業系統並代表用戶身分,一旦通過身份驗證並被授予存取權後,在企業環境中橫向移動,並進一步入侵。

出處:DIGITIMES企劃 https://www.digitimes.com.tw/iot/article.asp?cat=130&cat1=40&cat2=10&id=564414

 

無庸置疑,對於IC設計、設備機台製造商、工業控制電腦...等等各類型智慧製造業者來說,智慧財產正是公司永續發展的最大命脈,如何守護這條命脈,可謂至關重大。無奈的是,儘管企業費心建立一道道防護堡壘,在未充分掌握研發與IT整合環境下,依然難以完全遏阻資料外洩的情事,讓管理階層不禁納悶,背後真相究竟為何?

精品科技資安顧問陳伯榆點出第一個可能的破口,便是研發部門,也是公司最難管理的一環。研發創造企業利潤,亦利用自身技術建立自己對研發資料管理應用的手段,往往這些手段是IT與稽核不易發現掌握的。他指出研發人員經常需要連結GitHub,下載可用的程式碼資源進行修改或上傳,此乃不可避免之事,而公司為防止研發同仁順勢把程式碼上傳GitHub,多已設立一些防護措施,透過MIS設計防火牆規則,只允許從GitHub下載檔案,至於像是PUT、POST或TLS2等上傳結構則完全封鎖,研發同仁僅能利用內部落地Git或SVN伺服器留存開發成果。

X-FORT 保護程式碼及敵我識別安全設計

在企業組織環境內,內部人員威脅(以下通稱Insider)與外部入侵竊取,雖然都是Hacking與竊取智慧資產行為,兩者卻有著很大的不同。其差異在於,外部入侵者,需要較長時間的資訊環境嗅探分析或是社交工程操作後,漸漸勾勒出入侵標的的環境資訊,進行入侵竊取,甚至不斷選定目標再次重複上述作業,直到達成預計成果。
反之以Insider角度,本就涉入其中,且熟悉內部資訊狀態與管制環境,甚至掌握某些渠道繞過管制的手段,在資料竊取上,Insider有著「天之驕子」所具備的便捷與資訊,雖不具備企業組織MIS內控的超級權限,也足以在企業環境中,有機會順利竊取資料,並攪起「一池春水」。所以企業內部「披著羊皮的狼」,將帶給企業組織重大的損失。更遑論若涉及國安軍事外交科技…等高度敏感的組織,應更加關注相關管控。

X-FORT「安全屋」機制,巧妙解決勒索軟體難題

勒索軟體「強」發展

針對「檔案型加密勒索軟體」,將被感染者電腦中相關文件檔案加密,讓使用者電腦可以正常開機,保有OS基本運作,讓被感染者可上網去支付高額比特幣贖金,來取得檔案解密金鑰。進階版勒索軟體則是結合某些漏洞或國家型網路攻擊「武器」,透過網段掃瞄;或是採行無檔案模式運行,持續感染至其他電腦,甚至變更MBR boot 0磁區相關資訊;或透過郵件聯絡人廣發蠕蟲郵件持續蔓延…等,所以造成被感染者電腦中的近百種檔案類型都被加密。

X-FORT如何控ZeroNet匿名網路

在講求訊息自由的時代,網路監控一直是科層組織試圖掌控訊息重要手段,於是陸續產出抗衡監控體制的網路媒介來迴避訊息檢查與管控。可是濫用「訊息自由」的光環,匿名網路反而成為資料竊取銷贓、毒品槍枝銷售、甚至是商業間諜…等不當網路惡意行為的保護傘。在企業或政府組織內部,屬於公務領域資料,也因為匿名網路的濫用,讓機敏資料外洩。所以強化公務領域對於匿名網路的管控,成為一種必要的作為。

X-FORT 透過使用者與設備行為分析,找出內部資安風險

精品科技X-FORT電子資料防護系統研發超過10年,擁有各種控管與使用者操作記錄,包含上網、軟體使用率、檔案寫出、網路芳鄰操作、列印、軟硬體資產等40多種資訊安全記錄。

透過所收集累積的資訊安全大數據,可以針對「電腦運作」或「人為的操作」清楚過濾及分析出「工作脈絡與異常行為」。舉例來說,透過電腦登入登出記錄,分析出一個員工合理電腦使用時間,進一步透過軟體使用分析,再搭配時段分析,可以輕易發現異常的電腦使用。從使用者上網行為,可以分析出是工作所需,亦或是做為其他用途;再透過進一步數據分析網站類型,找出過量不宜的網站瀏覽行為進行必要關懷。