資安新知

全球化程度提升及數位化的轉型，對於上、下游企業之間，形成更多交互影響的情況，以資訊安全來說，也不再是自己做得好，就沒有問題，而是和企業相關聯的公司有沒有做好資訊安全，有連帶的關係。

• 公司產品的零件供應商，因為資安問題洩露機密，影響公司產品的競爭
• 公司交付給外包公司的產品，發生資安問題，導致產品規格洩密
• 顧主因為資安問題，要加強稽查公司是否有做好資訊安全

Read more …

"達文西密碼"一文中，主人公羅柏．蘭登，憑藉著豐富的符號學知識，一步一步地，解開聖杯和錫安會兩千年間守護的祕密，所以瞭解原理，進一步擴展成解決方案，才能協助我們使用檔案系統的"達文西密碼"找出隱藏檔案的兇手。

Read more …

傳統以來關於數據外洩對策方面的議題，最了解的應該是DLP；而Data Leakage和Data Breach 有什麼不同? 以中文來看是很像。

Data leakage 和 Data breach雖然是相關聯的概念，但是在涉及未經授權揭露或暴露敏感資訊的情境場景中，兩者之間的區別明顯。

Read more …

Windows中的每個檔案都會有屬性，其中包含了唯讀、隱藏2種屬性。如果在檔案總管中，對每個檔案點選「右鍵」再點選「內容」，或者按住 「Alt 鍵」後再連點滑鼠左鍵 2 次，就可以看到檔案內容的相關資訊，其中有「屬性」區塊，可設定唯讀、隱藏 2 種屬性。唯讀屬性表示檔案僅能讀取，無法修改。而隱藏屬性則是另一種附加的條件，可以在檔案總管中，透過開關對有隱藏屬性的檔案進行隱藏，這樣，就不會在檔案總管中顯示有隱藏屬性的檔案，這些簡單的設定，可以避免有心人士，在你的電腦上，查找機密檔案。不過，因為這種方法是檔案總管的基本操作，也不是真正的隱藏檔案，無法阻擋有心人的窺探。

Read more …

爆紅的生成式AI，已成為知識工作者不可或缺的生產工具，卻潛藏外洩企業資訊的風險，根據資安廠商Cyberhaven偵測旗下企業客戶，僅在3/14一天內，每10萬名員工中，就有5,267起將企業資料貼上ChatGPT的資料外流事件，比例高達1/20 (https://www.ithome.com.tw/news/156293)。

面對Bing Chat、ChatGPT的安全管理，針對機密單位，可禁止使用以避免機密外洩。
若開放使用，建議搭配螢幕浮水印，時時刻刻提醒員工不可洩露公司訊息。亦保留其提問內容，以便必要時稽核提問記錄，將生成式AI的使用納入管理。

Read more …

ChatGPT這個語言模型原本具備良好的善意，就是幫助人類！聽起來很不錯。但是，AI發展之初目標就是模仿人類大腦的認知機制，沒有道德審查機制。所以不僅是對好人，對網路犯罪分子也是一視同仁服務。因此它可能被刻意誤用，或因意外衍生成惡意，成為對業務及數據的潛在威脅。

當利用ChatGPT幫助企業業務活動，如何對數據安全構成威脅? 並提供企業保護自己的建議方案。

Read more …

於5月11日CYBERSEC 2023台灣資安大會 ”金融資安論壇”，金管會資訊服務處林裕泰處長以”展望金融資安行動方案 2.0”進行主題演講，同場，並且有幾位金控資安長在現場資安專題分享。藉本篇文章，把金融產業重視的資安層面各項推動措施的觀察與心得，就以下幾個議題，進行分享。

Read more …

過去的一年可能是有記錄以來，企業數據洩漏最嚴重的一年，預計未來在混和工作與雲端運用成長，攻擊和被洩漏的數量只會更增加。鑒於這些趨勢，採用數據防外洩防護（DLP）資安系統，變得比以往任何時候都更加重要。而以往的DLP通常是用於邊境安全方案，難以面對混合工作的場域變化；因此組織現正在尋求 DLP 工作的現代化，以應對這些挑戰。

Read more …

混合式辦公模糊企業防護邊界

工作環境因新冠疫情的蔓延，造成人員移動的限制與居家辦公模式普及，資安疆界產生很大的改變。雖然疫情已流感化，但結合遠距、現場的混合式辦公完全沒有因隨疫情而遠去，成為職場的新工作模式。

Read more …

 根據iThome 於2022針對”未來一年中最可發生的十大資安風險”的調查(見下圖)顯示，企業最容易發生的資安事件，其中”勒索軟體”與”駭客”的資安風險高居10大資安風險的前2名。如何防止資料外洩，保護核心資料的安全，是企業不可忽略的一大重點議題。

Read more …

零信任是Forrester的Kindervag在2010年創造的概念。大約在2017年，Gartner另一位分析師正在運作一個相關但不同的想法：持續自適應風險和信任評估（continuous adaptive risk and trust assessment : CARTA）。CARTA的設計目的與Kindervag的零信任相吻合，使用明確驗證的為信任要求，取代網路設備天生對信任區域的隱含(implicit)承認。

Read more …

許多企業改變了工作型態，容許員工在任何地方工作的「混合工作模式」(Hybrid Working)已崛起，使用者被迫藉由私人的桌機或筆電來執行公務，此舉恐為企業的資安帶來全新的挑戰，考驗著企業IT反應能力，平常就忙於應付繁雜的問題處理與威脅，多數難以完整滿足異地工作者需求，完全脫離公司建置的防護網，凸顯資料外洩風險無法有效控管問題。

Read more …

您是否正在努力利用現有系統，整合各式工具，實施以數據為中心的零信任架構？ 那你並不孤單，資安業界分析顯示，零信任採用的主要障礙之一，就是可利用的Context散落於各個系統之中。

Read more …

ISO 27001在2022年10月25日公布了資訊安全管理系統改版，此次的改版主條文新增6條，異動8條，附錄A控制領域從15個降為4個，新增11個控制措施，其中以附錄A的異動是較大的，總共有4個安全控管框架，A5屬於組織面的控制措施，A6屬於人員面的控制措施，A7屬於實體面的控制措施，A8屬於技術面的控制措施，這四大框架的控制措施除了8.12有明確指出採用資料外洩防護(DLP)進行防護外，其餘控制措施皆未說明需使用何種工具，本文將從附錄A找出X-FORT可協助的控制措施進行說明，讓ISO 27001的導入能更事半功倍。

Read more …

個資法上路滿十年，企業組織為因應法規，須依法落實個人資料保護，整合資訊安全，以降低風險與罰則衝擊。非公務機關若違反法規除罰鍰外，主管機關得依法派員檢查、銷毀個資，甚至可公布違法公司違法情形及其公司名、負責人姓名。就個資法適用對象，並非只有金融、服務、醫療業者要重視，一般製造業和高科技製造業，因為產業的質變而擁有大量業務聯絡人以及服務第一線使用者的個人資訊，自也不能輕忽個資法的影響。因此，資料外洩防護及個資盤點偵測的整合，成為企業資安防外洩的二大課題。

Read more …

近年來在資安意識日漸高漲的趨勢中，零信任架構 (ZTA, Zero Trust Architecture)一詞不斷出現在我們眼中，相關之產品與應用亦相應而生，那怎麼樣做是為零信任？事實上零信任目前仍在持續發展逐步成形階段，但其根本概念與核心是相同的。

Read more …

評估資安產品的必要項目

在網路已經很發達的今天，在評估資安產品的時候，隨身碟通常都還是第一個被想到要控管的設備，主要還是傳輸速度快、容量大、體積小可快速把大量資料寫出，現在的隨身碟容量都已經到達TB等級了，市面上大部份資安軟體也都可禁用隨身碟，是否禁用隨身碟就可以滿足資安要求?相信大部分的公司日常的工作情境採取禁用政策已經無法滿足工作上的要求了，一定會有很多例外需要有進階的控管，X-FORT本身的外接式儲存裝置模組就可滿足不同的情境需求。

Read more …

內鬼通常透過電子郵件或雲端硬碟把資料帶出公司

根據報告《內部威脅報告》（Insider Threat Report）指出，攸關企業內部網路安全及資料外洩的事件中，有6成是由即將離職的員工或約聘人員所造成。這些員工中逾8成的人會在離職日的2週到2個月前開始竊取企業機密，最常見的手法是把公司的電子郵件轉寄到個人信箱。

Read more …

零信任架構近來正被熱烈討論，百家爭鳴，各種存取階段都可以應用上。有的是強調身分驗證方案，有的是網路存取安全，有的是資料外洩防護。但不論如何最終保護的是”數據”。

回顧最早定義，零信任是一種安全框架，要求所有使用者，無論位於組織網路內部或外部，在存取應用程式和數據之前進行身分驗證、授權和持續驗證。隨著從世界各地的家庭和異地辦公的混合分散式勞動興起，使用者通常不會使用固定的網路存取數據或應用程式。而且，越來越多的應用程式和數據基於 SaaS運作，或者也不屬於特定網路邊界內，因此需要不同的安全模型。

Read more …

永續金融的資安挑戰

近年金融工作環境面臨諸多挑戰，例如新冠疫情的蔓延，使得遠距辦公模式興起，模糊企業的安全邊界。另俄烏戰爭帶來的跨國網路攻擊，以及雙重勒索軟體的針對性攻擊，都是金融產業無時無刻面臨的威脅，也使得端點安全躍升成為資訊安全主角。去年 iThome調查 CIO年度目標，「強化資安」與「確保IT穩定與一致」高居前二名，與金管會力推的「永續金融」目標不謀而合。

Read more …