Zero Trust 以嚴格身份驗證過程所建立的安全使用模式。換個說法就是企業或組織在任何時候都不應信任其週邊內外的任何實體,將防禦範圍從廣域網路服務使用及週邊,縮小到個人或小群資源,更專注於資源保護。雖然初期建構的定義應在網路層面上,但是放到更大面向的端點使用安全更可展示其安全價值。換言之,透過身份驗證和管控授權的使用者及其端點裝置,在管控政策下放行或有限度使用應用程式、網路活動、外接裝置、資料及服務(參見示意圖)。透過管控限制保護企業資料、應用程式和使用者端點裝置免受各類威脅侵害及竊取。
VDI 是組織尋求降低成本、實現運營敏捷性和增加收入等,最受歡迎的虛擬化技術之一。對於許多企業而言,實體端點設備在管理、軟體修補和防範網路威脅方面,流程非常繁瑣。另一方面,VDI可以讓 IT 管理人員,為用戶提供集中管理的桌面環境及資源。不僅在筆記型電腦上,在任何具有顯示器的設備上幾乎都沒問題。無論使用者從何處發動存取連線,VDI 都可以集中和安全的方式存取和管理資訊。但這並不意味著資安管理部門,可以忽略監視使用者及系統的活動,疏忽了識別其他安全威脅的可能。別忘了,VDI 裡面也可能有被惡意程式破壞,也可能外洩資訊,這些是VDI沒有能力完全自行解決的議題。
在過去BYOD 和 Telework(遠距辦公) 是完全不同考量,然而面臨未來疫情發展,遠距工作成為維持營運必要。而在短時間內為了Telework ,一次補足所有設備給員工,也會是沉重的負擔。不但如此,仔細分析以往的IT 投資,都是在公司的基礎建設、資訊設備上面;而且大部分的業務內容,適合在公司內完成;完全以在公司內工作為考量,並不會兼顧居家上班的需要。除了像是人身壽險業,設備資產所有權多為業務從業人員所有。
製造業是以製造出有價值產品的產業,他與農業或服務業最大的不同是,製造業會有工廠產出產品,從設計研發到生產等一系列具有標準化的產品製造流程,這中間經過詳細的研究、計畫、評估來製造符合標準的產品,而服務業是以服務人,針對人提供各種差異化、客製化的產品為主,雖然現在製造業與服務業之間的界線已經慢慢模糊,但是以下我們還是以傳統金屬製造業來舉例說明。
資產管理對於不同規模和業務屬性的組織,帶來了截然不同的挑戰。規模較小的組織,尤其是在新創啟動階段,所擁有資產可能還很少,因此認為沒有必要對其進行正式管理與稽核。如果整個公司的 IT 資產成長到一定規模,或者IT資產(如筆電)會隨員工出門行動;就可能認為需要對資產規畫流程,進行追蹤管理。
資料是現今組織的生存命脈,因此防止資料外洩是 IT 團隊和管理階層的當務之急。資料外洩的原因很廣泛,從內部人員疏忽,錯誤操作、被外部駭客竊取資料惡意曝光,造成的後果也有很大差異。關鍵業務流程很容易受到中斷,而重要關鍵文件最終落入競爭對手,可能造成致命性的後果。組織還可能面臨政府合規罰款和商譽損失,進而失去客戶信任。
針對疫情需要,各公司都計畫遠端工作。藉此建立策略,並為未雨綢謀做好準備。由於武漢肺炎病毒傳播,遠端上班成為許多企業新選擇,有些人甚至需要通宵。雖然少有組織認為準備好大規模遠端工作,但可以採取相關措施及評估,讓員工和公司團隊都有好的體驗。
我們正在被迫進行世界上最大的遠端辦公實驗,到目前為止,很多組織通過親身體會感到這並不容易。
台灣半導體產業在全球中扮演重大的角色,其半導體核心技術層面上更是有相當亮眼的成績,透過外銷產品、設備也讓台灣科技迅速的在全球曝光,更讓全世界見證了台灣的技術專業。而在這高技術產業中,意指有著非常專業且敏感的技術資料,對於整個半導體產業上的資安要怎麼做? 要從何處著手而起?
組織決定開始監控員工電腦行為活動,通常有兩個原因:
針對性反應調查:可能已經發生了一些不好的事情,或者懷疑發生了或即將發生一些不好的事情,組織有理由調查某人或一群人。第二個原因是預防準備措施,採取主動積極策略:組織尋求改善內部安全,抵禦內部威脅,提高生產力和效率;或兩者兼而有之。
X-FORT訴求保護機密檔案,防堵有心人士在未經授權的情況下,將檔案帶離開公司。但近年來勒索病毒猖獗,檔案除了外洩外,還大幅增加在內部被破壞或勒索的風險。
勒索病毒主要目的在於讓使用者的電腦檔案加密,並要求支付贖金才能復原檔案,遭受攻擊的使用者,為了救回電腦裡重要的資料,只能付錢給駭客,或接受檔案無法使用的損失。
伴隨疫情瞬息萬變與不確定性,「提前佈署」讓公司正常營運,或因需要員工居家上班,甚至全面性施行在家遠距上班。應該是高層、IT、資安、管理、稽核要慎重思考的重要工作。以公司營運來說,都不樂見到本項對策的正式啟用,更期盼可以平安常態工作。但「勿恃敵之不來」,是更主動積極策略。
零信任(Zero Trust) 是由2010 John Kindervag所提出概念,而Google則再2017年以Beyond Corp加以實踐完成。若將「零信任」當成一個資訊安全框架,特別應用在Insider Threat管控上。「零信任」基本精神是以「企業不信任企業邊界內外的所有實體」為前題,思考資訊安全防護機制,包含各類端點裝置(不論是否連網的裝置)、人員(組織、雇員和第三方合作商)、應用程式(包含PC應用程式、手機App及內嵌在設備的應用系統、開發所需API元件)、以及網路安全防禦機制(收攏管理和監控的可見性IT與OT)。
隨著雲端服務、人工智慧與高速連網普及,企業的資安威脅風險與日俱增,資料外洩手法層出不窮,加上新興勒索軟體威脅,再再都為企業資安管理者帶來更多負擔。
凡走過必留下痕跡,管理者銜命稽核、分析員工的網路記錄時,像是[網址連結記錄]、[WebPost上傳行為]、[使用者網頁瀏覽記錄]等網路活動是否出現異常行為,然而在分析外部網路活動時,有些值得注意的是:
立法院2019年底最後一刻,三讀通過科技業企盼已久的《營業秘密法》部分條文修正案。新增「偵保令」制度,也被稱為「科技業條款」,針對近年來科技業的洩密情事,許多員工跳槽前,蒐集大量公司機敏資料並投靠競爭對手廠商。修法後的「秘密保持命令」讓檢察官得以在案件偵查過程中,即可對原告與被告發出偵保令;違反「秘密保持令罪」,課以三年以下有期徒刑、拘役或併科新台幣100萬元以下罰金的刑責,以杜絕偵辦過程二度洩密立法院2019年底最後一刻,三讀通過科技業企盼已久的《營業秘密法》部分條文修正案。
一個重視資安且內控制度完整的企業,一定會建立起完善內外稽核系統。
透過內外部資安稽核施作,可強化企業資安體質,且透過所建立PDCA機制,持續提升企業資安的有效性。我於2019年年底剛取得ISMS認證的工程師,透過年度外稽的實兵演練,分享首次接受稽核的準備工作及心得。
Registry對於內部安全稽核與取證鑑識來說,Registry是個重要寶藏,很少人去瞭解Registry作用與運作。透過Registry資料分析,可以曾了解系統發生過哪些事件? 觸發事件時間? 發生的脈絡,其價值好比中醫的經絡穴位一樣,牽動著作業系統的運作順暢及穩定外,更可掌握管控機制對作業系統與應用程式(Application),甚至連接硬體裝置運作的關係。反之,一個被汙染的Registry,舉凡:惡意程式注入、挖礦軟體常駐、防毒系統關閉、內賊惡意提權、內鬼迴避內部控管機制,甚至嚴重到作業系統開機失敗…等,都可從Registry來遂行其目的。
從簡單的系統記錄(log)分析到SIEM,資料外洩防護系統(DLP),端點防護(Endpoint Protection),再到使用者與實體設備行為分析(UEBA)之類的解決方案,公司一直在使用各種專業的系統來保護重要資料或減輕內部威脅。這裡關鍵字是“專業”,這些系統都各有其優點和缺點,對於特定領域方面的運用很有成效。例如,端點防護系統雖然可以合理地防止資訊洩露,但設計重點在於防範如病毒、惡意程式的活動威脅,並非是專門精心設計來偵測人的行為威脅,例如擁有特權權限的非善意使用者。另一方面,UEBA或員工監視(UAM)解決方案擅長識別設備、網路活動異常和威脅,但在防止複雜的資訊竊取行為方面並不是很適用。
有感而發,選擇一篇無關技術的主題,在一場非正式會議「討論資安人才培訓」企業資安主管會議中,讓我聽到非常特別觀點也是我扎心很久的想法,心想為何一直沒人提出相似觀點,是我想法太突出嗎?
現實生活中我們有許多接觸儀表板的機會,其中接觸最多的應屬汽車儀表板與摩拖車的儀表板,以汽車儀表板為例通常就是顯示車速、轉速、機油壓力、水溫、電池電量等與汽車運作有關係的資訊,透過儀表板讓駕駛人可得知目前汽車的運作情形以及是否有問題或有安全上的疑慮。同樣的在X-FORT系統也一樣可使用儀表板,讓管理人員快速了解X-FORT用戶端的安全防護情況。
即將進入 2020 年,雖然大家都能普遍認知到,組織必須採取相當的保護措施,以期降低各種資安風險,但很少組織會針對來自於組織內部產生的威脅做好準備。內部威脅是指來自公司自己的員工、承包商、供應商或終端使用者,可能是故意、惡意或疏忽的操作而產生的安全風險。通常絕大多數的IT 和安全專業從業人員中,都能感受到內部威脅是整個公司IT環境的可能最大弱點,無論那些發生違規行為是惡意的,還是疏忽所致的。
