EDR 首見於2013 年由Gartner 專家Anton Chuvakin,經過與業界專家討論後,歸類端點防護工具產品Endpoint Threat Detection & Response (ETDR)。到了2015年,大多Gartner的研究將它們稱為EDR工具。相較於傳統資安工具專注於網路、惡意程式和已公告的資安事件等) ,這名稱凸顯了在端點防護上的主要用途,威脅檢測和事件反應工具。使用Threat 這名稱就不僅是外部攻擊,內部不當活動也包含在內。供應商各自發展一些改進型,如XDR,NextGen等,擅長領域也可能些許相異。相較於以往。這些工具通常不擅長傳統的數位取證鑑識,像是全碟映像(Disk Image)獲取和分析等,但有些還是可以提供此類資訊以及執行其他取證分析功能。另一方面 XDR、NextGen下一代端點特色,發展預防/阻止/隔離為重點的工具,應該會自己成為一個新的類別。
精品科技資安部經理陳伯榆,以技術角度分析內部人員或外包第三方人員竊取企業機密資料的手法,來說明內賊難防的原因。
當各類訊息也大量被創造被閱讀,加速訊息利用的不對稱,這樣的不對稱關係展現在新的技術應用、創新服務、多樣新穎的工具。人的行為的制約與預測,會更甚以往的複雜。
我們把企業資訊安全連結在前述所提到的環境,想想組織中各種職務如何達成資訊安全管理的目標:滿足可用性、安全性與機密性呢? 企業組織中的MIS、IT、資安、稽核、營運管理主管,如何各司其職分層建立資訊安全保護的目標,是很有挑戰性的。
上下文在安全漏洞管理中,佔了重要而不可或缺的必要地位。不僅如此,上下文帶來的作用遠遠超出了漏洞管理的範圍,並且實際上在企業IT安全的所有領域(尤其是在安全威脅情報方面,以下簡稱情報資訊為情資)都具有重要的意義。安全威脅情報的核心目的是獲取有效訊息資訊,以有效地保護網路及資訊系統。不論在防護上或安全評估當中,Context Analysis意味著更少的誤報和更多的有效發現。令人遺憾的是,由於大部分安全系統缺乏上下文資訊,使得許多防護工作未能取的應有的優勢。
從四月份起迄今,台灣不少企業或官方單位遭受到駭客入侵,尤其是勒索病毒的破壞,讓企業端營運資訊系統受到嚴種破壞,讓企業營運產生許多的衝擊。在營運資訊系統上都是核心主機群以及資料庫主機。相關受害主機中Microsoft Server更佔一大部份。IT或資安部們在面對這樣衝擊時,確實需要更細膩的手法,來有效降低壞的風險。因自身累積實務經驗,與大家分享一份細膩的Windows伺服器建置維運安全準則。讓資訊部門在Windows Server建置或維護時,有一個較為安全的設計準則,來達成主機安全運作。當面對攻擊入侵、內部破壞、系統故障時,都有相對應處置對策,降低後續除錯或重建的各類成本。
實體戰場通常易守難攻,考慮後勤補給問題,有武器攻擊密度問題,有地形障礙,場地空間容量限制等。虛擬世界的戰場剛好相反,幾乎沒有限制;而且攻擊者具有無限複製分身的特性,可以來自四面八方。
遠距工作(英:Telework, 日:テレワーク),對於員工、企業,帶來的好處摘要如下:
日本政府近幾年推展遠距工作的力度,逐年增強且頗有節奏,這裡面有其時空背景。
勒索軟體的問題似乎隨著疫情增加,有點趁亂起風趁火打劫的感覺。一些指標型的大型組織內部受到攻擊,造成用戶端檔案損失,工作延誤停擺,甚至連伺服器也受到影響。
「我想保護Server Farm,不想成為下一個受害者。我能做點什麼?」
在台灣由於個資法等資安法規的推動,加上近年來不景氣下許多高科技與中小企業裁員所連帶產生的資料外洩風險,讓企業高層擔心影響公司存亡的機密及重要業務或客戶資料,會因擁有存取資料權限的主管或同仁離職而外洩至公司外。而法規中提到,企業需要提供相關的資料外洩證據,而電子監控系統具備各式電腦行為操作記錄,因此企業採購電子監控系統的意願比以往增加許多,即使內部IT預算縮減,導入內部監控系統仍是現在與未來在資安防護上勢在必行的作法。
先談談軟體維護,也許你會認為,為什麼應該把成本再花在已經購買的東西上,而且可能已支付過客製費用。軟體維護的概念聽起來並非十分容易被人接納,但身為專業資安從業人員,應該理解維護的必要性。這並不是因為軟體開發出來一年後就會改變,而是資訊科技世界一直在改變。
Zero Trust 以嚴格身份驗證過程所建立的安全使用模式。換個說法就是企業或組織在任何時候都不應信任其週邊內外的任何實體,將防禦範圍從廣域網路服務使用及週邊,縮小到個人或小群資源,更專注於資源保護。雖然初期建構的定義應在網路層面上,但是放到更大面向的端點使用安全更可展示其安全價值。換言之,透過身份驗證和管控授權的使用者及其端點裝置,在管控政策下放行或有限度使用應用程式、網路活動、外接裝置、資料及服務(參見示意圖)。透過管控限制保護企業資料、應用程式和使用者端點裝置免受各類威脅侵害及竊取。
VDI 是組織尋求降低成本、實現運營敏捷性和增加收入等,最受歡迎的虛擬化技術之一。對於許多企業而言,實體端點設備在管理、軟體修補和防範網路威脅方面,流程非常繁瑣。另一方面,VDI可以讓 IT 管理人員,為用戶提供集中管理的桌面環境及資源。不僅在筆記型電腦上,在任何具有顯示器的設備上幾乎都沒問題。無論使用者從何處發動存取連線,VDI 都可以集中和安全的方式存取和管理資訊。但這並不意味著資安管理部門,可以忽略監視使用者及系統的活動,疏忽了識別其他安全威脅的可能。別忘了,VDI 裡面也可能有被惡意程式破壞,也可能外洩資訊,這些是VDI沒有能力完全自行解決的議題。
在過去BYOD 和 Telework(遠距辦公) 是完全不同考量,然而面臨未來疫情發展,遠距工作成為維持營運必要。而在短時間內為了Telework ,一次補足所有設備給員工,也會是沉重的負擔。不但如此,仔細分析以往的IT 投資,都是在公司的基礎建設、資訊設備上面;而且大部分的業務內容,適合在公司內完成;完全以在公司內工作為考量,並不會兼顧居家上班的需要。除了像是人身壽險業,設備資產所有權多為業務從業人員所有。
製造業是以製造出有價值產品的產業,他與農業或服務業最大的不同是,製造業會有工廠產出產品,從設計研發到生產等一系列具有標準化的產品製造流程,這中間經過詳細的研究、計畫、評估來製造符合標準的產品,而服務業是以服務人,針對人提供各種差異化、客製化的產品為主,雖然現在製造業與服務業之間的界線已經慢慢模糊,但是以下我們還是以傳統金屬製造業來舉例說明。
資產管理對於不同規模和業務屬性的組織,帶來了截然不同的挑戰。規模較小的組織,尤其是在新創啟動階段,所擁有資產可能還很少,因此認為沒有必要對其進行正式管理與稽核。如果整個公司的 IT 資產成長到一定規模,或者IT資產(如筆電)會隨員工出門行動;就可能認為需要對資產規畫流程,進行追蹤管理。
資料是現今組織的生存命脈,因此防止資料外洩是 IT 團隊和管理階層的當務之急。資料外洩的原因很廣泛,從內部人員疏忽,錯誤操作、被外部駭客竊取資料惡意曝光,造成的後果也有很大差異。關鍵業務流程很容易受到中斷,而重要關鍵文件最終落入競爭對手,可能造成致命性的後果。組織還可能面臨政府合規罰款和商譽損失,進而失去客戶信任。
針對疫情需要,各公司都計畫遠端工作。藉此建立策略,並為未雨綢謀做好準備。由於武漢肺炎病毒傳播,遠端上班成為許多企業新選擇,有些人甚至需要通宵。雖然少有組織認為準備好大規模遠端工作,但可以採取相關措施及評估,讓員工和公司團隊都有好的體驗。
我們正在被迫進行世界上最大的遠端辦公實驗,到目前為止,很多組織通過親身體會感到這並不容易。
台灣半導體產業在全球中扮演重大的角色,其半導體核心技術層面上更是有相當亮眼的成績,透過外銷產品、設備也讓台灣科技迅速的在全球曝光,更讓全世界見證了台灣的技術專業。而在這高技術產業中,意指有著非常專業且敏感的技術資料,對於整個半導體產業上的資安要怎麼做? 要從何處著手而起?
組織決定開始監控員工電腦行為活動,通常有兩個原因:
針對性反應調查:可能已經發生了一些不好的事情,或者懷疑發生了或即將發生一些不好的事情,組織有理由調查某人或一群人。第二個原因是預防準備措施,採取主動積極策略:組織尋求改善內部安全,抵禦內部威脅,提高生產力和效率;或兩者兼而有之。
X-FORT訴求保護機密檔案,防堵有心人士在未經授權的情況下,將檔案帶離開公司。但近年來勒索病毒猖獗,檔案除了外洩外,還大幅增加在內部被破壞或勒索的風險。
勒索病毒主要目的在於讓使用者的電腦檔案加密,並要求支付贖金才能復原檔案,遭受攻擊的使用者,為了救回電腦裡重要的資料,只能付錢給駭客,或接受檔案無法使用的損失。
