軟體資產管理(SAM)使組織能夠從授權合規性,和財務角度控制其軟體資產。麥肯錫和Sand-Hill集團估計,30%或更多的IT預算是由軟體授權和維護成本所消耗的。同樣重要的是有效管理IT產業的技術及管理工具,既要發現安裝了哪些硬體和軟體,又要有能力全面控制IT資源。
軟體資源管理面臨問題:
軟體資產管理的範疇包含了採購管理、資產盤點、授權管理(SLM)、資源分配、修補更新管理等。其中授權管理的財務與法律風險最高,需要採取精確的管理方法來控制。
威脅建模(STRIDE):透過站在「攻擊者或是竊取者一樣的思路」以結構化的方法以及系統的識別,來評估產品、資訊系統或內部竊取的風險和威脅。針對這些風險與威脅,制定消除(減)措施的建模手段。建議再搭配ATT&CK 的12項元素(界定在APT3.0的技術元素),若仔細分析,可以發現可是更細膩STRIDE可以形成更完善的威脅建模,更可用在Hacking 行為、Insider Threat、以及Malware APT防護上。
威脅建模可以在產品設計階段、架構評審階段或產品運行時展開,強迫我們站在攻擊者的角度去評估產品的安全性與防禦有效性,分析產品或是系統中每個元件是否可能被篡改、偽造,是否可能會造成資訊洩露、遭受攻擊。威脅建模的作用更偏向於確保產品架構、功能設計的安全,無法保證編碼的安全,但是輸出的威脅建模報告中包含了全面的安全需求,這些安全需求不僅包括大的方案設計,如要身分認證(Authentication)、取得授權 (Authorization)、稽核(Auditing),也可以包括安全細節的實現,採用具體的驗證方式、密碼使用安全的演算法儲存、生成安全亂數等。所以,威脅建模雖不能保證Encoding的安全,但可指引R&D編寫出安全的代碼,並輔助滲透測試的展開工作。
「快一點報價!我真的很想早一點把原有系統換掉!」
「你們系統隨機調查控管效果不確實的機率會不會很高?」
「你們系統會不會給錯政策,A使用者卻拿到B使用者的?」
最近走訪企業客戶做產品介紹時,我們很訝異地,客戶詢問了上述的問題。
對已導入其他資產、資安系統的企業,我們能清楚體會到IT主管的焦慮感;
對未導入資安系統客戶問:「太誇張了,那家的價格怎可這樣低?」,只能說,在面對五花八門的產品介紹、以價格導向為優勢的類似產品時,多數的IT主管往往會難以理性來判斷。
「紅隊測試」一書,隨著時間流轉以及新資訊技術應用,例如:AI人工智慧、風險數據分析、結合AI分析網路爬蟲、IoT資安議題、CII…等,更加彰顯企業或是組織紅藍對抗演練的必要性。企業在心態上必須調整,被攻破就積極改正,沒被攻破必須加以維持,深化紅藍對抗的不是競爭而是互助的出發點,才能建立正向企業資安文化。
資安稽核與IT部門關係不應該是緊張或攻防的,應大家齊心降低企業面臨未來內外部威脅。透過多維度的攻擊手法,在災害可控的驗證範疇下,檢驗企業與組織資安防護水平,及早發現資訊安全防護缺陷。
不論您偏好的瀏覽器是什麼 - Chrome,Firefox,Safari,Internet Explorer或Edge - 瀏覽器不僅僅是搜尋應用程式和網站的工具,它也是個人和專業人士的潛在行為縮影。從駕駛習慣、工作時間、銀行賬戶和工作項目,到經常訪問的網站和餐館的記錄。執法人員長期以來一直認為瀏覽器記錄能夠提供重要訊息,一定也將其納入事件調查。在2009年,一位聲稱自己認為撞到鹿的加州投資銀行家,被判處三年徒刑 。 部分原因是事故之後,他的谷歌搜索內容包括“肇事逃逸”這個關鍵字,代表當事人當時是知情的。
網路發達後電子犯罪很難被調查和成功起訴,主要是因為鑑識調查人員必須根據電腦系統裝置上,留下的人為操作所造成的跡證,來使的案件成立。但如今,撇除了大部分的跡證根本不在本地裝置;而人們也普遍了解數位取證程序方法和技術,多少會嘗試使用相對應的反制技術,盡可能有效地干擾調查程序。在許多情況下,這種對抗調查的技術似乎會使得鑑識取證變的過於昂貴,或者實行起來太過耗時。結果案件通常會不了了之被放棄。用於對抗 (付) 數位取證過程的方法統稱為反取證。
現在有大量的應用程式和服務,依賴著雲端運算來存儲重要資訊和來自客戶的檔案,但一般大眾仍然無法完全信任雲端運算。例如,一個iPhone用戶可能不願意使用Apple的雲端備份服務來備份他們的重要信息;或者企業負責人可能會不願意在他們的工作上使用雲端解決方案。
表面上看起來這似乎不是個問題。畢竟,採不採用雲端解決方案是個人選擇;更重要的是對個人的資料使用和工作效益的影響。
全球性的資料外洩事件仍頻發生,企業多上緊發條,重新審視企業內部資訊安全網的建立。企業資訊安全,不僅是企業主設備資金投入以及相關政策與規範的建立施行,「人」才是關鍵問題所在,因為光投入經費並不意味著企業內控100%的完善。人往往是最薄弱的包裝下破口,無心也罷或惡意不該都導致企業丟失高含金量資料。因此,本文將圍繞內部員工安全意識與培訓與大家分享討論。
在網路下載、上傳大容量檔案時間越來越短、行動設備儲存容量越來越大,企業的經營者務必要意識到『機密敏感的文件是否容易外流』,尤其是高科技業者對於此項議題應該早有防範及準備,但是對於尚未意識到的企業面對如此迅速變遷的科技該如何因應,我想大部分沒有經驗或不了解的企業可以透過系統經銷商的介紹,或者自行上網查詢應該都可以查到相關的產品,在我們常對客戶進行產品介紹時,往往發現客戶無法分辨『DLP』與『DRM』的差異,因此特別針對此議題解釋說明,DLP全名為資料外洩防護(Data Loss Prevention)DLP產品又分為多種,比如閘道型DLP、內容感知型DLP、端點型DLP,本文將以端點型DLP為主要說明對象。
在新興資訊科技應用快速變化以及全球地球村化的發展下,企業被迫不斷地創新,以跳脫舊思維之營運框架,方能與時漸進。也因此企業應關注新興科技應用之最新變化以及國際相關法令規定之趨勢,以避免被淹沒在時代的洪流之下。
出處:https://www.ithome.com.tw/news/129903
不少高科技企業對於機密的保護,可能會偏重於對外的防禦,而較輕忽研發單位的開發環境,精品科技資安顧問陳伯榆認為,如何保護開發用的端點電腦,免於成為資料外洩的管道,是現今企業需要特別正視的問題。
資料保護,攸關著企業或組織營運生存。企業營運或政府治理都會內外部角色組成,以企業來分析舉凡:業務、研發、財務、法務、稽核、MIS、資安…等,依公司規模有其部分差異。即便政府公務單位不同,在資安治理理念也是雷同。就資料外洩所帶來的損失是十分嚴重的課題。不論是企業或是政府,都需要建立從點(端點)到面(資安疆界)的整合性安全架構,來抑制著內外部威脅。
根據統計大部分的企業資料外洩都是由內部員工有意或無意外洩導致企業蒙受金錢與公司信用損失,從報章雜誌、媒體報導常可看見XX公司機密外洩經查為前離職員工刻意所為…諸如此類的報導近年來常常出現,沒有被報導曝光的案件相信一定更多,每年企業損失的金額更是以數十億來計算,企業內部資安這個議題其實已經存在已久,接觸這塊領域多年還是有頗多企業尚未導入內部資安系統,有些是沒有正視機密資料的安全等到機密資料外洩,才考慮導入相關政策或產品,有些是正視內部資安問題但是不知如何著手,以上都是常見到的情況。
根據《哈佛商業評論》表示:「比起外部駭客,內部人員更可造成嚴重的危害,這是因為他們可以合法地存取系統,而且接觸系統的機會也更多。內部人員可造成的危害包括中斷營運、智慧財產遭竊、損害商譽、降低投資人與客戶信心,以及將敏感資料洩漏給第三方(包括媒體)。」偵測並且削減內部威脅,特別是當我們討論到敏感資訊和大型資料儲存媒體(如資料庫,大數據系統和檔案伺服器)時,就需要深入了解用戶工作活動以及他們如何使用企業資料。
Alternate Data Streams,簡稱ADS,也就是「NTFS交換資料流程」。在本篇文章中將不探討利用ADS來隱藏掛載惡意程序的使用方式,專注在內部威脅竊取的手段與防守。雖然在資安CTF是常見試題,在本文將應用在Insider Threat。
早期企業控制流程的設計主要在書面文件的傳遞與人員組織文化的管理。約略在20、30年前,電腦設備開始陸續被企業組織使用,這時多用於文書處理、ERP系統使用、資料儲存…等,同時也發展了部分資訊相關管理的控制作業。
然而,在資訊科技快速創新發展的時代,各個公司組織已於營運過程廣泛地運用新興科技技術來協助內外部作業流程運作、大量且快速的資料交換與儲存管理,早已讓企業資訊安全管理升級至另一個層次,而來自公司組織內部的威脅已是目前主流的資安議題之一。
關於Forget Killer Robots: Autonomous Weapons Are Already Online (忘記殺手機器人:自主武器已經在線),其實主要在探討AI自主武器問題,該文章點破一個十分重要事實,所謂AI自主武器已經在Cyberspace廣泛應用,唯一的差異就是沒有實際應用在殺害人命層面。因為「intelligent autonomous agents」的惡意程式或行為用在竊取人的相關數據已經存在,且越形成熟,數量也逐漸增加。
今日網際網路上的資安風險日益嚴重,出現了許多以社交工程為名來引誘使用者連結的惡意網站或者E-Mail夾帶惡意文件與程式,偽裝成合法的信件內容造成資安意識薄弱的使用者莫大的損失。這樣惡意連結就有如包覆著美麗糖衣的毒品般,內容會是讓使用者心動或是在意的事情,當使用者點擊後,就會造成電腦中毒、資料外洩等等。以下將會分享一個實際的案例,來提醒公司內員工或是親人對於來路不明的數位內容提高警覺。
在本文中,將了解採證數位證據中的證物保管鍊及其維護方式,還將討論證物保管鍊的過程以及維護它的重要性。證物保管鍊原文為“Chain of Custody”,具備監督監視與保管的用意,主要確保從取證到被法庭採用,一連串的過程都符合法律規定,中間沒有被置換、掉包、修改、破壞…等的情事發生。基於數位證據收集的獨特性質,我們還需要討論一些特殊的考慮因素。
SANS 10月份受資策會邀請,在台北舉辦數位鑑識講座。由Philip Hagen主講,題目Convergence Forensics: Leveraging Multiple Skills to Analyze Evidence.。
主講者本身從事鑑識工作多年,現在管理美國國家安全部門的85名數位鑑識專業的團隊,並為執法部門,政府和商業客戶提供法證諮詢服務。有很多經驗發展出了實務技巧與觀念。
鑑識的目的最終有很大的比例是為了「訴訟」,本身鑑識活動也需要耗費相當的人力時間及其他資源。也許有可能是為了研究惡意程式的攻擊行為,以防範未然,據以提升防禦策略等。惡意程式行為有很大的機會找出來源,但因為其行為是非特定可識別的群體,最後很可能無法追究。人的電腦使用行為記錄,相較之下,被定案可能性就高了一些。
