資安新知 - 精品科技股份有限公司 FineArt Technology Co., Ltd.

FineArt News

: 精品科技資安顧問陳伯榆; 2020/03/02

疫情災難環境中，企業營運下的資安對策

企業準備好了嗎?

伴隨疫情瞬息萬變與不確定性，「提前佈署」讓公司正常營運，或因需要員工居家上班，甚至全面性施行在家遠距上班。應該是高層、IT、資安、管理、稽核要慎重思考的重要工作。以公司營運來說，都不樂見到本項對策的正式啟用，更期盼可以平安常態工作。但「勿恃敵之不來」，是更主動積極策略。

: 精品科技資安顧問陳伯榆; 2020/02/06

面對Insider Threat，資安內控建立起「零信任」設計

零信任(Zero Trust) 是由2010 John Kindervag所提出概念，而Google則再2017年以Beyond　Corp加以實踐完成。若將「零信任」當成一個資訊安全框架，特別應用在Insider Threat管控上。「零信任」基本精神是以「企業不信任企業邊界內外的所有實體」為前題，思考資訊安全防護機制，包含各類端點裝置(不論是否連網的裝置)、人員(組織、雇員和第三方合作商)、應用程式(包含PC應用程式、手機App及內嵌在設備的應用系統、開發所需API元件)、以及網路安全防禦機制(收攏管理和監控的可見性IT與OT)。

: 精品科技技術服務鄭仲達; 2020/02/06

由網址連結記錄看出端倪--企業應重視網路分析、偵測與反應

隨著雲端服務、人工智慧與高速連網普及，企業的資安威脅風險與日俱增，資料外洩手法層出不窮，加上新興勒索軟體威脅，再再都為企業資安管理者帶來更多負擔。

凡走過必留下痕跡，管理者銜命稽核、分析員工的網路記錄時，像是[網址連結記錄]、[WebPost上傳行為]、[使用者網頁瀏覽記錄]等網路活動是否出現異常行為，然而在分析外部網路活動時，有些值得注意的是：

: 精品科技總經理黃文昌; 2020/01/22

看2020年及往後的Cyber Security & Insider Threat演變

立法院2019年底最後一刻，三讀通過科技業企盼已久的《營業秘密法》部分條文修正案。新增「偵保令」制度，也被稱為「科技業條款」，針對近年來科技業的洩密情事，許多員工跳槽前，蒐集大量公司機敏資料並投靠競爭對手廠商。修法後的「秘密保持命令」讓檢察官得以在案件偵查過程中，即可對原告與被告發出偵保令；違反「秘密保持令罪」，課以三年以下有期徒刑、拘役或併科新台幣100萬元以下罰金的刑責，以杜絕偵辦過程二度洩密立法院2019年底最後一刻，三讀通過科技業企盼已久的《營業秘密法》部分條文修正案。

: 精品科技資安部陳建誌; 2020/01/14

IT如何準備資安稽核？

一個重視資安且內控制度完整的企業，一定會建立起完善內外稽核系統。

透過內外部資安稽核施作，可強化企業資安體質，且透過所建立PDCA機制，持續提升企業資安的有效性。我於2019年年底剛取得ISMS認證的工程師，透過年度外稽的實兵演練，分享首次接受稽核的準備工作及心得。

: 精品科技資安顧問陳育徽; 2020/01/08

傳統資料防外洩系統難以面對現代內部威脅

從簡單的系統記錄(log)分析到SIEM，資料外洩防護系統（DLP），端點防護(Endpoint Protection)，再到使用者與實體設備行為分析（UEBA）之類的解決方案，公司一直在使用各種專業的系統來保護重要資料或減輕內部威脅。這裡關鍵字是“專業”，這些系統都各有其優點和缺點，對於特定領域方面的運用很有成效。例如，端點防護系統雖然可以合理地防止資訊洩露，但設計重點在於防範如病毒、惡意程式的活動威脅，並非是專門精心設計來偵測人的行為威脅，例如擁有特權權限的非善意使用者。另一方面，UEBA或員工監視(UAM)解決方案擅長識別設備、網路活動異常和威脅，但在防止複雜的資訊竊取行為方面並不是很適用。

: 精品科技資安顧問陳伯榆; 2020/01/08

認識Windows Registry 與內控取證

Registry對於內部安全稽核與取證鑑識來說，Registry是個重要寶藏，很少人去瞭解Registry作用與運作。透過Registry資料分析，可以曾了解系統發生過哪些事件? 觸發事件時間? 發生的脈絡，其價值好比中醫的經絡穴位一樣，牽動著作業系統的運作順暢及穩定外，更可掌握管控機制對作業系統與應用程式(Application)，甚至連接硬體裝置運作的關係。反之，一個被汙染的Registry，舉凡：惡意程式注入、挖礦軟體常駐、防毒系統關閉、內賊惡意提權、內鬼迴避內部控管機制，甚至嚴重到作業系統開機失敗…等，都可從Registry來遂行其目的。

: 精品科技資安顧問陳伯榆; 2019/12/04

在攻防之間與企業資安人才

有感而發，選擇一篇無關技術的主題，在一場非正式會議「討論資安人才培訓」企業資安主管會議中，讓我聽到非常特別觀點也是我扎心很久的想法，心想為何一直沒人提出相似觀點，是我想法太突出嗎?

: 精品科技技術服務黃粮皓; 2019/12/04

見微知著，用X-FORT 儀表板找出可疑風險

現實生活中我們有許多接觸儀表板的機會，其中接觸最多的應屬汽車儀表板與摩拖車的儀表板，以汽車儀表板為例通常就是顯示車速、轉速、機油壓力、水溫、電池電量等與汽車運作有關係的資訊，透過儀表板讓駕駛人可得知目前汽車的運作情形以及是否有問題或有安全上的疑慮。同樣的在X-FORT系統也一樣可使用儀表板，讓管理人員快速了解X-FORT用戶端的安全防護情況。

: 精品科技資安顧問陳育徽; 2019/11/25

強化內部管理，準備好內部威脅應對計畫

即將進入 2020 年，雖然大家都能普遍認知到，組織必須採取相當的保護措施，以期降低各種資安風險，但很少組織會針對來自於組織內部產生的威脅做好準備。內部威脅是指來自公司自己的員工、承包商、供應商或終端使用者，可能是故意、惡意或疏忽的操作而產生的安全風險。通常絕大多數的IT 和安全專業從業人員中，都能感受到內部威脅是整個公司IT環境的可能最大弱點，無論那些發生違規行為是惡意的，還是疏忽所致的。

: 精品科技資安顧問陳育徽; 2019/11/08

將資產弱點納入評估，管理可能資安風險

為了在當今市場中保持競爭力，企業使用與 Internet 相連的網路，為員工提供快速、有效的工具來完成工作。員工不僅能夠更有效地相互溝通，也可以接觸到世界各地的客戶。電腦網路的優點有很多；然而出現缺陷失敗卻可能是毀滅性的。為了應對IT架構快速變革的趨勢，資訊安全專業人員首要挑戰，便是將漏洞管理轉換為能夠應對風險的方案。ISO 27002 標準中將漏洞定義為"資產可以被一個或多個威脅利用的的弱點"。弱點管理是IT 系統中識別並評估這些漏洞可能的風險處理程序。如果確實施並定期進行檢討調整，依組織需求調整傳統管理模式，用現代方法進行漏洞管理。以下將討論實務可行的較佳解決方案。

: 精品科技資安顧問陳伯榆; 2019/11/08

淺論EDR 應用於Insider Threat 偵測

Endpoint Detection and Response (EDR)多數應用在防毒防駭與惡意程序竊取層面上，甚至見到相關產品添加人工智慧(AI)雲端智能分析判讀技術。

「似乎完美但是仍有缺漏」

在近期我們會發現APT特定目標所訂製程序的攻擊行為，或是新穎的勒索惡意程式，仍在企業與政府組織中達成破壞竊取的目的。

: 精品科技行銷部; 2019/10/09

如何用網址連結記錄查詢出可疑物件

一如往常的普通上班日，收到網管同仁通知，發現內部網路存在些許電腦主機，發生異常連線，懷疑可能遭到惡意程式入侵。老闆鑑於前陣子勒索軟體橫行，指示清查公司所有電腦，確認是否受害? 身為專業的安管人員，你迅速的展開調查行動。

蒐集可的調查資訊

在進行清查行動前，必須先收集可用資訊，縮小調查範圍。網管同仁是由檢查防火牆記錄而發現，向其取得記錄並找出可疑對象。

: 精品科技技術服務王靖淵; 2019/10/03

電腦內的資訊資產，是公司的還是個人的?

在這個資訊科技發展快速的時代，我們常在新聞上看到例如某大廠的重要職務員工，跳槽到大陸競業對手當高階主管；隨之而來的就是後續出現產品相仿，進而控告跳槽離職員工的消息。受僱員工領公司的薪水並利用公司資源(如電腦)，創作軟體、硬體、出版品等作品，這些創作的著作財產權歸誰所有？若都歸員工所有，老闆們還會願意出資進行研發工作嗎？

: 精品科技技術服務黃振慶; 2019/10/03

借鏡高科技廠公司的保密措施足夠嗎?

許多高科技廠基於許多員工洩密、跳槽至敵對公司造成重大損失的前車之鑑，對於打擊類似行為絕不手軟。為防止技術與營業祕密外洩，做足了事前準備工作，對內的資訊管理措施上，也有更嚴格的控管機制，如訪客及員工都不能攜帶具有照相功能的手機。而訪客拜會時，所攜帶的筆電則是用易碎貼紙封閉所有可能傳輸資料的插槽，藉此阻斷任何資料外洩機會。

: 精品科技資安顧問陳育徽; 2019/09/25

為何需要對軟體限制安裝執行 ?

您是否有這樣的經驗，參加某些特定活動卻因您的姓名不在清單中，而無法參加？也許僅是忘記報名這次活動；還是報了名，但因為不是活動行銷對象，特別被排除而無法參加。以上兩個原因不同，但可能結果雷同。這案例在概念上與應用程式白名單非常相似，無法參加是因為沒有註冊；這個清單就是所謂的白名單，上面包含了使用者可否參加及可以參與的活動內容。

: 精品科技行銷部; 2019/09/24

國際半導體展首度談資安，工作小組揭露推動資安標準現況

出處 iThome https://www.ithome.com.tw/news/133168

今年的國際半導體展（SEMICON）中，首度出現了專門探討資安標準的座談會，工作小組成員揭露他們計畫即將於年底擬定草案，讓全球協會會員投票，為此，他們需要更多國內業界的專家，投入有關工作

: 精品科技資安顧問陳育徽; 2019/09/17

結合端點防護與應用程式白名單，保護半導體製造控制設備

半導體設備面臨的挑戰

控制設備上的安全防護通常是被忽略的一環，也是最無計可施的對象。由於IT與IoT先天工作環境與營運目標的差異，對半導體產業而言，無法直接適用PC 上所提供的工具及解決方案。通常廠房購置的特殊生產設備，為降低在運作過程中，受到外在因素干擾的可能性，供應商大多不願意在設備上，安裝安全防護之類的軟體。再加上運作環境封閉，作業系統及防毒軟體等，無法即時更新修補和升級。綜合以上原因，使得這些設備存在著各種未修正弱點於一身。當然，這些設備的設計目標都是為了生產力，重視的技術指標當然是效能與正確性，資安防護這方面往往不會被重視。

: 精品科技資安顧問陳伯榆; 2019/09/16

Office 365 企業授權之內控風險

Office 365 企業版(下簡稱O365)環境有許多應用功能與便利性，但是在一個重視智財與營業秘密的企業來說，O365許多便利渠道，反而可以更容易脫離公司管控，將機密資料外溢到非公司管控的裝置與競爭對手。另一角度來思考，也不能因為這樣的風險，就永遠禁用或迴避不用O365。反觀從微軟發展 O365脈絡來看，早晚必須面對與使用，應在便利與安全的槓桿下，取得一個平衡。

: 精品科技技術服務黃振慶; 2019/09/04

資安管理 – 角色分權與調閱敏感記錄

根據台灣業者互動資通所發布的【台灣千大企業行動即時通訊調查】顯示，當前的即時通訊軟體，在企業內部被使用最多的是Line與Skype，其比例達到六成。然而資安系統提供的即時通訊軟體訊息側錄，卻可能由老闆或資安系統管理員調閱記錄，導致無意或有意間侵犯同仁的隱私。在這之前，還有側錄IM訊息記錄這件事的合法性也要先行克服，例如規範公用、私人帳號分開，公務裝置不得處理私人事務等。因即時通訊記錄的特性，可能直接牽涉不知情的第三方；其爭議性遠比其他電腦記錄來的大，而且可能導致嚴重法律問題。

子分類

零信任