企業無可避免的資安管理責任,談資通安全管理法
在面臨瞬息萬變的資安危脅下,每天都有無數的資安事件在發生,企業內部的資安防護是否完善,以及資安管理政策是否健全,已經是當今企業關注的重要議題,甫於十月初結束的台灣資安通報應變年會,藉由國內外知名資安專家學者的對話,讓與會者了解如何解決企業內部目前所面臨的資安問題。
今年五月資通安全管理法已於立法院三讀通過,從政府到企業單位所面臨組織單位的資料保護需求越來越重視,為了將防護措施布局妥當,避免因非法使用與破壞行為等因素造成的資安漏洞,企業必須有相對應的資安防護措施,才能將影響降至最低。
工業控制電腦(ICS)與機台銜接,對企業來說是至關重要的生財工具,更是操作人員與機台的重要介面。即便在人工智慧與工業4.0環境中,ICS更是數據創造者,透過收集的數據,創造最大利潤與提高整體產線良率的重要關鍵。當然ICS也扮演著端點裝置的角色。從T公司的資安新聞事件中,不論真實呈現如何!!已經揭露了ICS工控端點的資安風險問題,值得我們深思的探討。許多廠區無法拍照且封閉,對資安產業來說,更是難以一窺其真實樣貌 (註:資安的管控許流程與系統網路結構相關,不能只從端點角度思考,太過狹隘。)所以本文將以「淺談」角度來勾勒目前看到的普遍問題。
企業無可避免的資安管理責任,談資通安全管理法
在面臨瞬息萬變的資安危脅下,每天都有無數的資安事件在發生,企業內部的資安防護是否完善,以及資安管理政策是否健全,已經是當今企業關注的重要議題,甫於十月初結束的台灣資安通報應變年會,藉由國內外知名資安專家學者的對話,讓與會者了解如何解決企業內部目前所面臨的資安問題。
過去的資訊安全觀念著重在抵禦外侮,所以像防火牆、防毒這一段的建設與安全意識,都已趨近完備。在這樣的大環境下,老實說,單單靠強力入侵,直接破門闖入這種方式,顯然機會微乎其微。而近期被注意到的內部威脅,其實也不算新觀念;2006年業界已經出現Data Loss Prevention 的商品在市場上。按照SANS 跟 Gartner 的定義的DLP 是要能夠辨識過濾資料內容,加以適當處置。這不難理解,因為Prevention 的確要識別出才能達成。但那真的適合或者一定要內容辨識嗎?這必須按照實際營運內容分析,不一定全非得如此。
二個月前老客戶A表示,其主管電腦遭偽造Email,不法者欲藉以騙取廠商貨款一事,盼能協助調查。當我們前往定期檢查協助時,才發現之前並未對該主管套用的政策啟動有效記錄,此時遇到資安問題,就很難分析判斷。
這說明了即使有對的資安工具,還須搭配適當的管理政策,才是真正有效的運用。而這也是很多客戶在資安政策上的常見作法,對主管不予控管,也不予記錄,對公司而言,遇事將無法舉證、自保。論漏洞,高階主管可能比較低,而一旦產生風險卻有可能比一般員工高上許多,不得不慎。
歐盟GDPR 燃燒沸騰一段時間後,似乎又趨於冷卻。原因是目前GDPR鎖定目標都還在大型企業集團或大型網路服務業,如:facebook, google…等訴訟,還無心力來關注其他。
所以相對不積極了,這樣想法是一種賭徒性格,但罰則太過嚴厲,誰知道會不會發生在企業身上,所以企業主還是需要審慎待之。平心而論,如果你讀完GDPR法條,再去回想台灣個資法,其實有不少設計模式與台灣個資法部分雷同。可是因為在台灣個資法就不積極落實,當你是一個與歐盟密切商業往來的企業,認真看待GDPR時,就會發現要把先前不重視的台灣個資法也需要一併補齊。因為GDPR又比台灣個資法更為嚴格。
現階段企業的資訊安全可以分為兩種,一種是防禦外部入侵的資安系統,一種是防止內部資料外洩的資安系統,本文所提到的資安產品將會著重在「防止內部資料外洩」為主。
買資安產品等於買保險嗎?這就要從買保險的用意講起,如果以人身保險來說,我們會買商業的人身保險,是因為我們無法預測未來是否會發生意外或生大病,所以我們會買保險。但是保險所繳的費用有可能是拿不回來的,如果我們都沒發生任何意外或生大病的話,那麼保險就是一定得要「被保險人」本身發生了意外或生病才可拿到相關的理賠費用。當然我們都不希望發生這些事情,只是我們不是神,買保險只是以防萬一而已,也不是說我買了保險就不會發生意外或生病,可以為所欲為的不注意交通安全,每天亂吃垃圾食物導致身體病變,正常來說保險也可能讓我們比較注意平常的生活安全及飲食,儘量讓我們不會發生保險所保之事。
程式碼對軟體開發公司是寶貴的資源,同時也使用版本控管軟體及存放程式碼及相關資料在Server上,且是以明文的格式,才能作比對版本歷史的功能,無法使用加密方式存放;此外在開發編譯的過程中,也需保持明文來進行編譯和修改。但明文的程式碼,也很容易就被使用者外洩、竊取,造成公司莫大的損失。因此對以上狀況,是最讓軟體開發公司感到困擾的問題。
改變是不舒服的,需要新的思考和行動方式。人們很難在變革的形成之前,預知未來面對的實際狀況。因此,易於傾向於堅持已知而不是擁抱未知。當IT 或 資安團隊推行資訊安全制度、資訊安全系統,多少會遇上來自各部門的阻礙。相較於人的問題,技術細節與施作程序反而是最容易克服的問題。
在Insider風險問題上,特別關注Hardware Hacking的問題,其主要原因是Insider內部竊取與Hacker外部入侵,有著截然不同的差異。Insider十分熟悉企業組織內部的資通安全與檔案資料庫環境,且通常具有一定的權限可以閱覽或是編輯相關檔案,又因屬於內部人員,通常還具備資料交換的必要性;反觀外部的Hacker可能需要搭配層層的分析與滲透,在掌握企業組織環境後,再進行必要資料竊取,所費時間較長。但是Hacker或spy卻有機會買通內部人員(Insider),達到資料竊取的目的,這時候風險角色有回到Insider身上。
最近幾個新聞都跟洩漏公司秘密給競爭對手有關;洩漏的內容五花八門,從20nm DRAM 製程、公司開發的程式、藍圖、設計圖等。一家機械設備設計廠商,交付設計圖給三家設備製造廠商,各自製造一部分組件,最後原公司將產品組立。沒想到,這三家不知為何恰巧聯合起來,交付設計圖ODM的次日,就有仿製的機器出現。由於製造一定要原始設計圖,給了對方之後就失去控制,僅僅依靠保密條款,即便事發之後也無法舉證。
參與多場GDPR的會議與論壇,也研讀完數百頁GDPR法規後,再參考國內四大會計律師事務所相關文件,與看過國內外媒體相關評論與見解,仍認為有模糊的解釋空間,尤其是面對「屬地」或「屬人」觀點上,各家觀點多有堅持。但是不容否認GDPR是歐盟在個人資料與隱私保護至今最為嚴格的法律,附帶空前巨大懲罰性賠償,從全球對歐盟的商業及金融電信服務都必須繃緊神經。
法令本身有著其他外溢效果與感受:(1) 似有似無感受GDPR隱藏著某些程度保護主義色彩;(2)項莊舞劍有其針對性,對於已經遵守重視個資因保護的經濟體,沒有太大影響,對於不重視個資隱私保護的經濟體,有其傷害;(3)台灣及中國…等亞太經濟體(日韓已經積極與歐盟協商中),許多都不在歐盟允許個資收集交換的特許國家清單。
李宗翰 / iThome電腦報周刊副總編輯 / 2018-03-24發表
今年臺灣資安大會規模更勝以往,在這次活動裡面,我對其中一個議題感受最為深刻,那就是內部威脅管控。在最後一天,有兩場課程著重在此,分別是由精品科技資安顧問陳伯榆的「資安是攻守交替後的完美結合」,以及國際產業安全協會台灣分會會長楊博裕的「外賊易擋、內賊難防:從史諾登案看內部威脅管理的盲點」。
在陳伯榆的分析裡面,他先從內部威脅的影響與來源談起,接著,透過三個層面來實際示範侵入狀況。首先是針對在內部環境可用來竊取與入侵的各種裝置,做了簡單的介紹,然後將測試的電腦接上Teensy這套USB開發板,來模擬USB鍵盤,讓作業系統以為只是接上鍵盤,而迴避電腦周邊裝置控管(如果單是禁用USB儲存裝置),但實際上,我們可從這裡執行指令,像是PowerShell、WMIC(WMI command-line)。
在企業組織環境內,內部人員威脅(以下通稱Insider)與外部入侵竊取,雖然都是Hacking與竊取智慧資產行為,兩者卻有著很大的不同。其差異在於,外部入侵者,需要較長時間的資訊環境嗅探分析或是社交工程操作後,漸漸勾勒出入侵標的的環境資訊,進行入侵竊取,甚至不斷選定目標再次重複上述作業,直到達成預計成果。
反之以Insider角度,本就涉入其中,且熟悉內部資訊狀態與管制環境,甚至掌握某些渠道繞過管制的手段,在資料竊取上,Insider有著「天之驕子」所具備的便捷與資訊,雖不具備企業組織MIS內控的超級權限,也足以在企業環境中,有機會順利竊取資料,並攪起「一池春水」。所以企業內部「披著羊皮的狼」,將帶給企業組織重大的損失。更遑論若涉及國安軍事外交科技…等高度敏感的組織,應更加關注相關管控。
Google雲端列印最為大家所熟悉,除了Google之外在台灣,ibon便利生活站亦提供雲端列印服務;Apple Air Print 是 Apple 的另一項技術,而印表機公司亦推出類似服務。服務背後,總透著美好事物另外一面的問題。本文將以Google Cloud Print服務為基礎,來與大家分享雲端列印對企業管控的潛在風險問題。
即將在今年5月25日正式施行的歐盟個人資料保護規則(General Data Protection Regulation,GDPR),因其適用對象可能擴及非歐盟境內的企業或組織、同時提高了資料保護設計的安全性要求、訂定鉅額的違規罰鍰等,即便大多數的台灣企業於民國101年10月01日台灣個人資料保護法正式施行之前,已投入大量的人力、物力,訂定詳細的個資維護、管理等相關辦法,建立個資控管流程等,但是如果可以確定會落入GDPR的適用範圍,台灣企業先前因應台灣個人資料保護法所為的準備恐怕都不足夠,千萬不可掉以輕心。
「智慧」二字無非是最近十分熱門話題,智慧城市、智慧家庭、智慧載具、智慧工廠…等。再混搭IoT應用,更是未來智慧生活的代表詞彙。在政府民間都費很大資源在推動與進行,令人十分期待那科技帶來的生活變化。把「安全」與「智慧」再次融合,這需要嚴肅面對,用中國用語,這可不能是「牛X式」未來。
Google Project Zero安全團隊在一月三日,揭露了所發現的CPU推測執行(Speculative Execution)的漏洞。影響範圍以Intel為主、AMD 受影響較小(官方說法)。其受影響的OS涵蓋:Windows、Linux、macOS、Android 等。在Cloud Service 則是Amazon AWS、Microsoft Azure、Google Cloud、Tencent Cloud、Alibaba Cloud以及其他私有雲環境,舉凡:VMWare …都需要加以安全檢視。
在許多間諜電影,看到插入USB就將資料複製或電腦破壞…,其實在現實世界默默上演著。USB防守已經是太一般,此次介紹的特殊裝置,可以用在內部人員或外部間諜資料竊取,更可以是駭客攻擊入侵的工具。
本篇將不介紹相關特殊裝置技術指令與程序設定,將從特殊裝置認識的角度著手,提醒稽核、資訊安全及IT部門,重新審視現在的管控是否有效,並足以面對這樣的竊取攻擊手法。
回顧2016年,驚傳雅虎(Yahoo)有大量用戶個資外洩,使當年攀上近年資料外洩筆數的高峰;同樣在2016年,不少駭客鎖定POS與ATM植入惡意程式,以竊取信用卡資料,外加勒索軟體威脅一波波來襲,這些不同類型的惡意活動,共通目標皆是謀求經濟利益,資安廠商據此推測2017年勢必充斥三高威脅。
