從簡單的系統記錄(log)分析到SIEM,資料外洩防護系統(DLP),端點防護(Endpoint Protection),再到使用者與實體設備行為分析(UEBA)之類的解決方案,公司一直在使用各種專業的系統來保護重要資料或減輕內部威脅。這裡關鍵字是“專業”,這些系統都各有其優點和缺點,對於特定領域方面的運用很有成效。例如,端點防護系統雖然可以合理地防止資訊洩露,但設計重點在於防範如病毒、惡意程式的活動威脅,並非是專門精心設計來偵測人的行為威脅,例如擁有特權權限的非善意使用者。另一方面,UEBA或員工監視(UAM)解決方案擅長識別設備、網路活動異常和威脅,但在防止複雜的資訊竊取行為方面並不是很適用。
有感而發,選擇一篇無關技術的主題,在一場非正式會議「討論資安人才培訓」企業資安主管會議中,讓我聽到非常特別觀點也是我扎心很久的想法,心想為何一直沒人提出相似觀點,是我想法太突出嗎?
現實生活中我們有許多接觸儀表板的機會,其中接觸最多的應屬汽車儀表板與摩拖車的儀表板,以汽車儀表板為例通常就是顯示車速、轉速、機油壓力、水溫、電池電量等與汽車運作有關係的資訊,透過儀表板讓駕駛人可得知目前汽車的運作情形以及是否有問題或有安全上的疑慮。同樣的在X-FORT系統也一樣可使用儀表板,讓管理人員快速了解X-FORT用戶端的安全防護情況。
即將進入 2020 年,雖然大家都能普遍認知到,組織必須採取相當的保護措施,以期降低各種資安風險,但很少組織會針對來自於組織內部產生的威脅做好準備。內部威脅是指來自公司自己的員工、承包商、供應商或終端使用者,可能是故意、惡意或疏忽的操作而產生的安全風險。通常絕大多數的IT 和安全專業從業人員中,都能感受到內部威脅是整個公司IT環境的可能最大弱點,無論那些發生違規行為是惡意的,還是疏忽所致的。
為了在當今市場中保持競爭力,企業使用與 Internet 相連的網路,為員工提供快速、有效的工具來完成工作。員工不僅能夠更有效地相互溝通,也可以接觸到世界各地的客戶。電腦網路的優點有很多;然而出現缺陷失敗卻可能是毀滅性的。為了應對IT架構快速變革的趨勢,資訊安全專業人員首要挑戰,便是將漏洞管理轉換為能夠應對風險的方案。ISO 27002 標準中將漏洞定義為"資產可以被一個或多個威脅利用的的弱點"。弱點管理是IT 系統中識別並評估這些漏洞可能的風險處理程序。如果確實施並定期進行檢討調整,依組織需求調整傳統管理模式,用現代方法進行漏洞管理。以下將討論實務可行的較佳解決方案。
Endpoint Detection and Response (EDR)多數應用在防毒防駭與惡意程序竊取層面上,甚至見到相關產品添加人工智慧(AI)雲端智能分析判讀技術。
「似乎完美但是仍有缺漏」
在近期我們會發現APT特定目標所訂製程序的攻擊行為,或是新穎的勒索惡意程式,仍在企業與政府組織中達成破壞竊取的目的。
一如往常的普通上班日,收到網管同仁通知,發現內部網路存在些許電腦主機,發生異常連線,懷疑可能遭到惡意程式入侵。老闆鑑於前陣子勒索軟體橫行,指示清查公司所有電腦,確認是否受害? 身為專業的安管人員,你迅速的展開調查行動。
在進行清查行動前,必須先收集可用資訊,縮小調查範圍。網管同仁是由檢查防火牆記錄而發現,向其取得記錄並找出可疑對象。
在這個資訊科技發展快速的時代,我們常在新聞上看到例如某大廠的重要職務員工,跳槽到大陸競業對手當高階主管;隨之而來的就是後續出現產品相仿,進而控告跳槽離職員工的消息。受僱員工領公司的薪水並利用公司資源(如電腦),創作軟體、硬體、出版品等作品,這些創作的著作財產權歸誰所有?若都歸員工所有,老闆們還會願意出資進行研發工作嗎?
許多高科技廠基於許多員工洩密、跳槽至敵對公司造成重大損失的前車之鑑,對於打擊類似行為絕不手軟。為防止技術與營業祕密外洩,做足了事前準備工作,對內的資訊管理措施上,也有更嚴格的控管機制,如訪客及員工都不能攜帶具有照相功能的手機。而訪客拜會時,所攜帶的筆電則是用易碎貼紙封閉所有可能傳輸資料的插槽,藉此阻斷任何資料外洩機會。
您是否有這樣的經驗,參加某些特定活動卻因您的姓名不在清單中,而無法參加?也許僅是忘記報名這次活動;還是報了名,但因為不是活動行銷對象, 特別被排除而無法參加。以上兩個原因不同,但可能結果雷同。這案例在概念上與應用程式白名單非常相似,無法參加是因為沒有註冊;這個清單就是所謂的白名單,上面包含了使用者可否參加及可以參與的活動內容。
出處 iThome https://www.ithome.com.tw/news/133168
今年的國際半導體展(SEMICON)中,首度出現了專門探討資安標準的座談會,工作小組成員揭露他們計畫即將於年底擬定草案,讓全球協會會員投票,為此,他們需要更多國內業界的專家,投入有關工作
控制設備上的安全防護通常是被忽略的一環,也是最無計可施的對象。由於IT與IoT先天工作環境與營運目標的差異,對半導體產業而言,無法直接適用PC 上所提供的工具及解決方案。通常廠房購置的特殊生產設備,為降低在運作過程中,受到外在因素干擾的可能性,供應商大多不願意在設備上,安裝安全防護之類的軟體。再加上運作環境封閉,作業系統及防毒軟體等,無法即時更新修補和升級。綜合以上原因,使得這些設備存在著各種未修正弱點於一身。當然,這些設備的設計目標都是為了生產力,重視的技術指標當然是效能與正確性,資安防護這方面往往不會被重視。
Office 365 企業版(下簡稱O365)環境有許多應用功能與便利性,但是在一個重視智財與營業秘密的企業來說,O365許多便利渠道,反而可以更容易脫離公司管控,將機密資料外溢到非公司管控的裝置與競爭對手。另一角度來思考,也不能因為這樣的風險,就永遠禁用或迴避不用O365。反觀從微軟發展 O365脈絡來看,早晚必須面對與使用,應在便利與安全的槓桿下,取得一個平衡。
根據台灣業者互動資通所發布的【台灣千大企業行動即時通訊調查】顯示,當前的即時通訊軟體,在企業內部被使用最多的是Line與Skype,其比例達到六成。然而資安系統提供的即時通訊軟體訊息側錄,卻可能由老闆或資安系統管理員調閱記錄,導致無意或有意間侵犯同仁的隱私。在這之前,還有側錄IM訊息記錄這件事的合法性也要先行克服,例如規範公用、私人帳號分開,公務裝置不得處理私人事務等。因即時通訊記錄的特性,可能直接牽涉不知情的第三方;其爭議性遠比其他電腦記錄來的大,而且可能導致嚴重法律問題。
出處:DIGITIMES企劃 https://www.digitimes.com.tw/iot/article.asp?cat=130&cat1=40&cat2=50&id=0000566822_BPD7CAO13W7O5J1QY1YG1
任誰都不能否認,強大的資安是IIoT的基本要求;在此前提下,工業物聯網聯盟(IIC)提出工業網際網路安全框架(IISF),其中蘊含15層架構,裡頭的「研發程式防禦竊取」、「資料安全保護」、「使用環境安全管控」及「開發環境的防護」,皆攸關營業秘密的保護;若企業未做好這些事情,可能出現研發人員帶槍投靠敵營、出貨的機台系統遭人逆向工程等悲劇。
電腦上的資料檔案,相信不論是透過何種軟體產出的,都是公司重要的智慧資產。為了避免員工將重要的電子檔案有意或無意的流出,如何保護與記錄使用電子檔案的使用過程,將是未來舉證的重點。舉例來說,在微軟Microsoft的作業系統平台,若要將電子檔案進行搬移,使用者除了可以透過Windows檔案總管(Windows Explorer)外,更能利用命令提示字元DOS Command或PowerShell來進行新增、刪除、修改、複製檔案。
精品科技X-FORT針對各種方式操作本機檔案,包含寫出至各種內接式儲存媒體(SSD、HDD)、外接式儲存媒體(SSD、HDD、USB、SD),以及透過軟體另存至雲端,都有嚴格控管機制與詳實的記錄。
出處:DIGITIMES企劃 https://www.digitimes.com.tw/iot/article.asp?cat=130&cat1=40&cat2=10&id=564414
無庸置疑,對於IC設計、設備機台製造商、工業控制電腦...等等各類型智慧製造業者來說,智慧財產正是公司永續發展的最大命脈,如何守護這條命脈,可謂至關重大。無奈的是,儘管企業費心建立一道道防護堡壘,在未充分掌握研發與IT整合環境下,依然難以完全遏阻資料外洩的情事,讓管理階層不禁納悶,背後真相究竟為何?
精品科技資安顧問陳伯榆點出第一個可能的破口,便是研發部門,也是公司最難管理的一環。研發創造企業利潤,亦利用自身技術建立自己對研發資料管理應用的手段,往往這些手段是IT與稽核不易發現掌握的。他指出研發人員經常需要連結GitHub,下載可用的程式碼資源進行修改或上傳,此乃不可避免之事,而公司為防止研發同仁順勢把程式碼上傳GitHub,多已設立一些防護措施,透過MIS設計防火牆規則,只允許從GitHub下載檔案,至於像是PUT、POST或TLS2等上傳結構則完全封鎖,研發同仁僅能利用內部落地Git或SVN伺服器留存開發成果。
軟體資產管理(SAM)使組織能夠從授權合規性,和財務角度控制其軟體資產。麥肯錫和Sand-Hill集團估計,30%或更多的IT預算是由軟體授權和維護成本所消耗的。同樣重要的是有效管理IT產業的技術及管理工具,既要發現安裝了哪些硬體和軟體,又要有能力全面控制IT資源。
軟體資源管理面臨問題:
軟體資產管理的範疇包含了採購管理、資產盤點、授權管理(SLM)、資源分配、修補更新管理等。其中授權管理的財務與法律風險最高,需要採取精確的管理方法來控制。
威脅建模(STRIDE):透過站在「攻擊者或是竊取者一樣的思路」以結構化的方法以及系統的識別,來評估產品、資訊系統或內部竊取的風險和威脅。針對這些風險與威脅,制定消除(減)措施的建模手段。建議再搭配ATT&CK 的12項元素(界定在APT3.0的技術元素),若仔細分析,可以發現可是更細膩STRIDE可以形成更完善的威脅建模,更可用在Hacking 行為、Insider Threat、以及Malware APT防護上。
威脅建模可以在產品設計階段、架構評審階段或產品運行時展開,強迫我們站在攻擊者的角度去評估產品的安全性與防禦有效性,分析產品或是系統中每個元件是否可能被篡改、偽造,是否可能會造成資訊洩露、遭受攻擊。威脅建模的作用更偏向於確保產品架構、功能設計的安全,無法保證編碼的安全,但是輸出的威脅建模報告中包含了全面的安全需求,這些安全需求不僅包括大的方案設計,如要身分認證(Authentication)、取得授權 (Authorization)、稽核(Auditing),也可以包括安全細節的實現,採用具體的驗證方式、密碼使用安全的演算法儲存、生成安全亂數等。所以,威脅建模雖不能保證Encoding的安全,但可指引R&D編寫出安全的代碼,並輔助滲透測試的展開工作。
「快一點報價!我真的很想早一點把原有系統換掉!」
「你們系統隨機調查控管效果不確實的機率會不會很高?」
「你們系統會不會給錯政策,A使用者卻拿到B使用者的?」
最近走訪企業客戶做產品介紹時,我們很訝異地,客戶詢問了上述的問題。
對已導入其他資產、資安系統的企業,我們能清楚體會到IT主管的焦慮感;
對未導入資安系統客戶問:「太誇張了,那家的價格怎可這樣低?」,只能說,在面對五花八門的產品介紹、以價格導向為優勢的類似產品時,多數的IT主管往往會難以理性來判斷。
