資安新知 - 精品科技股份有限公司 FineArt Technology Co., Ltd.

FineArt News

: 精品科技專案經理陳育徽; 2019/09/25

為何需要對軟體限制安裝執行 ?

您是否有這樣的經驗，參加某些特定活動卻因您的姓名不在清單中，而無法參加？也許僅是忘記報名這次活動；還是報了名，但因為不是活動行銷對象，特別被排除而無法參加。以上兩個原因不同，但可能結果雷同。這案例在概念上與應用程式白名單非常相似，無法參加是因為沒有註冊；這個清單就是所謂的白名單，上面包含了使用者可否參加及可以參與的活動內容。

: 精品科技行銷部; 2019/09/24

國際半導體展首度談資安，工作小組揭露推動資安標準現況

出處 iThome https://www.ithome.com.tw/news/133168

今年的國際半導體展（SEMICON）中，首度出現了專門探討資安標準的座談會，工作小組成員揭露他們計畫即將於年底擬定草案，讓全球協會會員投票，為此，他們需要更多國內業界的專家，投入有關工作

: 精品科技專案經理陳育徽; 2019/09/17

結合端點防護與應用程式白名單，保護半導體製造控制設備

半導體設備面臨的挑戰

控制設備上的安全防護通常是被忽略的一環，也是最無計可施的對象。由於IT與IoT先天工作環境與營運目標的差異，對半導體產業而言，無法直接適用PC 上所提供的工具及解決方案。通常廠房購置的特殊生產設備，為降低在運作過程中，受到外在因素干擾的可能性，供應商大多不願意在設備上，安裝安全防護之類的軟體。再加上運作環境封閉，作業系統及防毒軟體等，無法即時更新修補和升級。綜合以上原因，使得這些設備存在著各種未修正弱點於一身。當然，這些設備的設計目標都是為了生產力，重視的技術指標當然是效能與正確性，資安防護這方面往往不會被重視。

: 精品科技資安顧問陳伯榆; 2019/09/16

Office 365 企業授權之內控風險

Office 365 企業版(下簡稱O365)環境有許多應用功能與便利性，但是在一個重視智財與營業秘密的企業來說，O365許多便利渠道，反而可以更容易脫離公司管控，將機密資料外溢到非公司管控的裝置與競爭對手。另一角度來思考，也不能因為這樣的風險，就永遠禁用或迴避不用O365。反觀從微軟發展 O365脈絡來看，早晚必須面對與使用，應在便利與安全的槓桿下，取得一個平衡。

: 精品科技技術服務黃振慶; 2019/09/04

資安管理 – 角色分權與調閱敏感記錄

根據台灣業者互動資通所發布的【台灣千大企業行動即時通訊調查】顯示，當前的即時通訊軟體，在企業內部被使用最多的是Line與Skype，其比例達到六成。然而資安系統提供的即時通訊軟體訊息側錄，卻可能由老闆或資安系統管理員調閱記錄，導致無意或有意間侵犯同仁的隱私。在這之前，還有側錄IM訊息記錄這件事的合法性也要先行克服，例如規範公用、私人帳號分開，公務裝置不得處理私人事務等。因即時通訊記錄的特性，可能直接牽涉不知情的第三方；其爭議性遠比其他電腦記錄來的大，而且可能導致嚴重法律問題。

: 精品科技行銷部; 2019/08/30

記錄指令活動嚴防內鬼或駭客竊取營業秘密

出處：DIGITIMES企劃 https://www.digitimes.com.tw/iot/article.asp?cat=130&cat1=40&cat2=50&id=0000566822_BPD7CAO13W7O5J1QY1YG1

任誰都不能否認，強大的資安是IIoT的基本要求；在此前提下，工業物聯網聯盟(IIC)提出工業網際網路安全框架(IISF)，其中蘊含15層架構，裡頭的「研發程式防禦竊取」、「資料安全保護」、「使用環境安全管控」及「開發環境的防護」，皆攸關營業秘密的保護；若企業未做好這些事情，可能出現研發人員帶槍投靠敵營、出貨的機台系統遭人逆向工程等悲劇。

: 精品科技技術服務蕭冠竑; 2019/08/30

檔案操作軌跡無所遁形

電腦上的資料檔案，相信不論是透過何種軟體產出的，都是公司重要的智慧資產。為了避免員工將重要的電子檔案有意或無意的流出，如何保護與記錄使用電子檔案的使用過程，將是未來舉證的重點。舉例來說，在微軟Microsoft的作業系統平台，若要將電子檔案進行搬移，使用者除了可以透過Windows檔案總管(Windows Explorer)外，更能利用命令提示字元DOS Command或PowerShell來進行新增、刪除、修改、複製檔案。

精品科技X-FORT針對各種方式操作本機檔案，包含寫出至各種內接式儲存媒體(SSD、HDD)、外接式儲存媒體(SSD、HDD、USB、SD)，以及透過軟體另存至雲端，都有嚴格控管機制與詳實的記錄。

: 精品科技行銷部; 2019/07/31

X-FORT全面掌握指令軌跡記錄完整守護研發智慧財產

出處：DIGITIMES企劃 https://www.digitimes.com.tw/iot/article.asp?cat=130&cat1=40&cat2=10&id=564414

無庸置疑，對於IC設計、設備機台製造商、工業控制電腦...等等各類型智慧製造業者來說，智慧財產正是公司永續發展的最大命脈，如何守護這條命脈，可謂至關重大。無奈的是，儘管企業費心建立一道道防護堡壘，在未充分掌握研發與IT整合環境下，依然難以完全遏阻資料外洩的情事，讓管理階層不禁納悶，背後真相究竟為何？

精品科技資安顧問陳伯榆點出第一個可能的破口，便是研發部門，也是公司最難管理的一環。研發創造企業利潤，亦利用自身技術建立自己對研發資料管理應用的手段，往往這些手段是IT與稽核不易發現掌握的。他指出研發人員經常需要連結GitHub，下載可用的程式碼資源進行修改或上傳，此乃不可避免之事，而公司為防止研發同仁順勢把程式碼上傳GitHub，多已設立一些防護措施，透過MIS設計防火牆規則，只允許從GitHub下載檔案，至於像是PUT、POST或TLS2等上傳結構則完全封鎖，研發同仁僅能利用內部落地Git或SVN伺服器留存開發成果。

: 精品科技專案經理陳育徽; 2019/07/24

軟體授權傻傻分不清楚? 盤點授權好困擾

軟體資產管理(SAM)使組織能夠從授權合規性，和財務角度控制其軟體資產。麥肯錫和Sand-Hill集團估計，30％或更多的IT預算是由軟體授權和維護成本所消耗的。同樣重要的是有效管理IT產業的技術及管理工具，既要發現安裝了哪些硬體和軟體，又要有能力全面控制IT資源。

軟體資源管理面臨問題：

我們真的知道擁有多少台PC和伺服器以及它們位於何處？
我們都知道員工部署安裝了哪些軟體？
我們的盤點包含虛擬機或Thin Client？
我們了解組織內的採購情況嗎？
我們有足夠的採購記錄可證明已購買的軟體？
我們知道哪些軟體是公司“允許”使用的？

軟體資產管理的範疇包含了採購管理、資產盤點、授權管理(SLM)、資源分配、修補更新管理等。其中授權管理的財務與法律風險最高，需要採取精確的管理方法來控制。

: 精品科技資安顧問陳伯榆; 2019/07/22

STRIDE威脅建模在企業內外部威脅應用

威脅建模是什麼?

威脅建模(STRIDE)：透過站在「攻擊者或是竊取者一樣的思路」以結構化的方法以及系統的識別，來評估產品、資訊系統或內部竊取的風險和威脅。針對這些風險與威脅，制定消除(減)措施的建模手段。建議再搭配ATT&CK 的12項元素(界定在APT3.0的技術元素)，若仔細分析，可以發現可是更細膩STRIDE可以形成更完善的威脅建模，更可用在Hacking 行為、Insider Threat、以及Malware APT防護上。

威脅建模可以在產品設計階段、架構評審階段或產品運行時展開，強迫我們站在攻擊者的角度去評估產品的安全性與防禦有效性，分析產品或是系統中每個元件是否可能被篡改、偽造，是否可能會造成資訊洩露、遭受攻擊。威脅建模的作用更偏向於確保產品架構、功能設計的安全，無法保證編碼的安全，但是輸出的威脅建模報告中包含了全面的安全需求，這些安全需求不僅包括大的方案設計，如要身分認證(Authentication)、取得授權 (Authorization)、稽核(Auditing)，也可以包括安全細節的實現，採用具體的驗證方式、密碼使用安全的演算法儲存、生成安全亂數等。所以，威脅建模雖不能保證Encoding的安全，但可指引R&D編寫出安全的代碼，並輔助滲透測試的展開工作。

: 精品科技技術服務鄭仲達; 2019/07/09

我們與機密資料外洩的距離

「快一點報價！我真的很想早一點把原有系統換掉！」

「你們系統隨機調查控管效果不確實的機率會不會很高?」

「你們系統會不會給錯政策，A使用者卻拿到B使用者的?」

最近走訪企業客戶做產品介紹時，我們很訝異地，客戶詢問了上述的問題。

對已導入其他資產、資安系統的企業，我們能清楚體會到IT主管的焦慮感；

對未導入資安系統客戶問：「太誇張了，那家的價格怎可這樣低?」，只能說，在面對五花八門的產品介紹、以價格導向為優勢的類似產品時，多數的IT主管往往會難以理性來判斷。

: 精品科技資安顧問陳伯榆; 2019/07/09

反覆紅隊測試強固企業資安

「紅隊測試」一書，隨著時間流轉以及新資訊技術應用，例如：AI人工智慧、風險數據分析、結合AI分析網路爬蟲、IoT資安議題、CII…等，更加彰顯企業或是組織紅藍對抗演練的必要性。企業在心態上必須調整，被攻破就積極改正，沒被攻破必須加以維持，深化紅藍對抗的不是競爭而是互助的出發點，才能建立正向企業資安文化。

資安稽核與IT部門關係不應該是緊張或攻防的，應大家齊心降低企業面臨未來內外部威脅。透過多維度的攻擊手法，在災害可控的驗證範疇下，檢驗企業與組織資安防護水平，及早發現資訊安全防護缺陷。

: 精品科技專案經理陳育徽; 2019/07/08

瀏覽器記錄取證與分析

不論您偏好的瀏覽器是什麼 - Chrome，Firefox，Safari，Internet Explorer或Edge - 瀏覽器不僅僅是搜尋應用程式和網站的工具，它也是個人和專業人士的潛在行為縮影。從駕駛習慣、工作時間、銀行賬戶和工作項目，到經常訪問的網站和餐館的記錄。執法人員長期以來一直認為瀏覽器記錄能夠提供重要訊息，一定也將其納入事件調查。在2009年，一位聲稱自己認為撞到鹿的加州投資銀行家，被判處三年徒刑。部分原因是事故之後，他的谷歌搜索內容包括“肇事逃逸”這個關鍵字，代表當事人當時是知情的。

: 精品科技專案經理陳育徽; 2019/07/08

反鑑識技術對鑑識調查的衝擊-應用於企業資訊保護

網路發達後電子犯罪很難被調查和成功起訴，主要是因為鑑識調查人員必須根據電腦系統裝置上，留下的人為操作所造成的跡證，來使的案件成立。但如今，撇除了大部分的跡證根本不在本地裝置；而人們也普遍了解數位取證程序方法和技術，多少會嘗試使用相對應的反制技術，盡可能有效地干擾調查程序。在許多情況下，這種對抗調查的技術似乎會使得鑑識取證變的過於昂貴，或者實行起來太過耗時。結果案件通常會不了了之被放棄。用於對抗 (付) 數位取證過程的方法統稱為反取證。

: 精品科技專案經理陳育徽; 2019/05/13

為何你仍然不願信任雲端?

現在有大量的應用程式和服務，依賴著雲端運算來存儲重要資訊和來自客戶的檔案，但一般大眾仍然無法完全信任雲端運算。例如，一個iPhone用戶可能不願意使用Apple的雲端備份服務來備份他們的重要信息；或者企業負責人可能會不願意在他們的工作上使用雲端解決方案。

表面上看起來這似乎不是個問題。畢竟，採不採用雲端解決方案是個人選擇；更重要的是對個人的資料使用和工作效益的影響。

: 精品科技資安顧問陳伯榆; 2019/05/07

「三個月更換一次密碼」反而是不安全的？

全球性的資料外洩事件仍頻發生，企業多上緊發條，重新審視企業內部資訊安全網的建立。企業資訊安全，不僅是企業主設備資金投入以及相關政策與規範的建立施行，「人」才是關鍵問題所在，因為光投入經費並不意味著企業內控100%的完善。人往往是最薄弱的包裝下破口，無心也罷或惡意不該都導致企業丟失高含金量資料。因此，本文將圍繞內部員工安全意識與培訓與大家分享討論。

: 精品科技技術服務黃粮皓; 2019/05/06

『DLP』與『DRM』該如何選擇？

在網路下載、上傳大容量檔案時間越來越短、行動設備儲存容量越來越大，企業的經營者務必要意識到『機密敏感的文件是否容易外流』，尤其是高科技業者對於此項議題應該早有防範及準備，但是對於尚未意識到的企業面對如此迅速變遷的科技該如何因應，我想大部分沒有經驗或不了解的企業可以透過系統經銷商的介紹，或者自行上網查詢應該都可以查到相關的產品，在我們常對客戶進行產品介紹時，往往發現客戶無法分辨『DLP』與『DRM』的差異，因此特別針對此議題解釋說明，DLP全名為資料外洩防護(Data Loss Prevention)DLP產品又分為多種，比如閘道型DLP、內容感知型DLP、端點型DLP，本文將以端點型DLP為主要說明對象。

: 精品科技稽核許樹龍; 2019/05/06

數位資訊應用趨勢與管理新思維

在新興資訊科技應用快速變化以及全球地球村化的發展下，企業被迫不斷地創新，以跳脫舊思維之營運框架，方能與時漸進。也因此企業應關注新興科技應用之最新變化以及國際相關法令規定之趨勢，以避免被淹沒在時代的洪流之下。

: 精品科技行銷部; 2019/04/11

【臺灣資安大會直擊】精品科技：高科技產業的內部威脅死角，可能就潛藏在研發用的端點電腦

出處：https://www.ithome.com.tw/news/129903

不少高科技企業對於機密的保護，可能會偏重於對外的防禦，而較輕忽研發單位的開發環境，精品科技資安顧問陳伯榆認為，如何保護開發用的端點電腦，免於成為資料外洩的管道，是現今企業需要特別正視的問題。

: 精品科技資安顧問陳伯榆; 2019/03/27

正面迎戰內部威脅，公司被害還是員工被駭?!

資料保護，攸關著企業或組織營運生存。企業營運或政府治理都會內外部角色組成，以企業來分析舉凡：業務、研發、財務、法務、稽核、MIS、資安…等，依公司規模有其部分差異。即便政府公務單位不同，在資安治理理念也是雷同。就資料外洩所帶來的損失是十分嚴重的課題。不論是企業或是政府，都需要建立從點(端點)到面(資安疆界)的整合性安全架構，來抑制著內外部威脅。

子分類

零信任