為了在當今市場中保持競爭力,企業使用與 Internet 相連的網路,為員工提供快速、有效的工具來完成工作。員工不僅能夠更有效地相互溝通,也可以接觸到世界各地的客戶。電腦網路的優點有很多;然而出現缺陷失敗卻可能是毀滅性的。為了應對IT架構快速變革的趨勢,資訊安全專業人員首要挑戰,便是將漏洞管理轉換為能夠應對風險的方案。ISO 27002 標準中將漏洞定義為"資產可以被一個或多個威脅利用的的弱點"。弱點管理是IT 系統中識別並評估這些漏洞可能的風險處理程序。如果確實施並定期進行檢討調整,依組織需求調整傳統管理模式,用現代方法進行漏洞管理。以下將討論實務可行的較佳解決方案。
Endpoint Detection and Response (EDR)多數應用在防毒防駭與惡意程序竊取層面上,甚至見到相關產品添加人工智慧(AI)雲端智能分析判讀技術。
「似乎完美但是仍有缺漏」
在近期我們會發現APT特定目標所訂製程序的攻擊行為,或是新穎的勒索惡意程式,仍在企業與政府組織中達成破壞竊取的目的。
一如往常的普通上班日,收到網管同仁通知,發現內部網路存在些許電腦主機,發生異常連線,懷疑可能遭到惡意程式入侵。老闆鑑於前陣子勒索軟體橫行,指示清查公司所有電腦,確認是否受害? 身為專業的安管人員,你迅速的展開調查行動。
在進行清查行動前,必須先收集可用資訊,縮小調查範圍。網管同仁是由檢查防火牆記錄而發現,向其取得記錄並找出可疑對象。
在這個資訊科技發展快速的時代,我們常在新聞上看到例如某大廠的重要職務員工,跳槽到大陸競業對手當高階主管;隨之而來的就是後續出現產品相仿,進而控告跳槽離職員工的消息。受僱員工領公司的薪水並利用公司資源(如電腦),創作軟體、硬體、出版品等作品,這些創作的著作財產權歸誰所有?若都歸員工所有,老闆們還會願意出資進行研發工作嗎?
許多高科技廠基於許多員工洩密、跳槽至敵對公司造成重大損失的前車之鑑,對於打擊類似行為絕不手軟。為防止技術與營業祕密外洩,做足了事前準備工作,對內的資訊管理措施上,也有更嚴格的控管機制,如訪客及員工都不能攜帶具有照相功能的手機。而訪客拜會時,所攜帶的筆電則是用易碎貼紙封閉所有可能傳輸資料的插槽,藉此阻斷任何資料外洩機會。
您是否有這樣的經驗,參加某些特定活動卻因您的姓名不在清單中,而無法參加?也許僅是忘記報名這次活動;還是報了名,但因為不是活動行銷對象, 特別被排除而無法參加。以上兩個原因不同,但可能結果雷同。這案例在概念上與應用程式白名單非常相似,無法參加是因為沒有註冊;這個清單就是所謂的白名單,上面包含了使用者可否參加及可以參與的活動內容。
出處 iThome https://www.ithome.com.tw/news/133168
今年的國際半導體展(SEMICON)中,首度出現了專門探討資安標準的座談會,工作小組成員揭露他們計畫即將於年底擬定草案,讓全球協會會員投票,為此,他們需要更多國內業界的專家,投入有關工作
控制設備上的安全防護通常是被忽略的一環,也是最無計可施的對象。由於IT與IoT先天工作環境與營運目標的差異,對半導體產業而言,無法直接適用PC 上所提供的工具及解決方案。通常廠房購置的特殊生產設備,為降低在運作過程中,受到外在因素干擾的可能性,供應商大多不願意在設備上,安裝安全防護之類的軟體。再加上運作環境封閉,作業系統及防毒軟體等,無法即時更新修補和升級。綜合以上原因,使得這些設備存在著各種未修正弱點於一身。當然,這些設備的設計目標都是為了生產力,重視的技術指標當然是效能與正確性,資安防護這方面往往不會被重視。
Office 365 企業版(下簡稱O365)環境有許多應用功能與便利性,但是在一個重視智財與營業秘密的企業來說,O365許多便利渠道,反而可以更容易脫離公司管控,將機密資料外溢到非公司管控的裝置與競爭對手。另一角度來思考,也不能因為這樣的風險,就永遠禁用或迴避不用O365。反觀從微軟發展 O365脈絡來看,早晚必須面對與使用,應在便利與安全的槓桿下,取得一個平衡。
根據台灣業者互動資通所發布的【台灣千大企業行動即時通訊調查】顯示,當前的即時通訊軟體,在企業內部被使用最多的是Line與Skype,其比例達到六成。然而資安系統提供的即時通訊軟體訊息側錄,卻可能由老闆或資安系統管理員調閱記錄,導致無意或有意間侵犯同仁的隱私。在這之前,還有側錄IM訊息記錄這件事的合法性也要先行克服,例如規範公用、私人帳號分開,公務裝置不得處理私人事務等。因即時通訊記錄的特性,可能直接牽涉不知情的第三方;其爭議性遠比其他電腦記錄來的大,而且可能導致嚴重法律問題。
出處:DIGITIMES企劃 https://www.digitimes.com.tw/iot/article.asp?cat=130&cat1=40&cat2=50&id=0000566822_BPD7CAO13W7O5J1QY1YG1
任誰都不能否認,強大的資安是IIoT的基本要求;在此前提下,工業物聯網聯盟(IIC)提出工業網際網路安全框架(IISF),其中蘊含15層架構,裡頭的「研發程式防禦竊取」、「資料安全保護」、「使用環境安全管控」及「開發環境的防護」,皆攸關營業秘密的保護;若企業未做好這些事情,可能出現研發人員帶槍投靠敵營、出貨的機台系統遭人逆向工程等悲劇。
電腦上的資料檔案,相信不論是透過何種軟體產出的,都是公司重要的智慧資產。為了避免員工將重要的電子檔案有意或無意的流出,如何保護與記錄使用電子檔案的使用過程,將是未來舉證的重點。舉例來說,在微軟Microsoft的作業系統平台,若要將電子檔案進行搬移,使用者除了可以透過Windows檔案總管(Windows Explorer)外,更能利用命令提示字元DOS Command或PowerShell來進行新增、刪除、修改、複製檔案。
精品科技X-FORT針對各種方式操作本機檔案,包含寫出至各種內接式儲存媒體(SSD、HDD)、外接式儲存媒體(SSD、HDD、USB、SD),以及透過軟體另存至雲端,都有嚴格控管機制與詳實的記錄。
出處:DIGITIMES企劃 https://www.digitimes.com.tw/iot/article.asp?cat=130&cat1=40&cat2=10&id=564414
無庸置疑,對於IC設計、設備機台製造商、工業控制電腦...等等各類型智慧製造業者來說,智慧財產正是公司永續發展的最大命脈,如何守護這條命脈,可謂至關重大。無奈的是,儘管企業費心建立一道道防護堡壘,在未充分掌握研發與IT整合環境下,依然難以完全遏阻資料外洩的情事,讓管理階層不禁納悶,背後真相究竟為何?
精品科技資安顧問陳伯榆點出第一個可能的破口,便是研發部門,也是公司最難管理的一環。研發創造企業利潤,亦利用自身技術建立自己對研發資料管理應用的手段,往往這些手段是IT與稽核不易發現掌握的。他指出研發人員經常需要連結GitHub,下載可用的程式碼資源進行修改或上傳,此乃不可避免之事,而公司為防止研發同仁順勢把程式碼上傳GitHub,多已設立一些防護措施,透過MIS設計防火牆規則,只允許從GitHub下載檔案,至於像是PUT、POST或TLS2等上傳結構則完全封鎖,研發同仁僅能利用內部落地Git或SVN伺服器留存開發成果。
軟體資產管理(SAM)使組織能夠從授權合規性,和財務角度控制其軟體資產。麥肯錫和Sand-Hill集團估計,30%或更多的IT預算是由軟體授權和維護成本所消耗的。同樣重要的是有效管理IT產業的技術及管理工具,既要發現安裝了哪些硬體和軟體,又要有能力全面控制IT資源。
軟體資源管理面臨問題:
軟體資產管理的範疇包含了採購管理、資產盤點、授權管理(SLM)、資源分配、修補更新管理等。其中授權管理的財務與法律風險最高,需要採取精確的管理方法來控制。
威脅建模(STRIDE):透過站在「攻擊者或是竊取者一樣的思路」以結構化的方法以及系統的識別,來評估產品、資訊系統或內部竊取的風險和威脅。針對這些風險與威脅,制定消除(減)措施的建模手段。建議再搭配ATT&CK 的12項元素(界定在APT3.0的技術元素),若仔細分析,可以發現可是更細膩STRIDE可以形成更完善的威脅建模,更可用在Hacking 行為、Insider Threat、以及Malware APT防護上。
威脅建模可以在產品設計階段、架構評審階段或產品運行時展開,強迫我們站在攻擊者的角度去評估產品的安全性與防禦有效性,分析產品或是系統中每個元件是否可能被篡改、偽造,是否可能會造成資訊洩露、遭受攻擊。威脅建模的作用更偏向於確保產品架構、功能設計的安全,無法保證編碼的安全,但是輸出的威脅建模報告中包含了全面的安全需求,這些安全需求不僅包括大的方案設計,如要身分認證(Authentication)、取得授權 (Authorization)、稽核(Auditing),也可以包括安全細節的實現,採用具體的驗證方式、密碼使用安全的演算法儲存、生成安全亂數等。所以,威脅建模雖不能保證Encoding的安全,但可指引R&D編寫出安全的代碼,並輔助滲透測試的展開工作。
「快一點報價!我真的很想早一點把原有系統換掉!」
「你們系統隨機調查控管效果不確實的機率會不會很高?」
「你們系統會不會給錯政策,A使用者卻拿到B使用者的?」
最近走訪企業客戶做產品介紹時,我們很訝異地,客戶詢問了上述的問題。
對已導入其他資產、資安系統的企業,我們能清楚體會到IT主管的焦慮感;
對未導入資安系統客戶問:「太誇張了,那家的價格怎可這樣低?」,只能說,在面對五花八門的產品介紹、以價格導向為優勢的類似產品時,多數的IT主管往往會難以理性來判斷。
「紅隊測試」一書,隨著時間流轉以及新資訊技術應用,例如:AI人工智慧、風險數據分析、結合AI分析網路爬蟲、IoT資安議題、CII…等,更加彰顯企業或是組織紅藍對抗演練的必要性。企業在心態上必須調整,被攻破就積極改正,沒被攻破必須加以維持,深化紅藍對抗的不是競爭而是互助的出發點,才能建立正向企業資安文化。
資安稽核與IT部門關係不應該是緊張或攻防的,應大家齊心降低企業面臨未來內外部威脅。透過多維度的攻擊手法,在災害可控的驗證範疇下,檢驗企業與組織資安防護水平,及早發現資訊安全防護缺陷。
不論您偏好的瀏覽器是什麼 - Chrome,Firefox,Safari,Internet Explorer或Edge - 瀏覽器不僅僅是搜尋應用程式和網站的工具,它也是個人和專業人士的潛在行為縮影。從駕駛習慣、工作時間、銀行賬戶和工作項目,到經常訪問的網站和餐館的記錄。執法人員長期以來一直認為瀏覽器記錄能夠提供重要訊息,一定也將其納入事件調查。在2009年,一位聲稱自己認為撞到鹿的加州投資銀行家,被判處三年徒刑 。 部分原因是事故之後,他的谷歌搜索內容包括“肇事逃逸”這個關鍵字,代表當事人當時是知情的。
網路發達後電子犯罪很難被調查和成功起訴,主要是因為鑑識調查人員必須根據電腦系統裝置上,留下的人為操作所造成的跡證,來使的案件成立。但如今,撇除了大部分的跡證根本不在本地裝置;而人們也普遍了解數位取證程序方法和技術,多少會嘗試使用相對應的反制技術,盡可能有效地干擾調查程序。在許多情況下,這種對抗調查的技術似乎會使得鑑識取證變的過於昂貴,或者實行起來太過耗時。結果案件通常會不了了之被放棄。用於對抗 (付) 數位取證過程的方法統稱為反取證。
現在有大量的應用程式和服務,依賴著雲端運算來存儲重要資訊和來自客戶的檔案,但一般大眾仍然無法完全信任雲端運算。例如,一個iPhone用戶可能不願意使用Apple的雲端備份服務來備份他們的重要信息;或者企業負責人可能會不願意在他們的工作上使用雲端解決方案。
表面上看起來這似乎不是個問題。畢竟,採不採用雲端解決方案是個人選擇;更重要的是對個人的資料使用和工作效益的影響。
