在網路下載、上傳大容量檔案時間越來越短、行動設備儲存容量越來越大,企業的經營者務必要意識到『機密敏感的文件是否容易外流』,尤其是高科技業者對於此項議題應該早有防範及準備,但是對於尚未意識到的企業面對如此迅速變遷的科技該如何因應,我想大部分沒有經驗或不了解的企業可以透過系統經銷商的介紹,或者自行上網查詢應該都可以查到相關的產品,在我們常對客戶進行產品介紹時,往往發現客戶無法分辨『DLP』與『DRM』的差異,因此特別針對此議題解釋說明,DLP全名為資料外洩防護(Data Loss Prevention)DLP產品又分為多種,比如閘道型DLP、內容感知型DLP、端點型DLP,本文將以端點型DLP為主要說明對象。
在新興資訊科技應用快速變化以及全球地球村化的發展下,企業被迫不斷地創新,以跳脫舊思維之營運框架,方能與時漸進。也因此企業應關注新興科技應用之最新變化以及國際相關法令規定之趨勢,以避免被淹沒在時代的洪流之下。
出處:https://www.ithome.com.tw/news/129903
不少高科技企業對於機密的保護,可能會偏重於對外的防禦,而較輕忽研發單位的開發環境,精品科技資安顧問陳伯榆認為,如何保護開發用的端點電腦,免於成為資料外洩的管道,是現今企業需要特別正視的問題。
資料保護,攸關著企業或組織營運生存。企業營運或政府治理都會內外部角色組成,以企業來分析舉凡:業務、研發、財務、法務、稽核、MIS、資安…等,依公司規模有其部分差異。即便政府公務單位不同,在資安治理理念也是雷同。就資料外洩所帶來的損失是十分嚴重的課題。不論是企業或是政府,都需要建立從點(端點)到面(資安疆界)的整合性安全架構,來抑制著內外部威脅。
根據統計大部分的企業資料外洩都是由內部員工有意或無意外洩導致企業蒙受金錢與公司信用損失,從報章雜誌、媒體報導常可看見XX公司機密外洩經查為前離職員工刻意所為…諸如此類的報導近年來常常出現,沒有被報導曝光的案件相信一定更多,每年企業損失的金額更是以數十億來計算,企業內部資安這個議題其實已經存在已久,接觸這塊領域多年還是有頗多企業尚未導入內部資安系統,有些是沒有正視機密資料的安全等到機密資料外洩,才考慮導入相關政策或產品,有些是正視內部資安問題但是不知如何著手,以上都是常見到的情況。
根據《哈佛商業評論》表示:「比起外部駭客,內部人員更可造成嚴重的危害,這是因為他們可以合法地存取系統,而且接觸系統的機會也更多。內部人員可造成的危害包括中斷營運、智慧財產遭竊、損害商譽、降低投資人與客戶信心,以及將敏感資料洩漏給第三方(包括媒體)。」偵測並且削減內部威脅,特別是當我們討論到敏感資訊和大型資料儲存媒體(如資料庫,大數據系統和檔案伺服器)時,就需要深入了解用戶工作活動以及他們如何使用企業資料。
Alternate Data Streams,簡稱ADS,也就是「NTFS交換資料流程」。在本篇文章中將不探討利用ADS來隱藏掛載惡意程序的使用方式,專注在內部威脅竊取的手段與防守。雖然在資安CTF是常見試題,在本文將應用在Insider Threat。
早期企業控制流程的設計主要在書面文件的傳遞與人員組織文化的管理。約略在20、30年前,電腦設備開始陸續被企業組織使用,這時多用於文書處理、ERP系統使用、資料儲存…等,同時也發展了部分資訊相關管理的控制作業。
然而,在資訊科技快速創新發展的時代,各個公司組織已於營運過程廣泛地運用新興科技技術來協助內外部作業流程運作、大量且快速的資料交換與儲存管理,早已讓企業資訊安全管理升級至另一個層次,而來自公司組織內部的威脅已是目前主流的資安議題之一。
關於Forget Killer Robots: Autonomous Weapons Are Already Online (忘記殺手機器人:自主武器已經在線),其實主要在探討AI自主武器問題,該文章點破一個十分重要事實,所謂AI自主武器已經在Cyberspace廣泛應用,唯一的差異就是沒有實際應用在殺害人命層面。因為「intelligent autonomous agents」的惡意程式或行為用在竊取人的相關數據已經存在,且越形成熟,數量也逐漸增加。
今日網際網路上的資安風險日益嚴重,出現了許多以社交工程為名來引誘使用者連結的惡意網站或者E-Mail夾帶惡意文件與程式,偽裝成合法的信件內容造成資安意識薄弱的使用者莫大的損失。這樣惡意連結就有如包覆著美麗糖衣的毒品般,內容會是讓使用者心動或是在意的事情,當使用者點擊後,就會造成電腦中毒、資料外洩等等。以下將會分享一個實際的案例,來提醒公司內員工或是親人對於來路不明的數位內容提高警覺。
在本文中,將了解採證數位證據中的證物保管鍊及其維護方式,還將討論證物保管鍊的過程以及維護它的重要性。證物保管鍊原文為“Chain of Custody”,具備監督監視與保管的用意,主要確保從取證到被法庭採用,一連串的過程都符合法律規定,中間沒有被置換、掉包、修改、破壞…等的情事發生。基於數位證據收集的獨特性質,我們還需要討論一些特殊的考慮因素。
SANS 10月份受資策會邀請,在台北舉辦數位鑑識講座。由Philip Hagen主講,題目Convergence Forensics: Leveraging Multiple Skills to Analyze Evidence.。
主講者本身從事鑑識工作多年,現在管理美國國家安全部門的85名數位鑑識專業的團隊,並為執法部門,政府和商業客戶提供法證諮詢服務。有很多經驗發展出了實務技巧與觀念。
鑑識的目的最終有很大的比例是為了「訴訟」,本身鑑識活動也需要耗費相當的人力時間及其他資源。也許有可能是為了研究惡意程式的攻擊行為,以防範未然,據以提升防禦策略等。惡意程式行為有很大的機會找出來源,但因為其行為是非特定可識別的群體,最後很可能無法追究。人的電腦使用行為記錄,相較之下,被定案可能性就高了一些。
企業無可避免的資安管理責任,談資通安全管理法
在面臨瞬息萬變的資安危脅下,每天都有無數的資安事件在發生,企業內部的資安防護是否完善,以及資安管理政策是否健全,已經是當今企業關注的重要議題,甫於十月初結束的台灣資安通報應變年會,藉由國內外知名資安專家學者的對話,讓與會者了解如何解決企業內部目前所面臨的資安問題。
今年五月資通安全管理法已於立法院三讀通過,從政府到企業單位所面臨組織單位的資料保護需求越來越重視,為了將防護措施布局妥當,避免因非法使用與破壞行為等因素造成的資安漏洞,企業必須有相對應的資安防護措施,才能將影響降至最低。
工業控制電腦(ICS)與機台銜接,對企業來說是至關重要的生財工具,更是操作人員與機台的重要介面。即便在人工智慧與工業4.0環境中,ICS更是數據創造者,透過收集的數據,創造最大利潤與提高整體產線良率的重要關鍵。當然ICS也扮演著端點裝置的角色。從T公司的資安新聞事件中,不論真實呈現如何!!已經揭露了ICS工控端點的資安風險問題,值得我們深思的探討。許多廠區無法拍照且封閉,對資安產業來說,更是難以一窺其真實樣貌 (註:資安的管控許流程與系統網路結構相關,不能只從端點角度思考,太過狹隘。)所以本文將以「淺談」角度來勾勒目前看到的普遍問題。
企業無可避免的資安管理責任,談資通安全管理法
在面臨瞬息萬變的資安危脅下,每天都有無數的資安事件在發生,企業內部的資安防護是否完善,以及資安管理政策是否健全,已經是當今企業關注的重要議題,甫於十月初結束的台灣資安通報應變年會,藉由國內外知名資安專家學者的對話,讓與會者了解如何解決企業內部目前所面臨的資安問題。
過去的資訊安全觀念著重在抵禦外侮,所以像防火牆、防毒這一段的建設與安全意識,都已趨近完備。在這樣的大環境下,老實說,單單靠強力入侵,直接破門闖入這種方式,顯然機會微乎其微。而近期被注意到的內部威脅,其實也不算新觀念;2006年業界已經出現Data Loss Prevention 的商品在市場上。按照SANS 跟 Gartner 的定義的DLP 是要能夠辨識過濾資料內容,加以適當處置。這不難理解,因為Prevention 的確要識別出才能達成。但那真的適合或者一定要內容辨識嗎?這必須按照實際營運內容分析,不一定全非得如此。
二個月前老客戶A表示,其主管電腦遭偽造Email,不法者欲藉以騙取廠商貨款一事,盼能協助調查。當我們前往定期檢查協助時,才發現之前並未對該主管套用的政策啟動有效記錄,此時遇到資安問題,就很難分析判斷。
這說明了即使有對的資安工具,還須搭配適當的管理政策,才是真正有效的運用。而這也是很多客戶在資安政策上的常見作法,對主管不予控管,也不予記錄,對公司而言,遇事將無法舉證、自保。論漏洞,高階主管可能比較低,而一旦產生風險卻有可能比一般員工高上許多,不得不慎。
歐盟GDPR 燃燒沸騰一段時間後,似乎又趨於冷卻。原因是目前GDPR鎖定目標都還在大型企業集團或大型網路服務業,如:facebook, google…等訴訟,還無心力來關注其他。
所以相對不積極了,這樣想法是一種賭徒性格,但罰則太過嚴厲,誰知道會不會發生在企業身上,所以企業主還是需要審慎待之。平心而論,如果你讀完GDPR法條,再去回想台灣個資法,其實有不少設計模式與台灣個資法部分雷同。可是因為在台灣個資法就不積極落實,當你是一個與歐盟密切商業往來的企業,認真看待GDPR時,就會發現要把先前不重視的台灣個資法也需要一併補齊。因為GDPR又比台灣個資法更為嚴格。
現階段企業的資訊安全可以分為兩種,一種是防禦外部入侵的資安系統,一種是防止內部資料外洩的資安系統,本文所提到的資安產品將會著重在「防止內部資料外洩」為主。
買資安產品等於買保險嗎?這就要從買保險的用意講起,如果以人身保險來說,我們會買商業的人身保險,是因為我們無法預測未來是否會發生意外或生大病,所以我們會買保險。但是保險所繳的費用有可能是拿不回來的,如果我們都沒發生任何意外或生大病的話,那麼保險就是一定得要「被保險人」本身發生了意外或生病才可拿到相關的理賠費用。當然我們都不希望發生這些事情,只是我們不是神,買保險只是以防萬一而已,也不是說我買了保險就不會發生意外或生病,可以為所欲為的不注意交通安全,每天亂吃垃圾食物導致身體病變,正常來說保險也可能讓我們比較注意平常的生活安全及飲食,儘量讓我們不會發生保險所保之事。
程式碼對軟體開發公司是寶貴的資源,同時也使用版本控管軟體及存放程式碼及相關資料在Server上,且是以明文的格式,才能作比對版本歷史的功能,無法使用加密方式存放;此外在開發編譯的過程中,也需保持明文來進行編譯和修改。但明文的程式碼,也很容易就被使用者外洩、竊取,造成公司莫大的損失。因此對以上狀況,是最讓軟體開發公司感到困擾的問題。
