Windows PowerShell或是CMD讓管理者可以在Local或是Remote進行系統層、網路層、應用程式層、檔案的操作管理。也深深吸引駭客或是資料竊取者的關注與使用。孰不知多數一般使用者常常忽略它的風險,即便市場上不少End-Point DLP設計也很難有效管控與記錄相關軌跡,如果竊取者進一步利用PowerShell來包覆相關指令或應用程式,又可以達到隱蔽軌跡與清除軌跡的效果。不得不正視這類攻擊入侵應用。
首先先歸納出那些資安功能大類是內部需要的,大致上可先把DLP產品分為本機操作、上網行為、軟體控管、資產管理、遠端控管。
如公司內大多使用NB,並多數員工可能將電腦帶回家或攜出公司使用,本機的控管就很重要,為了防止員工在外將資料任意寫出,可以透過連線/離線設定不同政策,限縮離開公司後的政策,達到雙重政策管控的效果。
如公司工作型態須要透過大量的網路,需要上網查資料、透過IM軟體與客戶溝通,並沒有限制員工的上網行為,但限縮上傳資料的檔案容量、記錄一些上傳到外的資料,就顯得格外重要。先確認想要控管的標的,再來研究各個資安廠商所提供的功能,搭配內部策略,才能發揮最大功效。
5月中旬,勒索蠕蟲肆虐全球,受災戶不計其數。WannaCry所修改的攻擊素材(shellcode)源自NSA外洩的「武器庫」中選出。進一步深入分析,這些資訊戰武器又與知名駭客團隊「方程式組織」(Equation Group)有關。WannaCry只是個開端,加上近期所出現EternalRocks,亦出於同源。反觀NSA與最近CIA外洩的資訊武器,一旦陸續投放到市場,勢必掀起一波波驚濤駭浪。
精品科技資安顧問兼資訊安全部經理陳伯榆認為,2017年最值得提防的資安威脅,便是漏洞資訊武器攻擊行為的擴大與變形,這些資訊武器就像「潘朵拉的盒子」(Pandora's box)造成嚴重的傷害。
換角度度思考,WannaCry案例,可謂是「灰犀牛」加「黑天鵝」的綜合體。在「灰犀牛」本質上,已是人們熟知的資訊勒索行為,缺乏警覺而誤以為是上網或郵件感染的傳統套路;很不幸的WannaCry藉由自動掃描445埠、主動針對既有漏洞入侵植入後進行加密。這種新穎的攻擊手法,卻像「黑天鵝」模式讓人驚奇,並造成企業與政府單位措手不及。可預見「灰犀牛」加「黑天鵝」的綜合體將成為常態攻擊模式。
不是間諜電影情節,卻是在日常生活作息的疏忽中,對企業組織所產生風險與資安事件。有幾個經典案例,以色列國防軍人事部門負責人家中一台軍方電腦被盜;愛丁堡海浪發電系統公司多台電腦被偷走,海浪發電資料外洩;以及電玩迷關注Razer three-screened laptops 原型展示機被竊…等,都導致人員資料、技術研發資料外流,甚至更大商業利益損失。
其實在日常生活中,有許多電腦攜帶或使用習慣的安全問題,被使用者輕忽。筆者想在本篇文章中重新建構出,安全使用模式,透過「實體安全保護」面向以及電腦「內部資料安全」破壞勒索竊取保護角度著手分析。
在講求訊息自由的時代,網路監控一直是科層組織試圖掌控訊息重要手段,於是陸續產出抗衡監控體制的網路媒介來迴避訊息檢查與管控。可是濫用「訊息自由」的光環,匿名網路反而成為資料竊取銷贓、毒品槍枝銷售、甚至是商業間諜…等不當網路惡意行為的保護傘。在企業或政府組織內部,屬於公務領域資料,也因為匿名網路的濫用,讓機敏資料外洩。所以強化公務領域對於匿名網路的管控,成為一種必要的作為。
對「親密近身」的駭客行為來說,找尋一個簡易且具備多面向入侵竊取技術,兼具迴避安全偵測技術,是一種簡易間諜行為。隨著IoT微型裝置的普及,可以隱匿在各個角落進行竊取。為何重視這樣的資安問題,可以順著以下幾則情境,檢視我們應該重視的理由。或許大多人會認為這不就是USB裝置嗎?其實是有很大差異的。
在討論「匿名網路」(Anonymity Network)前,這裡所界定的範圍較廣,除了真正的「匿名網路」(Anonymity Network),還包含「類」匿名網路架構。從公共政策論述與資訊開放的角度,「匿名網路」(Anonymity Network)確實提供一個「安全區域」來傳遞特殊資料與發佈敏感訊息。它成為對抗科層體制(Bureaucracy)重要的安全媒介。以大家所熟悉的「維基解密」就是一項「匿名網路」活動後的產物。「科層」二字多用在經濟學與政治學上,字義雖比較負面,卻也真實體現與解釋現在政府與企業組織結構。
勒索軟體為惡意程式的一種,其目的在於先造成受害者的電腦無法開啟檔案或磁碟(被加密),造成資料損失、影響作業,事後再向受害者進行索求比特幣,但是受害者即使付了贖金,也不一定能得到解密的工具。
隨著駭客入侵的技術越來越高段,資訊安全系統會更為複雜。資訊安全系統必須與現實狀況充分結合。資訊技術被廣泛的應用,而資訊技術本身是中性的角色,所以資訊安全事件的發生取決於人使用資訊技術的目的。安全的使用創造公司的利潤;可是惡意的使用將造成營運的困境與風險。我在資訊安全軟體研發公司服務,公司更為重視資訊安全管理制度的落實。透過導入了ISO 27001資訊安全管理系統認證,公司逐年調整與降低資訊安全風險,搭配ISMS PDCA架構,強化了公司資訊安全防護的體質。在2016年公司指派受訓,讓我充分理解實務與技巧性的應用ISMS。
大數據分析透過Machine Learning朝向自動化分析,也將會重繪資訊安全、技術發展、人力資源、社會階層、以至新興戰爭型態。在大演算法一書中,提出自動作業將會取代多數工作,而「智人」(Homo Sapiens)將是管控自動化核心角色。簡言之,在演算法下新自動分析將影響未來人類生活。
國內企業或政府機關,經常發生遭受APT攻擊、釣魚程式、勒索軟體攻擊,或發生有心人士竊取營業密秘資料等資安事件。所使用的資訊裝置,從Desktop、NB、平板電腦到智慧型手機都有。若以被勒索軟體綁架電腦資料為例,它綁架電腦裡的資料,例如圖片、機密資料、重要設計圖、苦心研發出來的程式…等,贖回一台的代價至少台幣7萬元起跳,比電腦本身還要貴。由此可見,在數位國土上,每個人都要具備安全意識觀念,並採取實際行動進行資安防護,就像騎車要戴安全帽一樣,降低事故風險,保障安全。並且,更需要訂定相關資安的法條,供各界遵循,以求放諸四海而皆準,以期降低並防範相關之資安風險,是一重要之課題。
根據世界經濟論壇2016風險報告書,數據竊取與造假及網路攻擊,將是未來10年特別需要注意的風險,精品科技資安顧問兼資安部經理陳伯榆指出,企業應該強化資安數據鑑識,建立企業新風險防禦機制。
陳伯榆認為,資安應該要將「實體」做為分析中重要的一環,進化到User and Entity Behavior Analytics(UEBA),掌握使用者與其接觸的實體(Entity)之間的關聯,注意Endpoint、Network及Application三者之間形成的緊密關係,不能只是記錄單一行為或面向,而是要做大規模的資料分析,了解之間的關聯,以求能夠更精確找到異常事件。
讓我們重新審視公務電腦防護管理,在DLP發展過程中,聚焦在裝置管理、網路應用、檔案保護...等核心議題。看似完美的DLP防護架構,卻不能忽略硬碟加密防護的程序。我們可以從Global Data Leakage Report, H1 2016報告書發現「設備丟失/被盜」(Equipment loss/theft)不論是故意或是偶發事件佔有一定比例(1.92%),看似微量的比例,其傷害卻是佔前五名。必須把這塊拼圖組成,才是完善的資料防護措施。
微軟在結束Windows 10的免費更新後,自2016/8/2 起便開始推送 Windows 10 的週年更新,Windows 10 的週年更新不僅僅增加了許多新功能,卻也因為是重大更新的版本,相對衍生了升級前須特別注意的事項。接下來,就分別來說明注意事項與新功能吧!
首先,相信SSD的應用已普及於個人電腦與企業電腦當中,為了兼顧效能與性能,多數人都會將作業系統安裝於SSD,而將APP與資料放置於傳統硬碟中。在這樣的情境下,進行Windows 10 的週年更新時,就有可能發生「系統凍結(freeze)」的問題,可能會產生操作沒有反應,通知不消失,開始螢幕變黑色的情況。而該狀況也獲得微軟官方證實,雖然仍在找相關的解決辦法,但微軟也先提出了兩項臨時方式:
這個題目的選定左思右想花了不少時間,因為Pokémon Go創造許多驚奇的現象。筆者想與大家分享一些資訊,關於Pokémon Go的「安全」議題與相關風險。
筆者共準備五個「在地」獨立帳號作為Pokémon Go使用。目前只剩下兩個帳號「合理」正常使用。設定在(1) 獨立門號;(2) 一組紐西蘭與一組美國的Gmail帳號;(2) 無照片;(3) 無資料或是隱私資訊;(4) 不使用信用卡付款,改採電信公司付款(唯一有風險之處);(5) 不在半夜擾人清夢;(6) 關閉AR;(7) 擁有地利之便的新竹南寮,利用每晚散步運動與假日城市(台北信義區)之旅,完成我的Pokémon Go遊戲寶貝蒐集。
在談論主題前,筆者先從近期很熱門一部電影Jason Bourne,「被入侵下載的檔案,CIA網路部門主管【反】入侵方式植入另一組惡意程式…」來當本文的「起始式」。話說早先Snowden事件,到Hacking Team入侵工具與政府交易記錄公開後,大概就屬這則新聞最讓人驚悚。
SQL Server 問世至今已達27個年頭。自從微軟在2015年5月開放SQL Server 2016公開預覽版讓外部使用者體驗,經過了一整年的醞釀,終於在2016年6月1日正式上發行了!
SQL Server 2016 推出了四個版本:
大數據(Big Data)是眾多科技發展很夯的議題之一,也特別去界定或形塑出大數據的具備的條件,例如:Big Data 4V:容量(Volume)要夠大、產出處理資料速度(Velocity)要夠大夠快、資料要具備多樣性(Variety)及資料本體被分析是具有價值的(Value);而Big Data 5V 則是增加Veracity,也就是資料分析具備精準性。
在2015年9月,Gartner提出User and Entity Behavior Analytics(UEBA),據此重新定義企業資訊安全,強調展望今後應以使用者核心,分析其與電腦、應用程式與網路等「實體」之間關聯性,以期精準而快速挖掘異常事件,並針對箇中威脅施以必要防護,不再一味沿襲過往費時建模與分析的低效模式。
精品科技資安顧問及資訊安全部經理陳伯榆強調,UEBA訴諸效率、準確與標靶等三大特色,一來較安全性資訊與事件管理(SIEM)系統或其他方案具備更佳效率,二來以極高準確率解決企業長久來資安問題,再者透過大規模行為數據分析,標靶出風險。
精品科技X-FORT電子資料防護系統研發超過10年,擁有各種控管與使用者操作記錄,包含上網、軟體使用率、檔案寫出、網路芳鄰操作、列印、軟硬體資產等40多種資訊安全記錄。
透過所收集累積的資訊安全大數據,可以針對「電腦運作」或「人為的操作」清楚過濾及分析出「工作脈絡與異常行為」。舉例來說,透過電腦登入登出記錄,分析出一個員工合理電腦使用時間,進一步透過軟體使用分析,再搭配時段分析,可以輕易發現異常的電腦使用。從使用者上網行為,可以分析出是工作所需,亦或是做為其他用途;再透過進一步數據分析網站類型,找出過量不宜的網站瀏覽行為進行必要關懷。
