FineArt News

資安新知

2015資安事件分析及預防方法

 

近年來,許多企業資料外洩事件頻傳,不外乎就是,人為疏失、意外、內賊竊取、駭客入侵,一般企業主等到事情發生之後再來重視資訊安全議題,發生之後可能造成無法挽救的局面。提早預防勝過事後彌補,在職員工難免都會接觸到營業機密資料,而最近大部分發生資安事件,都是由公司高層主管或公司員工將重要機密竊取出去,導致企業損失重大,也成了企業主一大威脅,以下整理了最近的案例,精品可以有效幫助企業解決資安外洩問題,我們精品科技要如何針對資訊安全議題做預防呢?

Windows 10為企業所帶來的資安防護網

 

現今的社會,儼然已轉變為雲端至上、行動優先的世界。在這樣浪潮中,企業開始鼓勵員工利用各類型裝置連網工作,無論是筆記型電腦、自攜裝置 (BYOD)、物聯網裝置等設備,皆已能實現行動工作室的新樣貌,雖可提高員工工作效率與專業價值;但同時卻也增加企業內部資訊安全及員工個人資訊暴露的風險。

智慧聯網下企業資訊安全防護分析

企業資料安全在傳統框架下,不外乎企業個人電腦資料、企業檔案伺服器、網路使用安全、儲存裝置使用安全、檔案操作記錄、檔案加密保護…等。擴大到新技術應用導入後,所產生的相關風險及防護,就會關注到企業應用伺服器資料安全保護、勒索軟體防護對策、雲端儲存管控、以及企業個人電腦與伺服器資料交換…等安全議題。反觀,雲端應用服務以及智慧聯網環境逐漸成熟後,當智慧聯網與企業資訊安全防護,兩者碰撞後,是否有了新的資訊安全風險或是管控機制,應該是企業組織必須及早關注的。

當資安的軌跡記錄與數據自動分析結合才有新意

要如何讓資訊安全的行為軌跡記錄會更即時更有效,在關鍵時刻反饋到公司安全治理(Governance)及風險預警上。讓各類難以解讀的軌跡記錄轉化成可以被分析的數據,並呈現具體警示和及時攔阻某些資訊安全行為。此時大家都會想到大數據的四個或五個V 的概念 ,筆者並不想放大「大數據」的傳奇,反而想回歸傳統數據分析,不是呈現是美麗的動態圖表,而是一種有意義的資訊安全趨勢建議。

一個不遠的未來犯罪與新分析典範

筆者在手邊有兩本正在閱讀中的書,分別是:(1) Future Crimes:everything is connected, everything is vulnerable, and what we can do about it. 作者Marc Goodman,(未來的犯罪);(2) The Silo Effect: The Peril of Expertise and the Promise of Breaking Down Barriers.(穀倉效應)作者是Gillian Tett。主題看似不太相干的書,歸納兩本書內容,其論述內容卻綁著資訊安全意涵,筆者認為就是「犯罪手法開始出現典範轉移,打破傳統資料分析典範,找出新典範新分析手段,達成抑制解決問題的最終手段。」

端點資安+資產,還缺了什麼? 有端點備份才夠看

一、由「2016年高雄美濃地震」事件,談談主動、被動安全。

2016年高雄美濃地震,發生於農曆年前的小年夜,是1999年921集集大地震以來傷亡最嚴重的地震。而維冠金龍大樓的倒塌,造成臺灣有史以來最多人因單一建築物倒塌而罹難(共計115人死亡)的記錄。這場地震,也突顯建築物以及相關法規的安全問題。

伺服器與終端雙層管控,嚴防機密資料外洩

近年來,外在受到紅潮併購與高科技人才挖角海外,台灣內部高科技業者間,也頻傳併購訊息,突顯產業生態出現顯著變化,讓企業核心技術也跟著流動。處在此變局,許多企業主莫不擔心兩件事,一是公司手中握有的核心技術,是否外流與被竊取?其次,人員所產出獲利與技術資料是否跟著移轉至競爭對手,造成重大損失。

文 / 精品科技 資訊安全顧問兼資安部經理 陳伯榆

隨著市場競爭的快速變化與衝擊,企業所維繫核心人才或團隊,以及核心團隊或個人所建立的知識( 資訊) 資產,將是這個企業成長獲利的命脈。但是伴隨而來的人才轉移與業界挖角,相關資訊也可能隨之流動,更遑論惡意競爭行為以及商業間諜行為。而存放在核心團隊電腦或是伺服器的知識資訊,可能被盜拷、可能被抹除、可能被變造,甚至間諜竊取。

文 / 精品科技 資訊安全顧問兼資安部經理 陳伯榆

Windows 10 是微軟最新一代的作業系統,因可將合法授權的Windows 7 至Windows 8.1 免費升級,創造出驚人的下載率及使用率。在媒體推波報導下Windows 10 被稱是新一代優質作業系統,許多在此免費誘因下,開始逐步升級更換新作業系統。

但是Windows 10 仍有許多相容性以及安全性問題,需要時間來解決。尤其是需要高度管控企業或組織單位,並不願貿然升級。舉凡創造利潤的繪圖或3D 工具軟體,並與自動控制整合的環境;或事涉資訊機敏資料及需要高度管制的公司,會更為謹慎看待這個新興的作業系統。

文 / 精品科技研發三部 劉文彬
 

Windows 10的各種版本

針對不同客戶需求,微軟推出數種Windows 10版本,

依據微軟網站提供的功能比較表[1]Windows 10有以下版本:

版本英文名稱
版本中文名稱
Home
家用版
Pro
專業版
Enterprise
企業版
Education
教育版
Mobile
行動裝置版
Mobile Enterprise
行動裝置企業版

其中家用版、專業版、企業版的定位與過去Windows版本類似,所以不難推測出適用的客群。而Mobile與Mobile Enterprise版本是繼承以往Windows Phone作業系統的更新版本,所以不會單獨發售。

但這就是完整的清單嗎?不,Windows 10 還有更多針對特別需求的版本:

版本英文名稱
版本中文名稱
Enterprise 2015 LTSB
企業版 2015 長期維護
IoT Core
IoT核心版

雖然在微軟網站的比較表中沒有提及Enterprise 2015 LTSB,而從名稱上看來LTSB只是一般Enterprise版本的分支,但實際上Enterprise 2015 LTSB與其他的Windows 10版本相比有幾個不同點:

  1. 沒有Microsoft Edge瀏覽器
  2. 沒有Windows市集,也沒有內建Xbox、新聞等等娛樂App
  3. 沒有Cortana
  4. 版本的更新方式更接近傳統Windows——版本維護期間不會新增功能,只會修正問題;並且有10年的維護期

IoT Core版本是為了嵌入式裝置而設計,用於取代過去的Windows Embedded版本,所以IoT Core版本提供的功能是可以由製造裝置的廠商選擇的。

Windows 10的更新選項

Windows 10與之前版本的另一個不同點是更新機制。以往的Windows update允許使用者或管理者由可用的更新清單中個別選擇要更新的項目。在Windows 10中使用者只能選擇更新的分支[2]

更新服務選項
英文名稱與縮寫
啟用新功能的時間
最短的服務存留期[3]
可選用此服務的Windows版本
最新分支
Current Branch(CB)
微軟首次發行新功能時
約四個月
家用版、專業版、教育版、企業版
適用於企業的最新分支
Current Branch for Business(CBB)
CB四個月後
約八個月
專業版、教育版、企業版
長期服務分支
Long-Term Servicing Branch(LTSB)
升級為新的LTSB版本時
十年
企業版長期維護

 

也就是說:

  1. 專業版、教育版、企業版的使用者可以藉由在Windows Update進階選項勾選「延遲更新」;或是IT系統管理員可以藉由群組原則設定讓Windows切換到CBB。要注意的是勾選「延遲更新」不會影響已安裝的更新——已安裝的更新不會因此被移除,只會延遲之後的更新。
    4-1
    【Figure 1 Windows 10企業版的Windows Update進階選項】

  2. Windows 10家用版微軟強制使用CB分支不能選擇。因此若微軟已發送新功能,不更新將會影響之後的安全性更新。
    4-2
    【Figure 2 Windows 10家用版的Windows Update進階選項】

  3. Windows 10企業版長期維護版本強制使用LTSB分支不能選擇。
  4. 安全性更新不會受分支選項影響,各版本都是在微軟發布後立即可以更新。
  5. IT系統管理員仍然可以使用Windows Server Update Services (WSUS)核准Windows 10的更新。並且由於CBB的維護時間約為CB的維護時間的兩倍長(最少8個月),故IT系統管理員在新功能到達CBB時即使不立即核准,也暫時不會影響安全性更新[4]。但是若核准CB的功能性更新到設定為「延遲更新」的電腦上,更新將不會被安裝直到此更新進入CBB為止。


除了上述有正式支援的分支之外,微軟提供Windows Insider Preview Branch,在使用者加入Windows Insider計畫後可以取得,其中又以取得新功能的速度分為兩個Rings:

  1. Windows Insider Ring – Slow:可以取得測試組建。
  2. Windows Insider Ring – Fast:可以比Slow更提前取得功能性更新,但也可能更不穩定。

 

結論

從以上的版本與更新方式不難看出,微軟的Windows 即服務 (Windows as a ServiceWaaS)策略的目標就是希望大部分的電腦(也就是採用LTSB版本以外的電腦)的Windows系統將會採取每年23次的逐漸更新的模式,加快新功能被採用的速度;並且避免出現像Windows VistaWindows 8一般因為功能變化太大讓使用者不願更新的版本。


[1] https://www.microsoft.com/en-us/WindowsForBusiness/Compare

[2]但在某些更新造成使用者電腦當機後,微軟提供KB3073930疑難排解套件讓使用者可以暫時隱藏部份更新。 https://support.microsoft.com/zh-tw/kb/3073930

[3]服務存留期指的是微軟繼續提供安全性更新的期間;也就是說如果目前使用的版本到達期限後若不更新為新版則無法繼續取得安全性更新。

[4]參考 https://technet.microsoft.com/en-us/library/mt574263.aspx

 

文 / 精品科技 資訊安全顧問兼資安部經理 / 陳伯榆

數位舉證這是一個十分嚴肅的課題,因為當企業管理必須採取相關的程序與手段,必有不得不的原因與理由。通常必須假設需要承受冗長法律訴訟的程序,才能有效解決企業「不得不的選擇」。所以相關的準備必須是有效且無爭議的證據,才能在法庭攻防上,獲得法官信賴與採納。筆者想從兩個方面分析,首先是IT 技術層面的主觀舉證,其次是施作程序與管轄地域非技術面的客觀舉證,來討論如何讓IT 相關記錄可以達成舉證效益的目的。

文 / 精品科技行銷部編輯

在這個資訊安全與個資保護越來越重要,甚至將影響企業生存命脈的今日,一套由經濟部所主導推動的個人資料管理制度TPIPAS(臺灣個人資料保護與管理制度)及通過TPIPAS驗證後取得的dp.mark(資料隱私保護標章),正低調透過先影響各產業內的重要企業,希望能逐步提升台灣企業整體對個人資料保護的品質,以及企業對個人資料保護法的遵循完整度與容易度。

近一年多來,肇因於行動裝置、雲端應用等趨勢的盛行,再加上兩項趨勢彼此結合程度益發緊密,進而產生莫大干擾變數,衝擊企業IT疆界治理至鉅;值此時刻,如何促使傳統電子資料防護、也就是資料外洩防護(DLP)機制加以延伸,藉此達到更好的防禦效果,實為相當重要的課題。

精品科技資安顧問兼資安部經理陳伯榆指出,綜觀現行的電子資料防護機制,發揮數項關鍵機能。一是IT介面裝置管控,例如管控外接裝置、光碟/燒錄裝置、列印裝置等等;二是軟體安控,管制範圍含括軟體(特殊)執行、軟體禁用(如禁止使用TeamViewer)、時段的軟體開放、軟體執行行為紀錄、主管審核、延伸檔名管理…等等。

文 / 精品科技 許樹龍

自從雲端隨處可用的概念推出以來,每年都有雲端相關的消息,然而最近這一年多,隨著雲端技術的快速進步,硬體、軟體不斷地推陳出新,雲端硬碟也已漸漸普及,並受到多數的電腦使用者應用在其生活、工作⋯等方面。底下就從一個使用者的角度來看現在的雲端硬碟。

 

世面上主要的雲端硬碟有哪些

雲端服務是目前最新的商業模式之一,只要網路搜尋雲端硬碟,隨便就可以找到數十個以上的供應者資訊,這裡不特別一一介紹,主要簡單列出幾個國際知名的廠商,以及其提供的免費服務供大家參考。

雲端硬碟  Google Drive  OneDrive  Dropbox  ASUS WebStorag
基本免費空間  15 GB  15 GB  2 GB 5 GB
備 註 可透過獎勵活動增加免費空間。 手機APP連接相簿,可再增加15GB免費空間。(亦有其他的 獎勵活動)

可透過介紹朋友使用、 連接facebook⋯等,擴大免費空間。

購買不同型號的ASUS產品,可獲得大小不等的免費空間。(有限制使用期間)

 

然而取得上述雲端空間之後,是否就可以隨意存放檔案呢?答案當然是”No”,舉例來說:上述雲端硬碟對於所存放的檔案,其單一檔案大小有所限制。

以Google Drive為例,存放

  • 文件格式檔案:無論頁數多寡和字型大小,上限都是1,024,000個字元。上傳的文件檔案轉換成Google文件格式後,大小不可超過50 MB。若是放置簡報檔案:在Google簡報中建立的簡報檔案大小上限是100 MB。上傳的簡報檔案轉換成Google簡報格式後,大小上限是50 MB。
  • 試算表檔案:200萬個儲存格,即將達到上限時,Google會提醒即將達到上限。
  • 其他檔案部分:上傳檔案時,如果檔案未轉換成 Google文件、試算表或簡報格式,則每個檔案的大小上限為5 TB。

不過,免費空間目前只有15 GB,要達到單一檔案大小的上限,勢必要付費增購雲端硬碟的空間。

此外,若是使用Google的Google Drive或是微軟OneDrive,可以很容易的與其相關產品結合使用,增加使用上的便利性。若是大家覺得上述空間不夠,目前就個人所知較大的免費雲端空間,大多數都是對岸提供,例如: 360雲盤,官方網頁說明其提供最低的免費空間是36 TB起跳,有需求的使用者還是要自行判斷各家雲端的申請條款。

 

企業版與個人版又有哪些差異

上表所提到的雲端業者除了個人版本之外,皆已有提供企業版供各個公司使用。而企業版與個人版在使用上確實有些不同,例如在基本的雲端空間上,上述廠商的企業版目前並未提供無限期使用的免費空間,但是不同業者針對企業版的雲端服務仍分別提供14天~ 60天不等的試用期間,供使用者試用。不過,須注意的是,"OneDrive及Google Drive 的企業版試用結束後若未購買,即無法繼續使用企業版雲端空間"。而且Google Drive在試用期間若是企業帳戶裡的成員人數超過10人,視同試用期結束,未購買產品,將無法繼續試用。

另外,企業版與個人版功能上最大的差異在於企業版設有管理者主控台,可以由指定管理者進行相關管理設定。以OneDrive為例,管理者可以在該企業帳號下,透過CV檔快速大量新增使用者,同時也提供單一登入與Windows AD同步處理的相關設定,可以指派專屬權限,也具有稽核功能,可以追蹤哪些使用者已對網站、內容類型、清單、文件庫、清單項目及網站集合的文件庫檔案執行哪些動作,並且可以於使用者共同作業時利用Yammer ( OneDrive專用 ) 即時交換意見。不過,單以微軟企業版所提供的雲端服務─使用Office 365 OneDrive for Business以及使用SharePointServer 2013 OneDrive for Business,在功能上就有些許差異,例如:稽核功能報表部分,針對使用Office 365 OneDrive for Business的報告項目並不多,主要是顯示已部署的網站,以及服務使用的儲存空間,若是需要較多樣的稽核管控與報告就必須使用SharePoint Server 2013 OneDrive for Business的服務。

同樣的,Google企業版的雲端服務也區分成兩種,一是Google Apps for Work,另一是Google Apps for Work Unlimited,除了使用空間大小有所差距外, Unlimited版本的服務對於雲端硬碟的控管不僅提供進一步的雲端硬碟管理設定,並提供雲端硬碟內容和共用狀態分析資料的檢視功能。另外,在Google企業版的雲端服務中,有一項功能很方便,就是當人員離職或是職務更動進行業務交接時,管理者只要在管理介面上輸入新舊擁有者的電子郵件,就能搬移所有郵件與雲端硬碟的資料給新使用者,快速完成資料轉移。

建議各個企業組織在評估導入雲端服務時,除應考量自身的需求外,並應深入了解不同版本的功能以及授權條款應注意事項,方能選用適合的方案若要使用企業版需要注意哪些事項公司或組織導入企業版雲端硬碟時,因為該雲端服務為多人使用,應更加小心注意相關控制,以免因疏忽或意外對公司或組織造成重大傷害。但是,如何了解應注意那些重點呢?建議可使用資訊安全管理系統基本CIA的三個面向來看 – C ( Confidentiality;機密性 )、 I ( Integrity ; 完整性)、 A ( Availability ;可用性 )。

  • 機密性: 雲端上的資訊如何讓不應看到的人無法看到,可綜合搭配各項不同的管理機制。例如:建立資訊機密等級管理制度、建立權限管理機制 (透過2人以上的控制,避免權限設定混亂或錯誤)、導入文件加密管理系統 (多數雲端服務提供安全的加密通道,但是並未提供文件本身的加密服務)、定期審核雲端服務提供的記錄 (利用記錄進行事後管理及警示)⋯等。
  • 完整性: 是否有什麼狀況影響了資料的正確性及完整性,如何避免發生異常狀況或是有效管理異常呢?例如:針對重要資訊設定異動通知、重要資料區域定期進行異動管理、定期進行備份、建立雲端文件的異動管理作業⋯等。
  • 可用性: 什麼樣的狀況會影響雲端服務的使用?建議可從內部及外部的風險來看。例如:避免外部雲端服務中斷 (選用信譽佳的廠商、建立備援網路通道)、避免內部服務問題 (網通設施的異常管理、網路設定作業控制)、營運持續的考量 (備援作業的規劃與執行)⋯等。

以上簡單列舉幾個面向作為導入雲端控制評估應注意事項的參考,盼能在公司或組織建立雲端服務的相關管理控制上有所助益,以期達到增進作業效率的效果。

 

文 / 精品科技 資安顧問兼資安部經理 陳伯榆

當雲端服務與工作生活逐漸合而為一

雲端服務並不侷限雲端儲存這一項應用,有許多創新應用吸引著使用者。雲端應用可以應用在工作、教育、生活⋯等各個層面。伴隨著Web Based 技術快速發展、行動可攜(Mobility) 裝置普遍使用、以及未來必定成熟的IOT 技術,都將脫離不了雲端應用。

文 / 精品科技 資安顧問兼資安部經理 陳伯榆

雲端加密軟體整體評測

伴隨相關雲端硬儲存或是雲端服務的逐漸普及,不論在企業組織或是個人使用,這一條「公」與「私」的界線也越來越模糊,企業組織的機敏性資料也暴露在網際網路世界中,資訊安全所重視所謂的「Access Control」面臨很大的衝擊。在前篇「企業雲端安全使用」,已經提供企業織對於雲端防護的可能性作為,在本篇將完全聚焦在雲端加密軟體的應用與功能的優異與缺點說明。

文 / 精品科技 研發一部 陳茂清

如何開始當個Hacker(駭客)?

首先要探討到Hacker文化,Hacker指的是擁有技術並且志在解決問題及突破創造之人,只要你熱衷於鑽研技術、分享技術、喜歡修改現有程式後重新發佈且樂於解答他人問題,在電腦軟體或硬體界貢獻一己之力直到有Hacker稱呼你為Hacker時,你便是一位Hacker。雖然在國內各大媒體及大眾眼裡,所謂的駭客就是一群具備入侵他人電腦能力的人,且不區分Hacker及Cracker。其實作為一個Hacker,入侵他人電腦系統只是因為其了解電腦系統的運作原理,並且有能力進行一定程度的干涉(創造或者破壞),故若要成為目前大眾所認知的Hacker,你必須要先懂得電腦系統、軟硬體、網際網路等等的運作原理,方能知悉如何干涉其中,並會因為你之後的所作所為在駭客界中將你區分為Hacker或者Cracker。

為何要考CISSP ?

CISSP (Certified Information Systems Security Professional) 是 (ISC) 這個非營利組織所推行的資安認證。目的是提供資安從業人員在資訊安全領域上,不同範疇專業能力水平。擁有所需要的技術水準與經驗,能有效地處理及執行企業的資訊安全系統及政策。

有別於其他一般的IT 認證,CISSP 是中立的,跟產品或廠牌無關。大家所熟知的 MCSE、CCNP... 等,都是針對廠牌或產品所設計的證照;適用於ISP/ISV 服務供應商的專業從業人員,而CISSP 範疇則是較為廣泛,不侷限在特定產品上。

這個認證對實務經驗也有一定程度的要求,考試的題目中會穿插一些實驗性題目;也有部分是實務經驗題。因為在實際工作上所面臨到的問題,並非一定有標準答案可以依循。從業人員的專業知識與工作經驗,決定了解決方案內容。所以經驗不同,答案可能不同;不是標準答案,而是Best Practices。

文 / 精品科技 資訊部 鄭文聖

目前企業較為常見的作業系統大都為微軟Windows及 Red Hat Linux,而經常使用及管理微軟作業系統的人知道,每星期或每天幾乎都有修補檔(Patch)要安裝,防毒軟體更新等,而系統管理人員大都也會乖乖照做,問其原因,普遍回答”Windows很容易中毒”、”Windows容易被攻擊”⋯等,其實所有作業系統均需要被良好的管理,差別在於觀念及做法,下面我們從使用者角度介紹,來看看如何做好個人電腦的資訊安全防護。

  1. 透過MDM管理讓工作更順暢
  2. 新版 ISO/IEC 27001:2013 看資安
  3. 風起「雲」湧的IT環境中,保障企業核心資產
  4. 如何內外兼具,做好內部資安
  5. 活用透明加解密,提升企業營業秘密和個資保護能力
  6. 個資法一周年回顧
  7. 中小型企業對個資法的因應與契機
  8. 因應個資法,我們該導入制度? 還 是該導入產品?
  9. 「檔案」為單位加密與「AP」為單位加密的差異
  10. 客戶導入資安產品最重要的三步驟
  11. 循序漸進,老闆也能掌握內部資安
  12. IT人的價值,不是只有技術好
  13. 淺談個人資料保護法與內部控制
  14. 嚴格管控履歷資料,保護應徵者
  15. 企業如何防止智慧型手機洩密
  16. 個人資料保護法 保障的究竟是個人?還是企業?
  17. 個資法實施 公司內部因應之道 Step by Step

子分類

零信任