美國國防部 (Under Secretary of Defense for Acquisition & Sustainment ,OUSD(A&S)),推出了網路安全成熟度模型認證(CMMC),為國防基礎工業(DIB)及其他領域提供了一致的資安保護要求。CMMC 推動國防基礎工業 (DIB) 中的組織,主動完善其整體網路安全能力、增強他們的商業案例、保護他們的品牌,最重要是保護國家的經濟和安全。該計劃向整個政府機構及其相關供應鏈提出挑戰,在技術上可接受的最低價格來源,必要滿足整體網路安全要求下開展業務。
供應鏈資訊安全除了防範駭客對整個製造鏈進行破壞之外,供應鏈之間的資料傳遞後,是否每個節點都有執行完善的防護措施,這其中就包含是否有善盡責任的保護上下游廠商交給你的資料,除了制定資安規範以外,X-FORT這類的工具亦可協助保護廠商提供的資料。
王小明因為生病要到醫院拿藥,首先要證明自己的身份,可能有下面狀況:
美國整體每年平均因網路安全所造成的損失達六千億美金。目前國防部的供應鏈,從極音速武器到皮革工廠,大約有三十萬家合約承包商,而其中約有二十九萬家基本上沒有任何的網路安全措施。除了之前沒有法規要求,美國政府近幾年決定大加整頓國防供應鏈,而網路安全被視為首要議題。在此之前,國防部請廠商遵循 DFARS 252.204-7012 以及 NIST 800-171 裡所敘明的規範,其中包括廠商須自行評估認證一百一十項資訊安全項目。然而問題其一在於這是由廠商自我認證,其二是國防部並未特別看重此標準。
Microsoft 365是由微軟提供的一個集成式套件,旨在幫助個人、企業和組織更有效的工作、協作和提高生產力。該套件集成了多種應用程序、工具和服務,涵蓋了文書處理、電子郵件、日曆、文件共享、通訊和更多方面,且具備卓越的整合性,能促進各部門協作與各項流程的推進。
全球化程度提升及數位化的轉型,對於上、下游企業之間,形成更多交互影響的情況,以資訊安全來說,也不再是自己做得好,就沒有問題,而是和企業相關聯的公司有沒有做好資訊安全,有連帶的關係。
"達文西密碼"一文中,主人公羅柏.蘭登,憑藉著豐富的符號學知識,一步一步地,解開聖杯和錫安會兩千年間守護的祕密,所以瞭解原理,進一步擴展成解決方案,才能協助我們使用檔案系統的"達文西密碼"找出隱藏檔案的兇手。
傳統以來關於數據外洩對策方面的議題,最了解的應該是DLP;而Data Leakage和Data Breach 有什麼不同? 以中文來看是很像。
Data leakage 和 Data breach雖然是相關聯的概念,但是在涉及未經授權揭露或暴露敏感資訊的情境場景中,兩者之間的區別明顯。
Windows中的每個檔案都會有屬性,其中包含了唯讀、隱藏2種屬性。如果在檔案總管中,對每個檔案點選「右鍵」再點選「內容」,或者按住 「Alt 鍵」後再連點滑鼠左鍵 2 次,就可以看到檔案內容的相關資訊,其中有「屬性」區塊,可設定唯讀、隱藏 2 種屬性。唯讀屬性表示檔案僅能讀取,無法修改。而隱藏屬性則是另一種附加的條件,可以在檔案總管中,透過開關對有隱藏屬性的檔案進行隱藏,這樣,就不會在檔案總管中顯示有隱藏屬性的檔案,這些簡單的設定,可以避免有心人士,在你的電腦上,查找機密檔案。不過,因為這種方法是檔案總管的基本操作,也不是真正的隱藏檔案,無法阻擋有心人的窺探。
爆紅的生成式AI,已成為知識工作者不可或缺的生產工具,卻潛藏外洩企業資訊的風險,根據資安廠商Cyberhaven偵測旗下企業客戶,僅在3/14一天內,每10萬名員工中,就有5,267起將企業資料貼上ChatGPT的資料外流事件,比例高達1/20 (https://www.ithome.com.tw/news/156293)。
面對Bing Chat、ChatGPT的安全管理,針對機密單位,可禁止使用以避免機密外洩。
若開放使用,建議搭配螢幕浮水印,時時刻刻提醒員工不可洩露公司訊息。亦保留其提問內容,以便必要時稽核提問記錄,將生成式AI的使用納入管理。
ChatGPT這個語言模型原本具備良好的善意,就是幫助人類!聽起來很不錯。但是,AI發展之初目標就是模仿人類大腦的認知機制,沒有道德審查機制。所以不僅是對好人,對網路犯罪分子也是一視同仁服務。因此它可能被刻意誤用,或因意外衍生成惡意,成為對業務及數據的潛在威脅。
當利用ChatGPT幫助企業業務活動,如何對數據安全構成威脅? 並提供企業保護自己的建議方案。
於5月11日CYBERSEC 2023台灣資安大會 ”金融資安論壇”,金管會資訊服務處林裕泰處長以”展望金融資安行動方案 2.0”進行主題演講,同場,並且有幾位金控資安長在現場資安專題分享。藉本篇文章,把金融產業重視的資安層面各項推動措施的觀察與心得,就以下幾個議題,進行分享。
過去的一年可能是有記錄以來,企業數據洩漏最嚴重的一年,預計未來在混和工作與雲端運用成長,攻擊和被洩漏的數量只會更增加。鑒於這些趨勢,採用數據防外洩防護(DLP)資安系統,變得比以往任何時候都更加重要。而以往的DLP通常是用於邊境安全方案,難以面對混合工作的場域變化;因此組織現正在尋求 DLP 工作的現代化,以應對這些挑戰。
工作環境因新冠疫情的蔓延,造成人員移動的限制與居家辦公模式普及,資安疆界產生很大的改變。雖然疫情已流感化,但結合遠距、現場的混合式辦公完全沒有因隨疫情而遠去,成為職場的新工作模式。
根據iThome 於2022針對”未來一年中最可發生的十大資安風險”的調查(見下圖)顯示,企業最容易發生的資安事件,其中”勒索軟體”與”駭客”的資安風險高居10大資安風險的前2名。如何防止資料外洩,保護核心資料的安全,是企業不可忽略的一大重點議題。
零信任是Forrester的Kindervag在2010年創造的概念。大約在2017年,Gartner另一位分析師正在運作一個相關但不同的想法:持續自適應風險和信任評估(continuous adaptive risk and trust assessment : CARTA)。CARTA的設計目的與Kindervag的零信任相吻合,使用明確驗證的為信任要求,取代網路設備天生對信任區域的隱含(implicit)承認。
許多企業改變了工作型態,容許員工在任何地方工作的「混合工作模式」(Hybrid Working)已崛起,使用者被迫藉由私人的桌機或筆電來執行公務,此舉恐為企業的資安帶來全新的挑戰,考驗著企業IT反應能力,平常就忙於應付繁雜的問題處理與威脅,多數難以完整滿足異地工作者需求,完全脫離公司建置的防護網,凸顯資料外洩風險無法有效控管問題。
您是否正在努力利用現有系統,整合各式工具,實施以數據為中心的零信任架構? 那你並不孤單,資安業界分析顯示,零信任採用的主要障礙之一,就是可利用的Context散落於各個系統之中。
ISO 27001在2022年10月25日公布了資訊安全管理系統改版,此次的改版主條文新增6條,異動8條,附錄A控制領域從15個降為4個,新增11個控制措施,其中以附錄A的異動是較大的,總共有4個安全控管框架,A5屬於組織面的控制措施,A6屬於人員面的控制措施,A7屬於實體面的控制措施,A8屬於技術面的控制措施,這四大框架的控制措施除了8.12有明確指出採用資料外洩防護(DLP)進行防護外,其餘控制措施皆未說明需使用何種工具,本文將從附錄A找出X-FORT可協助的控制措施進行說明,讓ISO 27001的導入能更事半功倍。
個資法上路滿十年,企業組織為因應法規,須依法落實個人資料保護,整合資訊安全,以降低風險與罰則衝擊。非公務機關若違反法規除罰鍰外,主管機關得依法派員檢查、銷毀個資,甚至可公布違法公司違法情形及其公司名、負責人姓名。就個資法適用對象,並非只有金融、服務、醫療業者要重視,一般製造業和高科技製造業,因為產業的質變而擁有大量業務聯絡人以及服務第一線使用者的個人資訊,自也不能輕忽個資法的影響。因此,資料外洩防護及個資盤點偵測的整合,成為企業資安防外洩的二大課題。
