為提供您更佳的服務,本網站使用 Cookies。當您使用本網站,即表示您同意 Cookies 技術支援。更多資訊請參閱隱私權聲明確定

Cyber Insight

2021 年數位轉型之郵件安全新趨勢

迎接後疫情時代之市場丕變,企業面臨數位轉型的洪流,更多新型態之威脅也隨之而來,企業需要全面檢視資訊安全的防疫破口。市場上勒索病毒(Ransomware) 及商業郵件變臉BEC(Business Email Compromise)詐騙事件層出不窮,顯示電子郵件仍是駭客網路突穿資安防線的主要目標。基本的的垃圾郵件過濾 (Anti-spam) 與防病毒 (Anti-virus) 已經不足以提供完整防護,更新更全面的防禦趨勢是加上未知 (unknown) 威脅防禦,包括了郵件附檔 (attachment) 的惡意程式 (malware) 分析,郵件 URL 的釣魚 (phishing) 及惡意連結 (Malicious URL) 防護,以及BEC變臉詐騙郵件偵測技術。


電子郵件攻擊的三大面向包括:

一、釣魚郵件(phishing),導致個人資料外洩,組織遭滲透潛伏,進而竊取商業機密等。

二、勒索病毒(Ransomware),造成損失包括資料遺失,工作停擺,及商譽受損等。

三、變臉詐騙(Business Email Compromise),企業財務人員公務郵箱被入侵,或往來廠商郵箱被入侵之後,偽造逼真的銀行轉帳通知郵件,單次受騙損失金額最慘重。


Cellopoint SEG (Secure Email Gateway) 提供 Anti-spam、Anti-virus、Anti-APT-Attachment、Anti-APT-URL、Anti-BEC 等五層縱深防禦,同時還可延伸 Email UTM 選購模組擴充郵件歸檔檢索 (Mail archive & Search) 、稽核 (Audit) 和加密 (Encryption) 模組以達成 Email DLP 資安策略,此解決方案除了自建方式 (On-Premises) 之外,亦提供 COP 雲端服務 (CelloCloud Service) ,及落地和雲端並存的混合雲解決方案。

2021 數位轉型的關鍵:資安協調

COVID-19 扭轉了趨勢

從 HENNGE 進駐台灣以來,每年都贊助 iThome 所舉辦的資安大會。每年參展時,我都有機會紀錄當年資安的趨勢。我認為這是個細思整體科技產業現況以及分析資訊安全趨勢的絕佳契機。

由於 COVID-19 疫情影響,2020 年迫使了許多人採用與以往不同的辦公模式。而這個現象如今也正持續進行中。此時此刻的 2021 年 2 月,HENNGE 在日本的總部僅有 10% 的員工進公司上班,其餘皆在家工作。值得慶幸的是,在台灣雖然處處需要戴口罩,但我們仍可以正常的通勤上班。不過疫情還是為台灣業界帶來許多影響。

近期,我觀察到商務上比以前更加地接納了數位轉型,而這也是因 COVID-19 所帶來的改變。先前在台灣,甚至是日本,面對面的交流對於企業而言是一種必要性的存在,因此業務同仁總得四處去拜訪客戶。然而最近愈來愈多企業願意接受線上會議了。

由於商務是由一連串企業及企業間的往來所交織而成的,其實有許多業務流程會因為商業文化上的不允許而無法順暢地數位轉型。 無論一家公司如何努力地針對某項業務進行數位化改革,倘若交易對象,像是夥伴公司或是政府機構不接受這樣的數位化檔案或形式,數位轉型也是不可行的,例如:合約簽訂以及開立發票就是其中典型的例子。但日本現今已陸續有許多大型的 IT 企業宣布今後只以數位化的方式簽訂企業間的合約。

我開始看到一些由企業端開始接納數位化後,隨之崛起的數位轉型趨勢。

 

數位轉型 (DX) 的基礎

很顯然地,企業必須要先有營利才能拓展事業。然而究竟何謂「盈利」呢?簡而言之,盈利指的就是收入以及支出之間的正差額,換言之,它也可以是投入及產出之間的差距。投入較少的資源並獲取更豐富的產出正是將盈利最大化的關鍵。而生產力也就是投入的時間、金錢等與得到的各種成果之間的差距。

透過採用 IT 技術,人們用數位化的方式取代了許多原本必須手動完成的工作。這樣的數位化轉型讓我們可以在投入較少的資源下得到與以往等值的產出。舉個簡單的例子而言,我們拿在實體目錄以及數位化的試算表中尋找一個特定的人做相比,在實體的目錄中,我們必須一頁一頁的查找每筆資料,但在數位化的試算表中,我們可以搜尋並直接跳到欲查找的資訊。很顯然的在試算表中查找資料相對可以省下許多時間及精力的投入。

所謂的「數位轉型」指的並非只是以數位化的方式取代原本的手動作業流程,也包括了以更先進的科技技術取代舊有的數位系統以達到更高的生產效率。 因此,「數位轉型」以及「數位化」的差別在於數位轉型所帶來的改變並不局限於「手動 - 數位化」,也包含了「手動 - 數位化 - 數位轉型」的轉變。以 CRM 軟體服務取代用電腦試算表管理客戶資料就是數位轉型的其中一個例子。無倫如何,數位轉型最主要的目的就是在於用先進的科技來最大化企業的生產力。 

 

「Best-of-Breed」可說是提升生產力的關鍵要素

美國的心理學家亞當・格蘭特(Adam Grant)在他的書中《Originals: How Non-Conformists Move the World》提到當年的統計顯示,比起將 Safari 或 Internet Explorer 設作預設瀏覽器的人,將 Chrome 或是 Firefox 設為預設瀏覽器的人更有機會在工作崗位上久留,同時,他們也經常是較高效率、低失誤的那一群。會有這樣的現象並非因為 Chrome 或 Firefox 是多麼厲害的瀏覽器,而是因為採用這些瀏覽器的人具備著願意開發新事物的心態,並且選擇挑選了不同的預設瀏覽器以提升自己的各方表現。

這意味著,為了找到更佳的解決辦法而樂於開發新事物的人通常會有較出眾的表現。而相同的例證同時也可以套用在企業上。一家能夠為了追求效率而探索不同解決方案的企業比起其他企業而言將會有更多的機會和潛力茁壯事業。 

「Best-of-Breed」(又稱單項優勢軟體系統)的策略就是指彈性地選擇市場上最符合貴公司的軟體服務。 相較之下,有另外一種與其對比的策略稱作「All-in-One」或「Best-of-Suite」 。「All-in-One」這樣的策略適合在對於軟體服務不是很熟悉的情況下的初步選擇。但若說是要提升企業生產力的話,在了解軟體工具後,我認為採用「Best-of-Breed」的策略將更有機會拓展進步的空間。

 

IT 管理者的進化

大約在十年前,我在公司總部擔任 IT 管理者並且經手了雲端 Email 系統的導入。除了支援公司同仁的 IT 作業系統外,我當時主要的工作內容多為維護現有的伺服器並確保它們的正常運作。如今,我們總部的 IT 主管大多花時間在尋找或測試能夠提升企業生產力的「Best-of-Breed」軟體服務。由於我們公司目前使用的系統多以 SaaS 為主,我們的 IT 主管也不需再維護伺服器了。雖然支援公司 IT 系統這塊的工作性質維持不變,但 IT 主管的工作內容卻有著很明顯的差異。我相信數位轉型(DX)也將改變 IT 部門在一家公司內所扮演的角色。 

 

何謂「資安協調」?

很多人說 Best-of-Breed 的產品相較於全包型的解決方案會有整合性不足的問題,然而許多 Best-of-Breed 的廠商知道他們只涵蓋一部分功能,因此也常會提供與其他服務整合的選項,甚至也有廠商專門提供不同產品之間整合的服務,讓整個過程變得更加順暢容易,所以我認為整合性應該不會是大問題,例如我們的服務 HENNGE Access Control 就可以提供不同 Best-of-Breed 產品的單一登入。

「資訊安全」這四個字說來輕巧,但資安其實包含了很多面向,例如避免惡意軟體的感染、預防使用者的不當行為,或防範 DDoS 攻擊等,這些問題都需要運用不同技術來解決。因此,我們認為 Best-of-Breed 的概念也可以運用在資安的領域。

我將「協調」這個詞用來形容不同產品之間流暢地整合成最佳解決方案的狀態,而「資安協調」則是指整合複數的產品或服務來達成更加強韌的資安防護。

 

以 HENNGE One 達成資安協調

擁有高生產力是企業持續成長的關鍵。而採用 Best-of-Breed 的策略可以使企業的運作更有效率,進而達到生產力的提升。善用 HENNGE Access Control 的單一登入及統一資安控管更是企業採用 Best-of-Breed 策略時不可缺少的一環。

下面我們舉一個實例來說明資安協調的美好狀態:運用 HENNGE Access Control 來安全地單一登入複數雲端服務,同時防止不正當的存取。

防止不正當存取的關鍵在於確認使用者是有正當權限登入的。目前最普遍的登入方式就是使用帳號及密碼。然而帳號經常是 Email,有一定的規律所以可以被推測出來,而且總是會有人使用容易被破解的密碼,因此隨著許多人認為只有帳號密碼是不夠安全的,多因素驗證也跟著越來越受歡迎,其中,許可裝置上的一次性密碼 (OTP) 經常被用來驗證登入者是否為本人。OTP 基本上是很有效的驗證方式,但可能會讓登入的流程變得有些繁瑣。

最近的行動裝置多半都有生物辨識的功能,像是指紋辨識或是臉部辨識。如果能夠成功操作行動裝置,幾乎可以認定該使用者就是裝置的擁有者。此時可以再搭配 HENNGE One 當中的「裝置憑證」(透過安裝到使用者的筆電或行動裝置的數位憑證來登入雲端服務的解決方案),如此一來,即使 HENNGE One 目前不具有生物辨識的功能,但是與有搭載生物辨識功能的行動裝置結合使用,就可以達成資安協調的狀態,就像是透過生物辨識來單一登入至複數雲端一樣,在安全性及登入便利性之間取得良好平衡。

 

結語

在這瞬息萬變的商業環境中,我們知道各種天災人禍(像是這次的 COVID-19)都會對商務活動造成影響,進而改變我們的行為。綜上所述,我認為最能在商場上存活的方式就是不斷地因應環境去改善企業運作模式,而這也會是數位轉型逐漸受到重視的一大原因。

不過每間企業的風格和商業上的做法都不同,我相信沒有單一個解決方案是可以適用於所有的企業,並且解決所有的問題,因此企業要如何探索並找到適合自身的方案是非常重要的。我認為 Best-of-Breed 的策略(彈性地選擇及組合市面上最符合自身的服務及產品)是每間公司都可以嘗試看看的。

最後,在數位轉型的過程當中,希望我們的解決方案 HENNGE One 可以幫助企業達成資安協調,成就高效率且高安全性的 Best-of-Breed 整合解決方案。

2021年電子郵件安全的五項預

2020年我們看到網路罪犯利用集體不確定性的機會發動「恐懼軟體」網路釣魚攻擊,且經由購買數千個廉價網域、定期更新其攻擊基礎架構,從而持續縮短攻擊活動的時間。隨著組織加深依賴SaaS(軟體即服務)協作工具,我們也發現內部帳戶入侵和網路釣魚的數量明顯增加。

我們預期今年電子郵件攻擊者會採用哪些新的策略和技術,而企業又將如何因應呢?本部落格對於安全團隊提出2021年須留意的五項預測。

1. 供應鏈詐騙將取代CEO詐騙

瞄準企業高階主管是廣為人知能讓攻擊者取得成功的一項策略,原因在於這些高階主管接觸到重要的敏感數據以及他們在公司中擁有的權限。但是隨著特殊保護措施逐漸落實,攻擊者很難接觸到這些人。攻擊者的替代方案轉向組織所信任的人士。

當攻擊者接管受信任第三方供應商的合法電子郵件帳戶,他們在沒有與企業高階主管互動的情況下,就能夠獲得大筆的報酬。由於既有的聯繫人之間存在著隱含的信任,因此擁有龐大客戶群的供應商和承包商可能成為更加誘人的攻擊目標。如果只須入侵一家公司就能將詐騙性發票寄送給一千家公司,何必費力分別去入侵500家公司呢?

已有跡象暗示了此發展方向。今年年初的研究發現,瞄準企業高階主管的欺騙攻擊正在減少當中。同時,備受矚目的SolarWinds駭客事件則說明了透過供應鏈進行網路攻擊的有效性。


2. 電子郵件安全解決方案和透過MX Records部署的第三方閘道將被淘汰

與其說這是來自攻擊者本身的威脅,其實是現有電子郵件安全工具 – 尤其是其部署方式所帶來的風險。許多電子郵件安全解決方案和第三方閘道就位於郵件流量中,透過郵件交換器記錄(MX記錄)的方式來引導流量,該記錄會指定負責接收電子郵件的郵件伺服器。

此方法的麻煩所在不是真正的安全問題:而是操作方面的問題。如果安全工具位於郵件流量中,就可能成為潛在的阻礙。如果安全閘道出了問題 – 例如:斷電 – 就有可能會中斷或擋掉全部的郵件流量。

這種業務中斷無可避免地將帶給安全團隊更大的壓力。即使在完全正常運行時,這種部署方法也會引發延遲,隨著遠端工作越來越普遍,未來將更無法容忍這種延遲。

因為這個理由,我們應該會看到安全團隊將這種部署方法,繼續變更為基於API的解決方案,因為這樣需要更動配置,也能降低當機的風險。




3. 電子郵件攻擊週期將持續縮短

過去,電子郵件攻擊基礎架構會持續幾個星期或幾個月。Darktrace的研究發現,詐騙性電子郵件的平均有效期限從2018年3月的2.1天下降至2020年的12小時。攻擊者可以輕易地購買幾美分的新電子郵件網域和一個全新的網域,而其中沒有惡意活動記錄,這很容易通過大多數電子郵件的安全信譽檢查。

對於依賴特徵碼和黑名單的傳統安全工具而言,這是令人擔憂的趨勢,而且此有效期限將持續趨於零。在不久的將來,我們可以預期攻擊者將可達到建立新網域、發送一封目標電子郵件,接著在週期重複之前就撤消攻擊基礎架構的階段。

4. 網路釣魚將變得更具有針對性

今年「恐懼軟體」的氾濫、迅速擴散,顯示了針對性和局部性網路釣魚誘餌是多麼有效果。線上和橫跨眾多社群平台上資訊的完全可用性,使攻擊者從「噴霧和請求」的發送方法,轉變為經過充分研究和量身定制的發送,造就成功機會較高的電子郵件。由於該技術可用於自動執行大部分偵察,自然可以假定攻擊者將採用這些工具的優點。

5. 駭客將針對身份而不是針對設備

至於攻擊者追尋已擴展遠端工作 – 以雲端服務作為目標的企業,則可能更適合追尋集中式、本地的基礎架構。與勒索軟體相比,用電子郵件發送的詐騙性發票,可以為那些只想取財的網路罪犯提供一種更安靜、更有利可圖的選擇。成功地模仿受信任的供應商,通常可成功地進行電匯詐騙攻擊。再者,由於這些攻擊包含「乾淨」的電子郵件 – 沒有任何連接或附件 – 通常很容易就能通過傳統安全工具。


網路罪犯現在持續尋找新的方式來規避傳統電子郵件安全工具。組織現在必須透過採取新的電子郵件安全方法,來為下一波電子郵件攻擊做好準備,如此才能夠抵消網路閘道所錯過新穎而複雜的攻擊。

現在已有數百個組織採用一種自我學習方法,此方法不依賴硬編碼規則和特徵碼,而是使用AI來發現電子郵件通信中威脅指示的異常模式。隨著攻擊者不斷地創新,對於安全團隊最重要的是,擁有最適化電子郵件安全技術,能夠根據新證據持續重新評估電子郵件。


了解更多關於AI電子郵件安全性的資訊:https://www.darktrace.com/en/products/antigena-email/ 

2021資料保護思維與解決方案

亞利安科技成立至今已邁入第 14 年,始終專注在資安領域的產品代理銷售及服務,近年來當紅議題包含雲端平台、大數據、BlockChain、IoT、AI、數位金融、純網銀、電子身分證、智慧生活、5G…等,我們關注在其應用將帶給企業、民眾更大的便利之外,資安始終扮演是否能推行成功的重要角色之一。這些議題全都跟數據、資料的傳輸與交換有關,也牽涉到企業重要商業機密、民眾的身份個資,根據 Thales 最新研究報告指出,高達 97% 的應用傳輸包含敏感資料,卻只有 30% 真正將資料加密保護。因此,亞利安科技推出資料保護方案,藉由全球加密產品領導廠牌 Thales 旗下的資料加密產品,幫助客戶在檔案 (File)、資料庫 (Database)、數據傳輸 (Data transfer)各個層面,於使用 (Data in use)、傳輸 (Data in transit)、儲存 (Data at rest)等時機都能獲得妥善保護。隨著法規對於資料保護的重視程度不斷提升,甚至明定資料需要加密保護,企業在思考應用的同時,亦需要重視資料加密。2019 年 Thales 與 Gemalto 正式完成合併,在資料保護的產品線亦更加完善。據調查,64% 的企業都至少遭受過一次駭客攻擊,隨著企業數位轉型,駭客攻擊的能見度也逐年提升,SSL 加密憑證的使用也在各方推行之下,網站使用 SSL/TLS 加密連線的比例也不斷成長,近年來一直是企業資安防禦熱門產品的網站應用程式防火牆 (WAF),面對 SSL/TLS 的比重升高,無論各廠牌是純 WAF 設計或是結合負載平衡及 WAF 於一身的整合式設計,都將面臨效能問題。亞利安科技憑藉多年客戶銷售及維護經驗,提早尋求解決之道,代理 SSL 專業廠商Array產品,可輕鬆解決 SSL/TLS 加密、解密的效能問題,此外,其高效能超融合平台 AVX 亦可於其內整合友商的 VM 版產品,如 iMPERVA、Palo alto、ARBOR..等,具備負載平衡、網路效能優化方案整合的優勢。

5G 生態系統及供應鏈安全核心 – 軟體安全
思科台灣首席資安顧問 游証硯 (Allen Yu)

綜所周知從 5G 發展到營運,在我們的生活中已有初步的成效,雖未見超級應用服務在 5G 架構或平台上展現。但由於 5G 涉及層面甚廣,尤其對於台灣製造業的供應鏈實為大發展的商機。然而,在過去二年來,太多的安全產品及服務供應商,著重於 5G 架構及設備的外部防禦及保護。甚少提及 5G 產業及生態下的開發安全;5G 上之應用及服務隨使用的需求或場域需要因應而生,因此自主發展的商機隨處可見,所以軟體安全便是一個重要的課題。

Cisco 使用自主性發展的安全開發生命週期方法論 (Cisco Secure Development Lifecycle,CSDL) 來對 5G 硬體及軟體的發展準則;CSDL 是可重複且可衡量的 5G 軟體安全開發準則。CSDL 流程在提高 5G 產品的彈性和可信賴性。CSDL 應用行業領先的實踐和技術用來建立 5G 供應鏈可信賴的安全體系。

Cisco Secure Development Lifecycle 主要分為六個軟體開發安全循環元素來控管 5G 相關軟硬體的發展,對於各元素著重的相關內容闡述如下:

- Product Security Requirements:產品安全基準 (PSB) 定義所有產品的流程和技術要求,且須針對所有技術、流程和文件要求執行差距分析。

- 3rd Party Security:使用第三方軟體或組件時審視相關安全技術及流程來確保產品整體安全。

- Secure Design:通過考量已知的威脅和攻擊減少設計的漏洞。

- Secure Coding:通過最佳做法,安全和訓練減少設計過程中因人為因素產生的漏洞。

- Secure Analysis:使用靜態分析方法模組化的安全檢測技術找出程序性安全錯誤。

- Vulnerability Testing:篩選是否存在已知的漏洞和易受到攻擊的方向及內容。


一、 Product Security Requirements 產品安全要求

產品安全要求來自二個面向的內容,產品安全基準和市場標準。這些要求是根據已知風險從思科產品安全基準 (PSB) 定義和外部來源 (產品適用所在行業) 匯總而來及客戶期望和行業最佳實踐。產品需要符合這兩種類型的要求:

1. PSB (Product Security Baseline) 定義:安全性相關功能、開發過程以及產品組合的期望,且專注於重要的安全組件,例如軟硬憑證和密鑰管理、加密標準、防欺詐功能、軟體完整性、防篡改功能、通訊層會話控制、資料流控管、敏感資料處理和日誌記錄功能等內容。在 PSB 這個關鍵的要求是不斷增強以融合新技術新基準,並在建立強韌性的保護標準以應對層出不窮的威脅。

2. 市場要求及標準:政府、金融、醫療及關鍵基礎設施等行業或市場通常會需要額外的安全保障。這些要求可能會超出 PSB 定義的要求,思科致力於滿足或超越行業需求。要求的產品認證可能包括:

- 各國商務及海關輸出入的組件、功能或產品的批准管理。

- 國際及各國技術通用標準或 ISO 體系驗證

- 加密功能產品密碼驗證

- IPv6 認證

二、 Third-Party Security 第三方軟體安全

資訊行業慣例是將商業和第三方開放原始碼合併將軟體整合到產品中。因此,在大多數情況下產品和客戶可能會受到影響,例如:發現第三方漏洞或組件的缺陷。為了最大程度地減少影響,使用整合性工具了解其潛在的第三方軟體安全威脅,包括以下內容:

1. 知識產權 (Intellectual property) 系統與入庫管理:內部使用第三方產品軟體通過集中維護的系統及儲存。此一作法需要輸入相關來源地、取得日期、版本資訊、保管人、軟體程式模組組件及內部使用的產品等相關的任何原始資訊及數據,一旦如果發現漏洞,可以快速識別所有受影響的產品。

2. 第三方軟體威脅知識庫:為促進準確性和對第三方漏洞快速應變的機制。建立第三方軟體威脅和漏洞的通知,自動發送警報不斷更新的已知第三方軟體威脅列表中的產品團隊及漏洞,快速進行調查和風險緩解。使用工具對第三方軟體進行掃描、分解及檢查原始碼與 Image Files,以提高第三方軟體庫的準確性和完整性。

三、Secure Design 安全設計

設計階段注重二個層面的管理,例如:設計人員安全知識及產品設計的威脅鑑別,以識別設計缺陷或漏洞可能來自設計人員、過程等,並考慮緩解這些威脅的方法。

 1.設計人員安全知識:安全設計需要對設計人員專業提升。內部安全培訓計劃鼓勵參與開發設計的專家提高安全意識,同時鼓勵深入研究安全學習。通過持續不斷發展的威脅意識及利用槓桿作用,遵循行業標準原則和高度安全的審查流程,致力創造設計更加安全的產品。

2. 產品設計的威脅鑑別:產品開發過程中對程式威脅建模是一個軟體開發組織對於安全深度鑑別的一種方式,且可明確的發掘威脅亦可重複的使用,目的在了解和確定威脅的優先等級、系統安全風險、程式模組的安全銜接性及參數與函數對於威脅的強固性。在對威脅進行建模時,以威脅模組追蹤程式內運行的通訊流、資料流,並確定可能會破壞通訊及資料的信任邊界。一旦識別出潛在的漏洞和威脅,就可以採取緩解策略降低風險。使用威脅建模工具以公開適用的內容簡化了流程,使開發人員明確的找出通訊流及資料流和信任邊界的威脅。

四、Secure Coding 安全編碼

安全編碼需提供更高的完整性和真實性保證,運用 FIPS 140-3 標準以防止拆卸或修改的實體及竄改防護機制,並在安全啟動平台時提供可靠的軟體。在啟動過程中檢查 Hash 值後,Signed Image 確保保護軟體的完整性。

1.由產品項目及組織的要求,程式設計人員必須遵循一套統一的規則和準則。資深開發人員知道編碼和程式實現錯誤可能導致潛在的安全漏洞。組織要求產品開發設計團隊都應承擔責任,且確保抗威脅代碼的不應存在於各產品開發項目中。對於各層級的開發人員實施不定期的安全編碼訓練,學習學習安全編碼準則和最佳做法。

2.準備及使用越來越多經過審查後的強固性安全模組,作為補充安全編碼最佳實踐。這些安全模組的目的在於減少安全問題,同時增強工程師自信地編寫程式及安全功能的能力。至於 CiscoSafeC、CiscoSSL 及 OWASP ESAPI 和其他程式庫則專注於安全通信、編碼和資訊儲存等內容。

五、Secure Analysis 靜態分析

開發用於檢測程式碼的靜態分析 (SA) 工具識別程式內關鍵安全程序,以檢測程式碼C語言和Java語言中的漏洞。通過內部總體流程技術分析、整體模組檢測試驗,確定一組檢查程序以最大程度地檢測安全性問題。如:buffer overflows、tainted inputs and integer overflows 為目標,必須是 False 誤值或程序錯誤等最小化或歸零,且在查看所有檢測後的風險須列示修復高優先級的問題。總體而言靜態分析是以不影響流程式運作流程安全、資料安全、通訊安全等最為高風險控制要求。

六、Vulnerability Testing 漏洞弱點測試

擁有多樣多種的測試工具,從網路層測試至應用層,首先從各通訊協定進行測試最後是應用測試及攻擊測試等;亦使用 20 種以上的 Open Source 進行測試。

漏洞弱點測試有助於確保對產品進行安全缺陷測試。首先確定以下內容為每種產品網路層的檢測分析:

1. 產品中實現的所有通訊協定,亦是檢測在產品開發初期所定義之通訊流中所使用的通訊埠。

2. 基本溝通的通訊埠及服務,確保不因外在因素通過此部份內容危害侵害運作中的程式。

3. 個別產品因系統配置、產品特性及客戶特殊接軌需求等,所需使用的通訊協定、通訊埠及服務。

然後對產品應用層進行評估,以確定其抵禦探測和攻擊的能力;至少三個以上的漏洞弱點應用測試內容:

1. 通訊協定及通訊埠穩健性、模糊性測試,將一堆亂數據輸入到一個程式中,並監視通訊流及程式異常行為是否可能產品安全漏洞。

2. 常見的原始碼弱點和商業性駭客工具可進行常見的攻擊和掃描。

3. 應用面如 Web Applications 應用程序掃描。

要執行有效的安全封裝測試計劃,需要使用多種安全工具,亦可將安全測試全部合併為一個易於安裝的單個工具。這有助於測試團隊以一致且可重複的方式測試安全缺陷。產品團隊設計了定製測試流程及內容,以補充標準的安全測試套件。如:專門的滲透測試和安全風險評估也可以提供進一步的服務識別並解決潛在的安全漏洞。

總之,5G 時代來臨應運而生的架構開發、應用服務開發在供應鏈的生態體系,開發安全實為不可忽視的一環,相關投入資源都應將開發安全注重的內容置放在開發循環中,避免影響整體 5G 的服務。而下一步須關注在 5G 應用軟體的弱點管理,如何將因軟體內外在因素所產生的弱點,以更妥善的處理思維,協助各方安全的應用弱點管理亦是另一項重點。"

5大優勢!讓蓋亞資訊成為台灣企業雲端安全服務的首選夥伴

Oliver Wu 吳炳鈞 / CEO

隨著數位轉型的腳步加速,也帶動三個安全風險提升:1.隨著消費場域從線下搬到線上,電商平台要面臨的分散式阻斷攻擊(DDoS)進入前所未有的高峰;2.因應隨處辦公趨勢帶動的資料流變化,企業與員工若沒有相應的安全意識與行動,將直接影響企業的安防能力,例如,沒有做好設定將導致任何取得視訊會議連結的人(如外部惡意份子)都可以登入、竊取資料等;3.企業開始透過自動化服務與重塑網路架構以確保業務營運流程不會因為實體行動受到限制而中斷,因應而生的安全防護機制是否到位,將直接左右企業營運風險高低。


「隨著企業的數位轉型腳步加快,開始透過雲端服務環境執行各項業務,以雲端服務完善、優化企業安全防護機制是必然趨勢。」蓋亞資訊執行長吳炳鈞以DDoS攻擊為例解釋,隨著消費者越來越倚重數位通路進行各種消費娛樂,如網路購物或線上遊戲,惡意份子開始加重DDoS的攻擊頻率與程度,流量超過300Gbps的脈衝式DDoS攻擊越來越普及,相較於以前只能被動遭受攻擊,在雲端運算資源的協助下,企業可以化被動為主動的有效防禦,避免服務中斷或機敏資料遭竊。「例如,我們曾經在短短半小時內完成相關部署,協助遊戲業者阻擋尖峰流量高達350Gbps/s的DDoS攻擊,讓其順利的完成新款遊戲的上市活動。」


雲端服務除讓企業有能力防禦DDoS攻擊,還具備四個效益,分別是採用雲端安全防護服務有助於企業降低花費在購買軟體跟硬體的成本、使用(訂閱)付費機制讓企業可以更好的控管現金流、雲端安全服務的部署效率高有助於提升企業反應力,以及隨著企業將應用服務搬遷到雲端後,傳統安防架構不敷使用,必須透過雲端安全防護機制予以保護。


5大優勢!讓蓋亞資訊成為台灣企業雲端安全服務的首選夥伴

「資訊安全涵括的範疇極廣,雲端安全服務最適合用在防禦針對企業對外服務的DDoS攻擊、網路機器人(Bot Management)攻擊,以及網路應用程式防火牆(WAF)等,這也是蓋亞資訊自2015年成立至今一直專注的領域。」吳炳鈞進一步指出,過去4年多,蓋亞資訊成功協助銀行、保險、投顧、航空、電商、旅遊、零售、製造、房仲、遊戲與媒體等數百家企業客戶阻擋數十萬次網路攻擊事件,是台灣企業佈局雲端資安服務的最佳夥伴。


例如,蓋亞資訊協助航空業者導入IMEPRVA的WAF、Anti-DDoS與內容傳遞網路(CDN)服務,確保流量尖峰時乘客可以順利地進入網站、瀏覽網站與完成訂票動作,同時,有效防禦對航空官網的惡意攻擊,避免發生個資外洩等問題。


隨著數位轉型的腳步加速,也帶動三個安全風險提升:1.隨著消費場域從線下搬到線上,電商平台要面臨的分散式阻斷攻擊(DDoS)進入前所未有的高峰;2.因應隨處辦公趨勢帶動的資料流變化,企業與員工若沒有相應的安全意識與行動,將直接影響企業的安防能力;3.企業開始透過自動化服務與重塑網路架構以確保業務營運流程不會因為實體行動受到限制而中斷,因應而生的安全防護機制是否到位,將直接左右企業營運風險高低。


「隨著企業的數位轉型腳步加快,開始透過雲端服務環境執行各項業務,以雲端服務完善、優化企業安全防護機制是必然趨勢。」蓋亞資訊執行長吳炳鈞以DDoS攻擊為例解釋,隨著消費者越來越倚重數位通路如網路購物或線上遊戲,惡意份子開始加重DDoS的攻擊頻率與程度,流量超過300Gbps的脈衝式DDoS攻擊越來越普及,相較於以前只能被動遭受攻擊,在雲端運算資源的協助下,企業可以化被動為主動的有效防禦,避免服務中斷或機敏資料遭竊。「例如,我們曾經在短短半小時內完成相關部署,協助遊戲業者阻擋尖峰流量高達350Gbps/s的DDoS攻擊,讓其順利的完成新款遊戲的上市活動。」


雲端服務除讓企業有能力防禦DDoS攻擊,還具備四個效益,分別是採用雲端安全防護服務有助於企業降低花費在購買軟體跟硬體的成本、使用(訂閱)付費機制讓企業可以更好的控管現金流、雲端安全服務的部署效率高有助於提升企業反應力,以及隨著企業將應用服務搬遷到雲端後,傳統安防架構不敷使用,必須透過雲端安全防護機制予以保護。


「資訊安全涵括的範疇極廣,雲端安全服務最適合用在防禦針對企業對外服務的DDoS攻擊、網路機器人(Bot Management)攻擊,以及網路應用程式防火牆(WAF)等,這也是蓋亞資訊自2015年成立至今一直專注的領域。」例如,蓋亞資訊協助航空業者導入IMEPRVA的WAF、Anti-DDoS與內容傳遞網路(CDN)服務,確保流量尖峰時乘客可以順利地進入網站、瀏覽網站與完成訂票動作,同時,有效防禦對航空官網的惡意攻擊,避免發生個資外洩等問題。


蓋亞資訊之所以深受企業客戶青睞,與五個因素有關,分別是擁有豐富的產業實作經驗、媲美國際的一流人才、提供多雲服務、部署速度快,半小時內即可完成所有部署工作,以及提供7x24中/英文線上客服服務。「我們由40位一線工程師排班提供7x24小時的線上客服服務,一個問題平均只要15分鐘就會有人回覆,就算客戶用LINE或WhatsApp等即時通訊系統提問也一樣。」吳炳鈞表示。


卓越的服務能量,不僅讓蓋亞資訊成為企業建置雲端安全防禦機制的最佳夥伴,也取得眾多國際原廠的認證,如是IMPERVA台灣唯一的白金級夥伴,讓蓋亞資訊能夠在第一時間取得最新產品與資源,成為亞太區最大Anti-DDoS供應商,化被動為主動的進行各種防禦,例如協助某房仲業者阻擋競爭對手以網路機器人竊取辛苦開發的房源等資訊。


「我們提供含括規劃、建置、遷移、資安與維運等項目的雲端服務。」吳炳鈞表示,蓋亞資訊除代理眾多雲端平台,如AWS、GCP與Microsoft Azure等,也針對公有雲的不同特性和功能優勢,提供企業客製化的顧問服務,加速新創專案(POC)或新服務的構建。例如,直播平台能夠透過AWS 做低延遲直播服務,將用戶觀看的資料透過GCP的BigQuery進行資料分析。混和雲的建置讓企業在營運和財務方面富有彈性,團隊更能根據營運需求和IT預算,調整整體資本支出(CAPEX)及營業費用(OPEX)在基礎設施上的分配。


吳炳鈞進一步解釋,隨著企業上雲趨勢,越來越多企業採用容器化技術、開始研發雲端原生的應用服務,在這個過程中,能不能在一開始就確認程式碼的安全性,尤其關鍵,也因如此,蓋亞代理全球知名漏洞掃描工具—Snyk,無論企業開發人員是以Go、Python或Ruby進行程式開發,都可以透過Snyk掃描程式碼、解析程式碼與代碼庫的關係,並將安全防禦能量從防堵安全攻擊,擴展到協助企業客戶掃描程式碼的安全漏洞。


欲了解相關資訊,請點選下列網址https://www.gaia.net/

Allot 物聯網安全-企業確保 IoT 服務的解決方案
林哲民 Thomas Lin / 業務經理 Sales Manager

物聯網設備已經從各方面貼近我們的生活,包括醫療保健、能源、運輸安全和維護。這些服務,有些被定義為國家層面的關鍵基礎設施,也是惡意犯罪的主要目標。


芬蘭曾經因為DDoS攻擊而導致供暖系統無法運作,這證明了確保物聯網和物聯網服務連續性的必要性。易受攻擊的連接設備也會對部署它們的企業構成威脅。Verizon的2017年資料簡報摘要中描述,某所大學歷經了5,000台設備,進行了數百次DNS查詢,這使得該機構的整個網路速度變慢,並限制了對許多互聯網服務的訪問。


Allot IoT Defense (AID) 使企業能夠在網路層保護物聯網部署,解決兩個主要問題:

* 物聯網服務保護- 確保物聯網設備的服務連續性並保護它們免受攻擊。

* 物聯網基礎設施保護- 保護物聯網網路和企業網路基礎設施,為物聯網及其IT系統提供連接。


Allot Secure Service Gateway 使企業能夠定義使用策略,以控制對 IoT 設備的訪問,並監控物聯網設備與授權伺服器之間的通信通道。其挑戰在於大量提供細微性存取控制和流量監管。

全球部署在運營商網路,資料中心和企業網路中的Allot多業務平臺可以監控數百萬個流量,並具有最大的物聯網部署所需的規模和穩健性。


可接受的使用策略可以通過以下列方式定義:

* 授權與 IoT 設備通信的伺服器的 IP 位址/域

* 允許通信的協定和應用程式的類型

* 允許通信的時間/星期幾

* 通信允許的新連接數和 BW 數

這些策略可用於減少攻擊面並限制攻擊者控制IoT設備的能力。


Allot Secure Service Gateway 通過 Allot ClearSee Network Analytics 提供強大的分析功能。分析是物聯網防禦的關鍵組成部分,可提供對物聯網部署的全面可視性。Allot ClearSee 可擴展以提供即時和歷史分析,使 IT 運營能夠識別設備、通信模式、協定和應用程式使用情況以及網路利用率。這些功能可用於故障排除、趨勢分析、規劃和定義策略,以實現網路優化和行為分析與實施。


IoT Defense 基於 Allot Secure Service Gateway 和 Allot 多服務平臺的現有功能。以確保物聯網部署的服務可用性,並在出現問題時保護物聯網基礎設施。


BeyondTrust Top 10 Cybersecurity Predictions for 2021 and Beyond

BeyondTrust experts, Morey J. Haber, Chief Technology Officer and Chief Information Security Officer; Brian Chappell, Director, Product Management and Karl Lankford, Director, Solutions Engineering forecast the future threat vectors that most likely to affect organizations worldwide in the New Year. These projections are based on shifts in technology, threat actor habits, culture, and decades of combined experience.

Prediction #1: The Hacking of Time -- Network Time Protocol (NTP) and Windows-time-based servers will become a protocol of interest to hackers. These protocols help control the timing of everything transaction-based within an organization. If the timing is off, everything from licensing servers to batch-based transactions can fail, creating denial of service attacks in key infrastructure on the Internet and within the backend processes of an organization.


Prediction #2: Poisoning of Machine Learning Training Data -- As machine learning becomes more widespread within enterprises for making automated decisions, attackers have a new vector to consider. After a threat actor steals a copy of the original training data, they will begin to manipulate the models generated by injecting poisoned data into the training pool, creating a system that has learned something it shouldn’t. This manipulation will have a multiplying effect due to the automatic processing by downstream applications, destroying the integrity of any legitimately processed data.


Prediction #3: Weaponized AI, Now Just Another Tool in the Attacker Toolkit -- Threat actors will leverage machine learning (ML) to accelerate attacks on networks and systems. ML engines will be trained with data from successful attacks. This will allow the ML to identify patterns in the defenses to quickly pinpoint vulnerabilities that have been found in similar systems/environments. Data from all subsequent attacks will be used to continue to train the cyberattack engine. This approach will allow attackers to zero in on entry points in environments far more quickly and stealthily as they will be targeting fewer vulnerabilities with each attack, evading tools that need a volume of activity to identify wrongdoing.


Prediction #4: Deepfake Everything -- Expect to encounter a new wave of deepfakes that challenges us to believe whether the entity on the other side of an interactive chat window or video call is human or not. For instance, you could soon have interactive sessions with past presidents or even deceased love ones. We will increasingly be in situations, unbeknownst to us, where we are engaged in communication with deepfake technology rather than with a real person.


Prediction #5: Cyberattackers Set up Shop at the Network Edge -- New attack vectors will target remote workers and remote access pathways. Cybercriminals will continue to wage social engineering attacks and also try to exploit common home devices that can be used to compromise an individual and allow for lateral movement into a business. Social engineering attacks will primarily involve various forms of phishing, including by email, voice, text, instant messaging, and even third-party applications. We foresee remote workers to reign as the number one attack vector for exploitation in 2021.


Prediction #6: Data Privacy Implosion -- In 2020, the European Union (EU) court system overturned the governance for protection provided by the EU-U.S. (United States) “Privacy Shield.” Throughout 2021, businesses will scramble to adapt to this expansion of data privacy regulations and the potential implosion of established policies based on challenges in the court systems. International businesses will have to adapt quickly to reengineer how they process client data. Businesses that operate in multiple states must consider how they manage data per state, process it in a centralized location, and codify how they develop procedures around data deletion and breach notification.


Prediction #7: Social Media Attack Vectors Thrive in the Era of Social Distancing -- Expect attackers to move beyond just targeting individuals through social engineering to targeting businesses as well. Poor authentication and verification practices will allow social media-based attacks to be successful. Malicious QR codes or abbreviated URL’s could also be employed to obfuscate the malicious website. Since the social media controls around posting, verification, and URL redirection are so poorly managed, expect new attacks to flourish.


Prediction #8: Cybercriminals Play Puppet Master with Compromised Human Identities -- To reduce the cost of an attack and improve profitability, cybercriminals will target individuals directly to gain an initial foothold in the environment by using non-cyber forms of coercion (bribery, extortion, etc.). These attacks will primarily focus on public figures (politicians, actors, activists, executives, etc.). As more of the human target’s sensitive personal data is stolen digitally, the pressure will mount for individuals to carry out nefarious actions or have their data and privacy exposed to the public.


Prediction #9: Cyber Insurance becomes Mandatory—Cybercriminals Rejoice -- Cybercriminals will target large brands with insurance policies. The insurance policies will pay out to release stolen data rather than face paying out on the policy to cover any remedial action, providing attackers with a new stream of income.


Prediction #10: Who goes there? Friend or Fake? The Rise of Identity-Centric Security -- As systems and services move out of the traditional network/data center environment, security leans more heavily on proof of identity. A verified identity could now be the only ‘key’ needed for all access. Attacks on the mechanisms that maintain and secure verified identities will increase through 2021 and beyond.


For more information, please visit: https://www.beyondtrust.com/press/beyondtrust-releases-cybersecurity-predictions-for-2021-and-beyond.

BigFix 對最新攻擊的回應

概述

在 SolarWinds 週一的公告中,我們的社區瞭解到其 Orion 軟體已成為國際網路間諜活動的不知情管道。SolarWinds 報告說,駭客在 Orion 軟體更新中插入惡意代碼,推送到近 18,000 個客戶,這些客戶可能早在 2020 年春季就已經開始了。雖然損失的全部程度尚不清楚,但已報告了違規情況。


需要採取緊急行動

SolarWinds 在全球擁有 300,000 多個客戶,我們相信這是一個極其普遍的威脅。SolarWinds、FireEye、SANS、US-CERT 以及國土安全部 (DHS) 的網路安全和基礎設施安全機構 (CISA) 已發布了與此次活動相關的商業和政府組織警報。


國土安全部的CISA在最新的緊急指令中確認了與SolarWinds Orion 產品相關的入侵(版本 2019.4 至 2020.2.1 HF1)。這些版本目前被利用,允許惡意攻擊者訪問網路流量管理系統。緊急指令提供了使用Orion軟體的政府機構要求採取的詳細行動。


使用 BigFix 的 IT 和安全團隊可以快速確定哪些系統安裝了 Orion 軟體,檢測是否存在受損版本的 Orion,並幫助隔離受感染的系統。有關如何使用 BigFix 檢測危害指標的更多資訊,請參閱HTTPs://forum.bigfix.com/t/dhs-emergency-directive-21-01-solarwinds-thread/36420 。


如果發現受感染的系統,DHS 建議關閉系統,直到取證完成,包括確定是否發生了違規。完成後,DHS 建議從 ISO 映射重建系統。組織可以為此做好準備,或開始使用 BigFix LifeCycle等已建立的工具預配新系統。再次,請參閱DHS 緊急指令,瞭解政府機構和部門所需的行動。商業客戶也可以參考微軟關於最近民族國家網路攻擊的客戶指南。 


BigFix 現在如何幫助解決此威脅

全球 BigFix 社區正在共同努力,不斷完善應對這一威脅的方法。請關注最新https://forum.bigfix.com/t/dhs-emergency-directive-21-01-solarwinds-thread/36420社區與各行業的安全專業人員合作,快速確定並驗證了使用 BigFix 報告 SolarWinds 安裝和易受攻擊的版本並檢測與此漏洞相關的惡意危害指標 (IoC) 的方法。隨著局勢的發展,新的見解和方法正在被納入其中。


我們的客戶可以放心,HCL軟體沒有在其環境中存在SolarWinds的妥協版本,我們也不知道任何HCL承包商或供應商誰使用SolarWinds。HCL BigFix 使用的工具都沒有受到SolarWinds或FireEye報告的違規事件的影響。因此,我們向尊貴客戶提供產品和服務的能力沒有受到影響。我們保持警惕,維護數據安全和保護我們的系統。


BigFix 每天提供對潛在暴露或危害的深入瞭解

BigFix 經常用於提供對漏洞和威脅的更深入的見解,以及近乎即時地實施補救。BigFix 提供立即識別和檢測可能易受攻擊的系統的方法,持續分析您的系統以識別任何新受影響的系統,提供有關軟體安裝和刪除的歷史報告,以幫助確定暴露視窗,可以驗證安全策略,以確定特定安全控制是否以及何時被攻擊者修改或禁用,並可以部署操作系統或映射系統以快速恢復系統。

 

有關 BigFix功能的更多資訊,請造訪 www.BigFix.com聯絡您的 HCL 軟體專家。

Cimtrak網頁/應用程式伺服器、網路設備異動偵測與防竄改與 CIMTRAK Compliance Module / CIS Benchmarking / DISA STIGS 模組 法規遵循與漏洞管理模組軟體

當組織安裝新的作業系統或應用程式時,預設情況下沒有任何東西是安全的,並且一切都已開啟。這包括打開的端口、正在運行的應用程式服務等。CIS BenchmarksTM 可幫助您以強化的方式設定新的作業系統或應用程式。CIS BenchmarksTM 已整合到 CimTrak 的法規遵循模組中,CimTrak 在其中提供詳細的警報、報告與控制。

主要功能:

• Benchmark Scanning 基準掃描

• Policy Monitoring and Grouping 策略監控和分組

• Compliance Mappings 法規遵循要求對應

• Network Discovery 清查網路

• Waiver Management 豁免管理

• Compliance Dashboard 法規遵循儀表板

• Agent & Agentless 代理與無代理程式

• Reporting 報告

• Vulnerability Management 漏點管理

法規遵循要求

• 第一家也是唯一一家具有防止異動功能的完整性管理工具

• 世界上第一家也是唯一一家通過通用標準認證的 EAL (評估等級保證) Level 4+ 的完整性軟體

• 第一款也是唯一被列入美國國防資訊系統局統一功能批准產品清單的的完整性軟體

• 第一款獲得 連續診斷與緩解 Continuous Diagnostics & Mitigation (CDM) 批准的完整性管理產品

• CimTrak 獲得許多網路安全方面的創新獎項的肯定

• 業界唯一同時提供下列「即時異動偵測」、「自動復原」與「防止覆蓋竄改」功能的檔案完整性軟體。

• 支援 Windows/Unix/Linux 等作業系統伺服器/工作站、支援 伺服器、網路設備、工作站與 POS 系統、資料庫、Active Directory/LDAP、PCI 設定、雲端設定 (Azure、Google Cloud、Oracle Cloud、Amazon Web Services)、VMware ESX / ESXi 設定、Kubernettes 設定與 Docker 設定等廣泛的基礎設施。

• 選購 Trusted File Registry™ :提供可信賴的檔案登記 Trusted File Registry 防止軟體更新 Patch 時誤判。

• 選購票務系統Ticketing System 提供了一個簡單、易於使用的 票務系統Ticketing System,讓計畫的變動與版本升級可以在安全、監控下的情況安全的實施。

• 選購威脅來源 Threat Feed :CimTrak 與 STIX 1.0 / 2.0 和 TAXII Thread Feeds 整合。隨著從威脅源下載新威脅的 Hashes,CimTrak 會自動使用 惡意軟體/威脅 Hashes malware / Threat hashes 更新其黑名單。只要有檔案異動時 CimTrak 就會確認這些異動或新檔案是否為惡意軟體/威脅?

• 即時 檔案與惡意軟體分析 Real-time File & Malware Analysis :當檔案發生異動時,CimTrak 可以與 Virus Total、Palo Alto Wild fire 或 Checkpoint 的威脅 API 整合,對檔案異動進行即時分析並自動檢查 CimTrak 監控的其他系統上是否存在惡意資料。

• 異動時即時通知:讓您深入了解您的 IT 環境中發生的情況。

• 自動啟動更正:讓您能夠採取即時、自動的行動,以補救或完全阻止異動。

• 提供所有異動的紀錄文件:為您提供了一系列關於您的 IT 環境變化和所採取措施的報告。

• 協助客戶符合 SWIFT CSP、NYDFS (23 NYCRR Part 500)、PCI DSS 、ISO 27001、NIST 800-171 等標準的法規要求。

• 提供 REST API 可讓客戶客製軟體在安全、監控下的情況下更新定期與計畫中的網頁、應用程式。

CrowdStrike Falcon 整合次世代防病毒 (AV)、端點檢測和回應 (EDR) ,以及威脅偵測服務。

CrowdStrike 是透過雲端提供服務的次世代端點保護的領導者。CrowdStrike 是第一家也是唯一一家整合了次世代防毒(AV)、端點檢測和回應 (EDR) 以及7天24小時威脅偵測服務服務的公司,只需要安裝一個羽量級代理程式(sensor)就可以作到,這在端點保護是一大變革。CrowdStrike Falcon™平臺經過實證,可以取代傳統的防毒軟體,透過領先業界領先的雲端服務架構,改造了端點保護的交付方式。


CrowdStrike Falcon使用複雜的非特徵比對的人工智慧、機器學習與以攻擊行為進行分析(IOA)的威脅預防技術,即時阻止已知和未知的威脅,保護客戶免於受到各種先進的(advanced)網路攻擊。這個創新技術的核心就是CrowdStrike Threat Graph™,每天針對部屬在170多個國家的數百萬個感應器的500多億個事件,進行關聯分析,為整個客戶社群提供獨特的雲端防護。


許多世界上最大的組織或公司已經非常信任 CrowdStrike,包括3家全球營收前十大的公司、5家全球前十大的金融機構、3家全球前十大的醫療機構,以及3家全球前十大的能源公司。

Dell EMC Cyber Recovery 解決方案 企業對抗勒索軟體最佳選擇

遠離破壞性網路攻擊、避風港計畫再進化

勒索軟體大肆蔓延,如全球最大晶圓代工業者,因一個環結疏忽,導致生產機台遭到勒索軟體入侵,預估損失金額高達 52 億元。根據 FBI 統計,從 2013 年 10 月到 2019 年 11 月之間,勒索軟體受害者至少支付價值 1.4 億美元的比特幣。


早在2018 年,美國民間銀行業者亦提出避風港計畫(Sheltered Harbor),避免發生災難性無法復原的事件,維持民眾對美國金融體系的信任,而Dell EMC Cyber Recovery 則是第一個符合該計劃要求的解決方案。


保護備份資料安全 對抗勒索軟體不二法門


避風港計畫之所以受到美國通貨監理局、聯邦存款保險公司認可的關鍵,在於要求金融業者需將關鍵帳戶資料轉換成標準格式,有效隔離主中心與備援中心的備份資料並驗證資料完整性、加密後,傳送至數據保存庫(Data Vault) 。數據保存庫需具備安全隔離、不可竄改、災難發生時可即時存取、只允許授權者取回資料、分散式保存資料等條件。至於台灣資通安全管理法案的資通安全規範中,也明白指出需防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。


Dell EMC Cyber Recovery 解決方案能通過避風港計畫認可關鍵在於採取獨步業界的斷、捨、離、鎖概念,即斷開備份主機與備份儲存媒體,讓備份儲存媒體直接與備份用戶端溝通,資料傳輸通道全面加密,且備份資料亦須加密。其次捨去大量重複資料,透過專利去重技術,高速備份;接下來,將備份主伺服器遠離採用容易被攻擊的主流平台、並以安裝在虛擬化平台上為主。最後,備份資料需具備上鎖機制。Dell EMC Cyber Recovery 解決方案眾多國際認證,包括 SEC 17a-4(f)、HIPAA、SOX、CFTC、FDA 21CFR、ISO Standard 15489、MoREQ-1...等。


Data Domain 搭配 Cyber Recovery Vault 結合技術團隊顧問服務深受許多金融業肯定的 Dell EMC Cyber Recovery 解決方案,是由 Dell EMC Data Domain 搭配 Cyber Recovery Service、Cyber Recovery Vault 等而成的整合性方案。Cyber Recovery Service 部分,考量到不同產業需求差異極大, Dell Technologies 技術團隊會依照企業營運需求與特性,透過事先評估與規劃的方式,為企業建置一套自動化備份機制,除可提升加速備份速度外,也能免去人為操作的疏忽。


「許多企業相當熟悉的 Dell EMC Data Domain,搭載 Intel® Xeon® 處理器,是一套備受全球用戶肯定的資料保護儲存系統,具備備份、封存及災難回復等功能。」 陳盈良解釋:「這款產品具備絕佳的重複資料刪除技術,可將備份儲存空間減少 30~50 倍,同時可縮短備份時間。另外,與用戶端電腦傳輸過程中,則是走專屬的DDBoost 協定,除可加速資料備份速度外,也能避免發生資料被竊取的狀況。」


當 Dell EMC Data Domain 完成資料備份工作後,會透過 Air Gap 機制,自動將資料寫入異地Data Vault,確保備份資料都能受到完整保護。


Air Gap 機制僅在有資料傳輸需求時才會打開,所以幾乎可以阻斷勒索軟體感染備份資料的機率。


內建勒索軟體偵測引擎 確保備份檔案安全


Dell EMC Cyber Recovery Vault 會依照不同時間,保存多個資料副本並且上鎖外,更會運用內建沙箱功能持續對不同資料副本進行驗證工作,確認資料本身是否有惡意程式。當發現備份資料有異常時,會立即向管理者發出警告訊息,並且將備份檔案進行隔離,以免日後用於還原時,對公司造成二度傷害。另外,該設備整合 Index Engines 的 CyberSense,能套用多種智慧型偵測技術,判斷備份資料是否遭到勒索軟體感染。


陳盈良說,對於有需要建置備援架構的業者,Dell Technologies 可進一步協助建置資料安全恢復區。Cyber Recovery Vault 會自動將安全的備份資料副本,傳送於異地的 Data Vault 上,再依照需求配合還原作業將關鍵備份資料還原至資料安全恢復區,當主資訊系統遭遇天災或駭客攻擊事件時,該系統隨可接手運作,確保企業營運不受影響。


隨著勒索軟體攻擊愈演愈烈,Dell Technologies建議各企業,尤其是金融、政府與製造業的關鍵基礎設施擁有者與維護者,可運用 Dell EMC Cyber Recovery 解決方案打造自動化備份機制,對保護商業資料、商業營運流程運作等帶來極大助益。

DevOps : 結合資安檢測掃描工具的敏捷開發平台

DevOps 為近幾年常見的軟體開發模型,其精神為將開發和營運(DevOps)結合一體,但在在資安風險安全意識抬頭的今天,對於軟體開發品質的安全要求都日趨嚴格,如何在DevOps 軟體開發文化中融入資訊安全的觀點,這對DevOps 開發流程中是一個挑戰。在DevOps 加速迭代的軟體版本週期時,在「持續整合」(Continuous Integration, CI)、「持續部署」(Continuous Delivery)與「持續交付」(Continuous Deployment)中,加入資訊安全自動檢測環節,即可在軟體開發初期,使開發人員及維運人員可更迅速的了解問題所在,大幅提升產品品質。

 

為了將資訊安全融入DevOps 開發流程內,提出III DevOps 工具解決方案,其核心軟體以開源軟體為基礎,平台亦選取開源軟體的授權條款進行授權。  


其目的為將資訊安全檢測工具融入在 CI/CD 開發流程內,於軟體開發過程中,開發者上傳原始碼後,即可自動化進行檢測,包含原始碼掃描及弱點掃描等資安檢測,由於傳統資安檢測工具十分耗時,使用者可設定於特定情況(如特開發分支有進行合併)下才進行相關特定功能檢測服務,可同時維持DevOps 開發流程並也可持續進行資安檢測。並且可自動化將檢測結果回傳於平台,讓使用者快速了解目前軟體開發的品質及狀況,以利開發者於軟體初期即可檢視相關問題,可避免過去檢測模式,只在產品最後檢測階段發現問題,卻以為時已晚,或要花費極大物力人力才能改進的問題。



簡易描述其功能特色如下:

1. 兼具軟體工程、CI/CD 及專案管理需求:整合了Gitlab、jenkins、Rancher、Redmine、Postman…等多項開源方案。


2. 平台提供多角色功能:有三個主要使用角色、包含系統管理員、專案經理及開發人員。提供各角色專屬的管理介面及工具。


3. 底層開源工具與使用者介面相互切換:使用者可直接使用III DevOps 平台提供的介面,若本身習慣開源工具者,如 Gitlab、Redmine 等,亦可選擇直接使用底層開源工具


4. 全平台容器化:系統元件及系統皆部署在Kubernetes上,可支援橫向擴展


5. 支持多元環境佈署:針對不同的開發語言、framework、執行環境,提供可選用的快速佈署的服務。


6. 彈性加值功能服務:平台提供系統介接介面,以介接外部工具,如資訊安全檢測工具(Checkmarx CxSAST、Fortify WebInspect、SonarQube),發展出特化模式或豐富生態系的經營型態。

 

7. 強化 DevOps 自動化運作:可將依據使用者自行設定彈性加值服務,自動化將檢測結果轉成待處理項目提供給開發者,符合DevOps 開發流程,自動完成循環作業。


更多資訊請參閱 www.iiidevops.org



Entrust收購HyTrust進一步拓展虛擬與多雲端環境下的加密、密鑰管理與安全狀態管理服務

全球領先的身分識別、支付暨資料保護領導者Entrust在2021年1月宣布收購HyTrust,HyTrust是虛擬化與多雲端數據加密、密鑰管理暨雲端安全狀態管理的創新解決方案供應商。本次收購案的詳細交易內容將不予公開。透過收購HyTrust,Entrust在管理領域將有關鍵性的拓展,特別是針對其數位安全解決方案的加密、密鑰,以及雲端安全政策,將提供符合企業需求與符合規範的資料保護服務,協助企業加速數位轉型。


Entrust總裁暨執行長Todd Wilkinson表示:「企業正快速經歷數位轉型,以便享受雲端運算的效益與規模所帶來的益處,因此,資料保護與合乎規範將成為首要考量。我們很高興能將HyTrust團隊與其解決方案納入Entrust旗下,HyTrust解決方案能為企業在跨運算環境下的安全控制提供管理、自動化與擴展服務。往後客戶僅需透過Entrust便能享有高度保障的資料保護、身分識別,與合規解決方案,讓企業在虛擬化、公有雲,以及混合雲的環境中,做到數據加密並施行安全政策。」


HyTrust成立於2007年,總部位於加州山景城(Mountain View),HyTrust的解決方案可自動執行安全控制,適用於軟體定義的相關計算、網路,與儲存負載,提供最高級別的可視性、精細的政策控制與資料保護。透過即時自動化與安全策略,協助HyTrust客戶改善安全狀態,加速節省雲端運算及虛擬化的成本,同時也能迅速符合相關規範,防止意外中斷。HyTrust的合作夥伴包含VMware、IBM、Cisco、Intel、Google、Amazon,以及In-Q-Tel。這家私有企業約有50名員工,將因本次收購案而加入Entrust。


因本次收購案而加入Entrust的HyTrust聯合創辦人暨總裁Eric Chiu表示:「我們非常開心HyTrust能夠加入Entrust團隊。Entrust是業界公認的資料保護、身分識別與支付安全解決方案領導者,憑藉著Entrust在加密技術的專業知識及全球影響力,得以在世界各地拓展並支援HyTrust的解決方案。隨著多雲端部署日漸普及,企業無不致力於保護雲端基礎建設及資料。我們的整合解決方案將能協助企業有效駕馭雲端平台,享受其優異效能的同時也無需犧牲安全性或合規性。」


Entrust與HyTrust現已合作開發聯合解決方案,該方案將整合Entrust nShield®硬體安全模組(HSM)與HyTrust DataControl及KeyControl加密密鑰管理服務(KMS),能集中且自動化加密密鑰的管理,讓企業得以一致地大規模產生並控制加密密鑰的生命週期。透過本次收購,Entrust預計可促進應用於就地部署(on-premises)、混合雲、虛擬化與多雲端環境的安全與合規解決方案。


Entrust身分識別暨資料保護高級副總裁兼總經理Cindy Provin表示:「專業的一站式數據加密、密鑰管理,與雲端安全策略服務,將為雙方的客戶帶來極大好處,除了改善安全狀態並滿足規範需求,還能同時簡化跨環境的加密與密鑰管理。我們十分期待與HyTrust團隊、夥伴,以及客戶們展開合作。」


更多關於本次的HyTrust收購案,請參閱:https://www.entrust.com/partner-directory/hytrust


關於Entrust

Entrust提供可靠的身分識別、支付與資料保護,維護世界安全的運轉。在今日,人們遠比以往更加要求無縫隙的安全體驗,不論是跨越國界、購物、使用政府電子化服務或登入企業網路。Entrust在這所有互動的核心提供無與倫比的數位安全與信用確保方案。Entrust員工超過2,500人,並擁有一個全球夥伴網絡,客戶遍及150多國,獲得全球最受信任企業組織的信賴。詳細資訊請參考www.entrust.com。

IXIA ThreatARMOR 全球資安情資分析防禦系統

全新的防禦盔甲

隨著網路威脅的複雜性和強度不斷提升,透過威脅檢測、惡意軟體檢查、WAF、DLP、DDoS、防火牆和 IPS/IDS 系統來保護網路,這大幅增加了成本支出及管理的複雜度。

ThreatARMOR™在您的網路中建立第一線防禦陣地,通過在不正常流量抵達現有安全基礎架構之前予以刪除進而消除網路威脅。一台 ThreatARMOR 安全設備可以部署在內部和外部網路出入口,發現受感染的內部系統並阻止其與外面殭屍網路控制器的通信,同時可阻擋已知不正常網站和特定國家的連線進而降低防火牆負載。來自這些網站的加密連接也可以自動阻止。

ThreatARMOR 不使用特徵碼,並且不會出現誤報。對於任何被阻止的網站,都會提供惡意活動的證據,例如惡意軟體分發或釣魚攻擊,包括最近的確認日期甚至截圖。Ixia 的應用與威脅情報(ATI)研究中心會持續更新該網站列表,分別驗證每個網站並於每五分鐘通過雲端更新一次。


《特性》

  • 在第一線去除各種資安威脅的流量而縮小客戶端的攻擊面,可減輕後端資安設備負擔(NGFW/IPS/DDOS/WAF/APT/SIEM…….等)。
  • 提供全球最完整的IP及DNS威脅資料庫,包括Botnet、phishing、hijacked、Malware、非法IP (未註冊IP) 全面性的防禦。
  • 內建的獨有高速處理晶片協助客戶端直接在local比對IP來源及目的地,並且在開啟所有功能後,仍然可以維持line rate speed高速處理效能。
  • 無需解開SSL即可判斷資安威脅。
  • 沒有誤報 – 為所有被阻止的網站提供清晰的犯罪行為證據。
  • 業界最快每五分鐘更新資料庫,縮短資安威脅防護時差。
  • 內建Bypass機制,即使設備發生故障,仍可保持原有線路暢通。
MITRE ATT&CK 發布EDR測試報告,Bidefender 表現極盡完美

網路安全領導者—Bitdefender,保護全球超過5億個系統超過18年,在其第一個MITRE ATT&CK® EDR評估中表現極盡完美,再次證明了Bitdefender 的超強能力。


ATT&CK向Bitdefender挑戰了APT29的19個模擬攻擊階段,APT29是世界上最隱秘的俄羅斯黑客組織Cozy Bear。MITER ATT&CK® EDR評估測試了供應商偵測各種攻擊者活動的能力,這些攻擊者從最初的入侵、橫向移動、持久化和滲透,涵蓋各種複雜的攻擊。


ATT&CK評估結果顯示,Bitdefender在技術、戰術和常規檢測之間的整個攻擊鏈中實現了最大覆蓋,Bitdefender EDR精確處理和曝光了所有相關的數據。


從最初的入侵到持久化,在詳細說明特定的攻擊技術並為攻擊框架鏈中的每個步驟提供通知方面,Bitdefender的表現也優於同類產品。結果顯示,資安專業知識有限的組織可以輕鬆利用Bitdefender的回溯數據功能,獲取直觀的數據和足夠的攻擊技術細節,以減少偵測時間並提高對進階攻擊的能見性和回應速度。


在ATT&CK評估中,Bitdefender還:

•為APT29攻擊中使用的所有技術提供了最多數量的通知,證明了它完整涵蓋了攻擊框架中的每個步驟。

•在識別實際的攻擊技術(不僅僅是常規檢測)方面表現出色,比其他任何供應商都更詳細地介紹了更具體的攻擊技術。 


Bitdefender的網路威脅情資總裁Dragos Gavrilut說:「毫無疑問,對供應商提供的產品進行獨立評估是判斷其有效性的最佳方法。」,「Bitdefender首次參與MITER ATT&CK測試,便獲得如此出色的成績,我們感到非常驕傲。」,「所有最權威,最值得信賴的獨立第三方機構,都證明了Bitdefender的卓越表現,這次最新的測試也是對我們EDR產品實力的再次確認。」


ATT&CK的結果是一系列榮譽中的最新重大成就,這些成就表明Bitdefender提供了一流的EDR安全解決方案,能夠充分滿足中大型企業嚴格的安全性和營運需求。


閱讀完整的MITER ATT&CK® EDR測試報告:

https://attackevals.mitre-engenuity.org/APT29/results/bitdefender/index.html

NEITHNET 進軍資安市場 勾勒資安防護新思維

融合技術、經驗,結合在地化情資,首波發表 NEITHInsight、NEITHSeeker


日益猖獗的資安威脅,已是不容忽視的國安議題,尤其是無孔不入的勒索軟體,更成為企業與政府的夢魘。光是 2020 年,除眾所週知的台塑、中油等遭入侵事件外,亦傳出多家知名高科技大廠遭到勒索軟體綁架,嚴重衝擊企業的正常運作之餘,也對商譽造成極大影響。儘管多數業者均已建立資安機制,資安設備亦發覺勒索軟體的異常行為,且持續發出告警訊息,然資安人員終究無法找出潛伏位置。箇中原因,在於企業內部缺少一套 IOC (Indicators of Compromise,入侵指標) 平台輔助,以及具備足夠專業技術能力的資安人員,最終爆發遭到勒索軟體綁架的憾事。

為此,匯集眾多資安專家的騰曜網路科技 (NEITHNET),正式宣布推出融合全球與台灣在地情資的 IOC 平台- NEITHInsight,以及可協助企業處理資安事件的 MDR(Managed Detection and Response) 服務- NEITHSeeker,全力提升企業的資安防護等級,對抗無所不在的資安威脅。NEITHNET 資安團隊長期投入追蹤各國駭客攻擊型態及歷史情資,專注於網路威脅的研究及技術開發,擅長大型網路DDS 流量與連線攻擊分析、DPI 網路行為封包分析,以及惡意程式網路攻擊行為分析等。

NEITHNET 總經理林岳鋒說,令人聞之色變的勒索軟體,通常會在企業潛伏數個月或更久時間,默默進行網路架構探索、資料收集等工作,最後才會在預先設定時間發動攻擊。多數資安設備在勒索軟體潛伏期間,都會偵測到異常行為並發出告警訊息,可惜仍然不足以協助資安人員從告警訊息中,找出勒索軟體躲藏的位置。此時,若有一套 IOC 平台協助,將有助於資安人員在最短時間內找出被勒索軟體感染的檔案,這正是我們推出 NEITHInsight 的原因。

市面上 IOC 平台不少,然多數情資都是屬於全球性的資安訊息,欠缺台灣專屬的情資輔佐,也削弱產品帶來的效益。NEITHInsight 在保有全球性情資之外,也融合從台灣網路環境中取得的大量本土化情資,能有效協助資安人員找出為台灣環境設計的攻擊行為,縮短揪出勒索軟體或惡意威脅的時間。其次,NEITHInsight 情資收集範圍非常廣,除來自於外部攻擊的資訊,也包含勒索軟體、惡意程式入侵之後,在公司內部散播、回傳等資訊,因此準確率自然值得信賴。

值得一提,NEITHNET 亦有建立世界級的資安實驗室 (NEITHCyber Security Lab) ,可驗證情資真假,乃至於進行回測分析,同時還能模擬真實網路環境,以準確掌握惡意程式的攻擊模式與後續影響。

林岳鋒指出,鑑於全球資安人才不足,多數企業都面臨手中擁有大量事件資料,卻沒有足夠人力,在第一時間處理異常事件的困境,所以我們也同步發表 NEITHSeeker 服務,就是希望協助企業以最快速度處理資安威脅。NEITHSeeker 會自動收集與分析企業內部網路與資安設備產生的資訊,且能在偵測到異常事件當下,立即做出回應,可將資安威脅控制在最小範圍,保護企業數位資產的安全。相較於其他業者的MDR服務,我們在專業能力、經驗上更勝一籌,結合 NEITHInsight 的在地化情資,能提供效果更佳的資安服務。

面對詭譎多變、攻擊手法日新月異的資安市場,2021 年 NEITHNET 首要工作放在推廣 NEITHInsight、NEITHSeeker 等兩項產品與服務,讓更多企業了解引進 IOC 平台、MDR 服務的重要性,打造面對攻擊手法不斷進化的資安防護機制。

People-Centric Security : Empower your people to protect your organization 以人為本:讓「人」來保護組織

Jennifer Cheng/Director of Product Marketing, Proofpoint


從任何角度來看,2020對駭客來說是個忙碌的一年。因為疫情影響和威脅的增加,許多組織淪為網路攻擊的對象。

根據Proofpoint 2021的釣魚攻擊報告,發現有57%的組織在去年被駭客成功使用釣魚攻擊,不僅影響深遠,企業也受到損害:近三分之二原因是資料外洩;一半則是帳號或憑證被竊取。

而勒索軟體也不甘示弱地在2020繼續擴張。儘管受攻擊的比率和往年相同,但有更多的組織選擇支付贖金,卻可能未回復運作:有近三分之二的組織受到勒索軟體攻擊,有一半選擇支付贖金,僅六成在支付第一筆贖金後能拿回資料,其餘則被繼續勒索或根本石沈大海。

儘管釣魚和勒索都不是新的駭客手法,但仍是資安團隊的保護重點。因疫情緣故,去年駭客攻擊成功的比例升高,不過更需要關心的是現今威脅的發展,駭客更主動地鎖定「人」為攻擊對象、而非網路或IT架構。當技術防護不斷更新,使用者意識卻未跟上腳步,這個落差只要還存在,企業就卡在只能瞻前卻未能顧後的困境。

Closing the awareness gap減少認知落差

使用者意識是企業防護的關鍵,就跟其他技術防護和控制一樣重要,儘管如此,卻未受到同等重視。企業幾乎都有資安教育訓練計畫,但有近乎一半的教育訓練在一年內未超過四次,而大多數也沒有超過兩個小時;也僅有一半的公司是對全公司人員訓練,其中的六成才採取正式實體或虛擬的訓練課程。

使用者意識的不足顯示了企業缺乏完善的訓練規劃。儘管常看到企業被駭的新聞,但僅有33%的使用者能清楚描述勒索軟體的定義,65%了解惡意軟體和63%了解釣魚攻擊。

這對資安人員來說可能難以置信,但這就凸顯了認知和理解的落差。使用者可能知道有些家庭和知名品牌受駭客攻擊,但不代表會了解攻擊機制,也不知道以企業用戶的身份該如何預防。 

為了縮減知識落差,資安意識培訓需要不僅教育常見的防護基礎,更要讓他們了解自身的資安責任。

Identifying your Very Attacked People找出常受攻擊的人

為了提供對的訓練給對的人,應該要先辨別誰在組織中風險最高,在Proofpoint我們稱之為VAP常受攻擊者。

在識別前要避免先入為主,因為VAP可能在組織的任一個職位,儘管高層可能是最直覺的攻擊對象,但攻擊者其實最常鎖定他們旗下的人員,但在不同組織和產業,VAP也會很不一樣。在最近Proofpoint發現的例子中,在一個大型照護機構前20個VAP也剛好是VIP;而在金融組織裡則僅有一位VIP是VAP。

而VAP會持續變動。像資安意識培訓,辨認VAP的工作不是一次性的,因為這些人可能會隨時改變。當確認了VAP,就能評估他們的資安意識,有這些資訊,就能建立客製的訓練計畫,能依據每位的風險評估,各別補齊資安認知落差。

這就是以人為本的資訊安全。而通常就是你和駭客間的唯一防線。

Building a people-centric cyber defence 建立一個以人為本的資安防禦

駭客通常會持續攻擊你的組織。如果你不能像駭客一樣,就可能被成功攻擊。了解TPP攻擊戰術流程其實並不足夠,用戶行為常是最大的變數,強化用戶行為就成了當務之急。

而首先就是要創造企業文化,「資安並不僅是IT人員需要落實,而是所有人的責任。」這樣的文化要透過正規且有脈絡的資安訓練,且根據使用者和不斷改變的威脅情勢時時調整。

這不代表訓練該是個考試,而是要使用者學會防禦,這也是訓練計畫該強調的重點。不是要學會名詞定義和攻擊模擬,而是著重在教育行為與其伴隨的潛在風險。

當使用者了解使用單一密碼和資料外洩間的關聯、從未知寄件者點擊可疑連結與勒索軟體的關係,那他們的使用習慣就會因此改變。有80%組織認為資安意識培訓有助於降低駭客攻擊的影響。

資安不再是技術規範。在這個以人為對象進行攻擊的年代,理解與認知才是關鍵,使用者知道的越多,才能更加確保組織安全。

ShareTech 完整IT、OT與內網解決方案

隨著網路的快速發展,讓每個物體因IT的結合而產生不同的應用,也讓人對未來的產業期待會有重大改革變化,而IOT(Internet Of Thing)隨之而生。IOT涵蓋的層面包含個人、家庭、城市至整個工業物聯網。如果要解釋IOT,會將它的架構分為是由IT與OT組合而成。IT與OT是兩種不同的概念,IT是大家比較熟知的領域,在IT環境中企業主要仰賴邊界的防火牆抵抗外部的攻擊,進而保障核心的ERP、WEB主機系統。在IT環境中,思考角度主要是以人為對象,不管在有線或無線的環境,都希望對人的行為進行妥善的管制,像是上班時間限制使用者網頁瀏覽行為、應用程式使用服務(影音、外掛程式..)或頻寬使用量,並能有效對使用者進行身分識別驗證。過去這幾年,市場上有許多的IT閘道產品,都可以滿足企業用戶所需的IT防護,像是防火牆、UTM、新世代防火牆、頻寬管理設備、IPS設備…等。

但OT的環境卻與IT關注的不同,多數OT環境管的機器,負責控制生產製造,而工業4.0的發展雖然讓所有設備透過聯網帶來更便利性的運用,但是只要遭遇一次的網路攻擊,智慧工廠帶來的效益,像是設備管理、資料蒐集分析、流量監測、供應鏈管理等,都將瞬間化為烏有。這也是企業在導入智慧工廠時,不能輕忽網路攻擊所帶來的風險性。舉例來說:工業系統的生命週期高達15~20年或更久,但這些系統設計製造之初,往往並未將資訊安全的需求考量在內,系統資源僅供控制用,機器只要穩定運行就會儘量不更新或延後更新,使得內部系統充滿漏洞,風險極高,以往採用的實體隔離為基本保護策略,使得ICS的韌體與軟體難以替換,更新修補程式也很少有機會安裝。

當OT與IT結合時,會擦出什麼樣令人驚奇的火花令人期待。但是IT就像兩面刃,如果能妥善運用,勢必可以穩定OT場域的生產運作外,還可以提升生產效能;但是如果未能關注IT與OT結合可能產生的威脅,則很容易讓攻擊者由OT網路進入至整個企業環境,所以不能不慎重啊!因此,當IT與OT整合時,建議需以「清」、「透」、「澈」作為規劃考量。所謂佈署管理維護需「清楚」、威脅能見度需「透明」、數據解析能「明澈」,加上從硬體與軟體不同層面思考,打造更完整的網路安全服務。

因此,2021年眾至資訊ShareTech推出智能工廠、醫療產業、重要基礎設施適用的OT防護設備(OTS系列)。ShareTech OTS設備具有彈性布建方式,可融合單位現有網路架構,支援LAN BYPASS模式、ICS工業協定埠、內涵深度封包檢測(DPI)、應用程式白名單、識別管理者身分、加密流量檢測、Virtual Patch、OPC防護,並能夠識別內容ID,具有保護內容、阻止惡意內容的能力。

對設備管理,ShareTech內建的CMS管理功能利於封閉環境的管理維護,搭配威脅情報儀表(Dashboard)協助用戶掌控網路的連線與行為模式,並能管理設備運作狀態,讓管理者一目瞭然掌握網路的資安狀態。

Supercharging NetOps and SecOps

企業的數位化轉型導致了無處不在的網路連接和高速資料交換,同時大大提升企業的生產力。然而當網路持續走向混合雲架構時,交換機或路由器的配置也與過往大不相同;SDN,NFV 和虛擬化使得這樣的概念更加明顯
Flowmon 採用全新概念,將流數據與封包可視化,整合於單一解決方案。藉由各種來源收集網路數據並保留詳細資訊;採用機器學習等進階分析,協助提升網路效能、事件告警及早期威脅預警。支援on-premise, cloud 或虛擬環境,並可與其他解決方案相互整合;簡單的圖形化界面,僅需要30分鐘即可佈署完成

Flowmon 是一個全面性平台,其中 Flowmon Probes,生成網路流量資訊並且不會錯失任何一筆資訊。Flowmon Collector,將網路資訊的收集統計,進而可視化、分析和長期存儲。單一 Collector 支援 75K ~ 200K fps 的流量處理效能且具備可擴展性。此外對分支機構或獨立網段,也可單獨佈署 Flowmon Probe 生成流量資訊,整合於統一管理平台

Flowmon 模組能進一步拓展 Collector 的功能,以達到客戶更深入的需求。ADS 模組提供快速的異常檢測、網路行為分析以及進階網路威脅。APM 應用效能模組,協助提升使用者體驗與服務價值。Traffic Recorder 模組,則提供完整的流量記錄

 我們的解決方案優勢

 1.完整網路可視性-了解網路中發生的事情,確保企業穩健運行與安全

 2. 網路威脅管理 - 當危險因子繞過防火牆等傳統解決方案,Flowmon ADS 藉由人工智能-機器學習,對複雜的網路行為分析,發現異常並揭示可疑事件

 3. 應用程序效能監視–識別效能問題,不需要安裝代理程式,也不需要更改配置,就能揭示根本原因並提供深入的診斷資訊

TrustView I.V.O 全方位資料保護

TrustView-I 內部常用文件防護

解決企業內部常用文件流通的權限控管並提供防外洩保護,適用檔案類型包括了常用的 Office 及 PDF 格式。

TrustView-V 內部全文件防護

完全解決企業內部各種文件的防護需求,特別是格式獨特的研發設計檔或可能因檔案加密而損壞的程式檔,採用獨家的虛擬磁區隔離技術。

TrustView-O 外部流通全文件防護

完全解決企業檔案外寄或外流後無法控管的恐慌,除了可針對外部使用者做權限控管外,一切操作記錄也均回傳企業,檔案就算是齊天大聖,TrustView 就是企業的緊箍咒。

Votiro 宣布推出主動刪除檔案中惡意內容的SaaS解決方案

推出基於雲端的SaaS解決方案將為客戶提供更無縫、更具成本效益的解決方案,以消除檔案傳播的威脅。


Votiro—全球正向選擇技術的領導者,宣布推出其安全檔案閘道基於雲端的SaaS版本。此SaaS解決方案的推出將為在雲端工作或轉移至雲端中的客戶提供可擴展的方法,以完全消除透過電子郵件、網路下載及網站上傳進行的檔案傳播攻擊。


由於遠端辦公持續盛行,企業需要靈活及簡單的解決方案,以便部署於員工各式各樣的環境(包含移動環境)。Votiro最新的SaaS解決方案可以在整個雲端環境中集中部署、更新與管理。Votiro現在可以支援並託管企業的所有基礎架構,而無須組織建立自己的基礎架構或安排更新。因此,客戶可以享受一個便利的解決方案,大幅減少用在維護上的資源,並節省安全團隊成員的時間,否則會花費在繁瑣的手動安全任務上。現在透過SaaS,Votiro的解決方案可以輕鬆擴展,比以往任何時候都更加重要,以在整個發展階段為客戶提供支援。


「Votiro重新定義了檔案安全方法以及企業如何減輕惡意檔案及附件帶來的風險。首先,Votiro開創了正向選擇(Positive Selection®)領域,現在我們的團隊將持續創新、開發和提供適用於當今網路安全環境的SaaS產品。」Votiro的創辦人兼CEO,Aviv Grafi說:「我們為推出一個符合關鍵市場需求的解決方案而感到自豪,該解決方案將作為消除所有檔案傳播威脅的便利方法。」


Votiro的正向選擇技術是一個超越CDR技術領域的創新發展。

Votiro在所有檔案添加了必要的安全層,僅允許安全的資料通過,保護組織免受100%武器化文件侵害。員工有權無畏懼的接收及開啟電子郵件與附件,利用門戶網站實現數位服務,並允許進行網路下載。因此,可以在不影響安全的情況下進行上傳、下載和編輯。Votiro解決方案擁有在尖峰時間管理流量並每小時處理超過100,000個檔案的能力。即使收到大量此類資料,客戶在七年多的時間裡還沒有遇到過一次基於檔案傳播的破口。


更多Votiro SaaS 安全檔案閘道解決方案的資訊,請聯繫台灣區代理商力悅資訊。

WAN 頻寬負載均衡器,分流管控一次到位!

企業對於網路的依賴度越來越高,單一線路已不敷使用,一旦發生網路中斷,將造成極大的困擾及損失。若企業分佈地域廣,其要求網路服務的品質、順暢度更是重要,要如何佈署才能達到不斷線、不停機、改善流量品質、增加傳輸速度以及可靠性就更顯重要。


面對發展迅速的網際網路環境和商業應用模式,UGuard AgileLink 提供不同於過去廣域網管理設備的管控方式,以全新的觀點來解決企業廣域網最大化利用不佳的長期困擾。UGuard AgileLink 次世代廣域網管理 (NextGenWAN Management,NGWM) 設備採用深度封包檢測 (Deep Packet Inspection,DPI) 技術,能夠辨識超過 2,800 個以上的應用程式以及 50 種以上 的網頁類別,讓管理者能夠從多種不同的角度實作電路頻寬的資源分配,打破侷限於只能使 用來源和目的網路位址的傳統做法。


軟體定義廣域網管理

UGuard AgileLink 推出全新的 WarpTunnel™ 功能,便利管理者整併多條線路成為多點辦公室 之間的虛擬連線頻寬,增進關鍵流量傳遞的速率、穩定性和品質。有線路故障時,AgileLink 會自動選擇品質較好的線路進行資料傳遞。確保故障移轉的當下,即便使用者正在使用網路電 話,也不會有任何中斷或延遲的感覺。

在網際網路存取和多點辦公連線品質的同時,維持企業公開服務也是不能被忽略的重點。 UGuard AgileLink 具備線路狀態偵測功能,當提供服務的線路狀態發生異常時,AgileLink 會 自動將該服務的流量導向至正常狀態的線路,防止服務中斷造成企業營運損失。透過域名解析 和線路狀態偵測的技術整合,有效維持企業服務的持續營運。


跨國路由服務 (UCloud)

點對點 VPN 連線方案在國內和在國際間需要考量的問題點不大相同,國際連線需要考量各國 家的連線政策或是線路穩定的問題,才能確保企業重要服務能夠穩定、有效且迅速被傳遞。 AgileLink 的 UCloud 服務預先替您考量各國家對於國際連線的規範,並以軟體定義(Software- Defined) 的技術來維持跨國骨幹電路的品質和穩定度,確保您購買的連線速率和實際使用的品 質是被保障的。


事件自動回應

創新的事件預防機制,在您尚未察覺到事件發生之前,有效自動採取預防措施以防止事件持 續擴大而影響企業網路。有別於傳統管理解決方案著重在分配和限制,無法主動察覺事件逐 漸擴大的前兆,UGuard AgileLink 提供您彈性的調整機制,當偵測到異常行為造成的連線數量 或頻寬使用變化時,自動採取對應限制以預防事件的發生或擴大。當 AgileLink 的管理介面提 示您問題來源的同時,即已是系統為您做好對應處置的結果,大幅減輕過去登入管理介面費 力查找問題來源並逐一處理的負荷且提升管理效率。


歷史統計報表

UGuard AgileLink 提供內建歷史統計報表功能,讓您無需另外花費購買統計報表資訊。再好的管控和 偵測解決方案,歷史記錄和統計資訊是不可或缺 的,AgileLink 提供您完整解決方案,無論是線路 管理、流量控制和異常偵測,都同時內建有歷史統 計報表資訊。您可以在設備上取得所有歷史記錄和 統計資訊,確認過去企業網路的使用狀態。無論是 Top N 的存取來源、應用程式使用或是存取網域等 資訊,都可以在內建的報表系統中找到。同時,內 建報表也提供關聯式統計資訊和匯出功能,讓您輕 鬆在查詢報表的當下,點擊需要套用的查詢條件, 以及匯出詳細統計資料。


AgileLink 次世代廣域網路管理的特色:

1、廣域網路存取負載均衡(支援 In / Outbound Multi-Homing)

AgileLink 可提供應用程式服務之導流功能(L7 辨識),且可合併線路頻寬讓流量傳遞可以有效分配到各線路中。


2、電路偵測和故障轉移

AgileLink 可支援超過 8 種以上負載平衡演算方法,彈性且有效分配線路優先使用順序。不僅提供線路線路的健康偵測,還提供備援機制,確保網路穩定。


3、應用程式和網站頻寬管控

內建超過 2800 種以上的應用程式與網站辨識資料庫,有效控管網路頻寬。

如視訊會議、網路電話等大用量的服務可分配到頻寬較為充裕的線路、確保重要服務不中斷。


4、SD-WAN 國際線路服務

除了常用的 MPLS、跨國專線服務,AgileLink 提供性價比更高的國際線路服務,並有完整平台可以統一控管線路使用狀況,降低營運成本,為企業接軌國際的最佳備援幫手。


5、應用辨識功能

・識別 2,800 隻應用程式 

・內建 50 種以上網頁類別 

・自訂應用程式特徵


6、線路管理功能

・多線路頻寬整併 

・多線路負載均衡演算法 

・線路健康偵測 

・來源位址政策路由 

・應用程式政策路由 

・網頁位址政策路由 

・內建域名查詢伺服器

・Multi-Homing 

・資源記錄 (RR) 健康偵測 

・資源記錄 (RR) 負載均衡


7、SD-WAN

・多 VPN 連線整併 

・連線品質偵測

・連線健康檢查 

・連線故障轉移 

・冗餘資料傳遞 

・封包傳遞負載均衡


8、事件自動回應

・連線數使用偵測 

・頻寬使用偵測 

・累計用量偵測 

・持續時間偵測

・累計時間偵測

・彈性自動限制時間 

・強化自動限制時間


9、歷史統計資訊

・設備資源歷史資訊 

・網路介面流量歷史資訊 

・前 N 大使用來源排名 

・前 N 大應用程式流量 

・前 N 大網域連線排名


有關 UGuard 最新資訊,請關注 UGuard 台灣官網、Facebook @uguard888

Windows、Linux、VMware、Citrix 與 X11 電腦連線管控、側錄與異常行為阻斷軟體

Ekran Client 安裝在伺服器或個人電腦上,記錄所有登錄用戶連線的影像與 metadata,如應用程式名稱、輸入的 Linux 指令、URL 地址、鍵盤輸入與連接的 USB 設備等詳細資訊。Ekran 可輕鬆搜尋 metadata 為所有連線記錄提供全功能播放。透過 Web 操作面板、即時警告,直接鏈接到相應的錄影並可主動阻斷使用 USB。

1.透過可搜尋的錄影記錄監控用戶活動:建立所有本地、遠端與終端機連線的完整影像記錄,每個用戶的螢幕將與活動細節將一起被捕獲,適用於任何網路協定、應用程式與架構。

2.分析監控結果,發現可疑的用戶行為:使用易於分析的影像記錄 (即使是用於 Linux的SSH、Telnet、X-Window 與在 Amazon Linux WorkSpaces 執行的 Virtual Desktops) 的組合,也可搜尋活動細節的 metadata。在所有記錄中進行進階搜尋,為您提供追溯用戶操作分析和事件調查的有效工具。

3.能夠快速響應事件:提供 rule-based 的警報系統,在發生潛在的危險行為時通知您的安全人員。發送相關錄影檔的直接鏈接通知,可以進行快速事件調查。可選擇查看目前運行的用戶連線、即時稽核用戶活動,當檢測到惡意行為時可阻斷用戶。

4.明確連線者身分:內建雙因子、二次登入身份驗證並可選購一次性密碼,確認使用者的身分更保護您的伺服器。

市場上唯一可側錄 Linux Base X Windows (X11) 圖形與文字操作介面畫面的身分確認、側錄、行為分析與異常行為阻斷軟體,適合新竹高科技公司 工作站執行電子設計自動化軟體環境。

不會受限使用的網路連線協定 (RDP、ICA、PCoIP、SPICE、SSH),可支援 Citrix、VMware、Oracle_SDG (Secure Global Desktop) 與 FreeNX 等 VDI 環境。


here Cloud Security and Secure Web Gateways are Headed 雲端安全和網頁安全閘道的未來發展

Gartner 最近發表了2020年的CASB和SWG魔力象限,告訴我們這兩大雲端解決方案的發展趨勢,越來越多的資料和使用者往雲端移動,遍及全球的疫情始料未及地加速了數位轉型,並朝Gartner在2019年報告中預測的SASE架構(安全存取服務邊界)發展,隨著資安重點從資料中心轉移到用戶,CASB和SWG將會越趨相似,彼此的市場定義將會逐漸模糊,換而言之,之後還會有CASB和SWG的魔術象限評比嗎?Netskope並不認為。


有四大關鍵轉型正在發生:網路、資訊安全、應用程式和數據。在SASE結構的基礎上,每個都影響著CASB和SWG構建的功能。

  • 網路轉型減少了backhauling、hairpinning和延遲,直接在使用者和應用間建立雲端存取。遠端工作在疫情過後仍會持續發展,使用者也直接使用雲端服務,而非先透過VPN和MPLS回內網再存取,減少了企業在MPLS和VPN上的成本,簡化企業架構並改善上網與雲端服務的使用者體驗。
  • 資安轉型減輕了在地端的安全部屬,透過整合雲端安全存取,監控使用者在網頁、監管的雲端服務和影子IT、公有雲與私有應用上的使用情況。這五種情境都需要透過規則細化區分使用者,與按應用、雲端伺服器、活動、數據和其他關連性變數,進行數據和威脅防護。對應策略包含了TLS流量監控、ZTNA,和能跨裝置、使用者與地區限制的技術支援。
  • 應用轉型將應用從地端數據中心轉移到雲端SaaS,在雲端客製全新或再設計的應用,或是將地端應用轉移到雲端的VM。根據Netskope的調查,每個組織使用SaaS應用程式,從2019年平均1,295個使用數,在2020年成長到了2,415,增長幅度近一倍。應用轉型的關鍵點在於,僅有不到2%的應用是由具管理權責的IT部門管控;其餘則由使用者和各部門未受管理地使用,使影子 IT成為日益增加的資安風險。
  • 數據轉型將數據從數據中心轉移到應用程式和雲端服務,然而外洩事件常發生在雲端跨管控的移動,像從管控應用的私人帳號、影子IT;與透過協作、社群和網頁活動的數據分享。組織中數據與風險管控的負責人常透過對影子IT與應用的風險評估來管控數據轉型的進程。這強化了對於無意或未授權數據移動的管控、保護數據和智財抵抗來自雲端或網頁的威脅、對在雲端應用與服務中的數據提供細化的規則控管,強化數據防護與進階的DLP方案。

而這四項轉型並沒有特別偏好CASB或SWG。

市場趨勢把CASB認為是透過API控制公司管理的應用與雲端服務、分析儲存其中的資訊。相關的雲端安全方案還有像基於API監控公司管理的CSPM雲端組態管理和CWPP雲端排程防護平台。這適用在IT部門管控的雲端服務與應用,但公司仍有許多問題,像是公司部門和用戶導向的影子IT、個人和公司帳號的雲端應用管理等等。要構建SASE,也需要串接式(inline)的資料監控,更完善CASB的防禦邊界。

若將重點單一放在SWG上,會僅強調網頁防護,使用具備APT防禦功能的串接式(inline)解決方案,像是檔案執行前分析、沙箱掃描、機器學習和RBI等技術。雖然網路一直是資安威脅主要的來源,但根據APWG.org的釣魚趨勢報告,威脅正往SaaS移動,且SaaS和網頁郵件為連續兩年主要的目標,且SaaS也被駭客利用,像透過受信任的雲端服務來建立偽冒的登入表單進行釣魚攻擊。

儘管由2020 Verizon發表的資料外洩研究報告中,強調憑證與存取滲透是意外和情資外洩的主因,但如果能輕易登入,為何大費周章?SASE透過單一Proxy同時監控雲端應用和網路流量,並提供對應的威脅與資料保護。

隨著疫情和遠端工作的發展造成顛覆性的轉變,既有資安與網路方案提供者被迫面臨全新挑戰。整合、簡化和降低成本是這些廠商在網路和資安變革時想強調的好處,但當應用和資料轉型,開始有新的使用情境,也重新評估風險和如何保護數據與使用者。能跟上應用和資源轉型才是最適合SASE發展的解決方案。相信不久,將沒人爭論誰是最棒的CASB、SWG、或SASE中的一小部分。要達成SASE,該聚焦在一個有效整合CASB和SWG、且持續發展的解決方案。

不再「駭」怕,運用 Cymetrics 超前駭客洞悉你的資安

全球疫情推進了多數企業的數位化,而在數位化過程中所伴隨的資安風險往往容易被忽視。

您是否憂慮過駭客入侵公司網站,造成資料外洩及商譽受損?您是否擔心過員工因資安意識不足,導致勒索病毒輕易的透過郵件滲透進公司?當透過新聞看到資安事件發生時,您是否想過自己是否也有可能被同樣的手法入侵?

最有效遏止資安事件的方法,是企業早於事件發生前阻斷攻擊的可能性,而要能有效阻斷攻擊,則必須仰賴「持續性」的資安檢測來找出企業的資安漏洞與弱點,透過更頻繁的測試來縮短自身的曝險期間。目前的資安檢測方式,除了有資源建置解決方案及流程的大公司,絕多數的企業係採顧問案方式以每年 1-2 次的方式進行。然而僅僅 2020 年 CVE 資料庫總計揭露的漏洞數即高達 18,362 個。面對每日都在產生的新漏洞或新攻擊手法,每年 1-2 次的檢測是遠遠不足的,並使企業因過長的曝險期間而被攻擊。

Cymetrics 為一全方位的 SaaS 資安檢測平台。Cymetrics = Cyber + Metrics,我們以更簡便及直覺的方式,協助客戶在有需要時,僅需提供網址即能透過雲端平台進行資安檢測,並量化資安評級,有效縮短公司曝險期間。我們的滲透測試團隊專注在最新的攻擊手法上,並持續更新攻擊測項。因此透過 Cymetrics 的持續性評估,能夠超前於駭客知道公司曝險所在。此外,透過訂閱我們的隨選顧問講解,不僅協助管理階層將公司資源投入在最應該優先處理的曝險上,也能協助人員有效的進行漏洞修補,早於事件發生前阻斷攻擊的可能性!

不欠資安技術債 企業如何同步維持資安保護力?

Jim 黃繼民/資安管理平台發展處 副處長


新冠肺炎疫情的來襲,雖然無可避免將衝擊許多特定產業的生存,但能夠順利快速調整營運模式的企業,無疑將再次強化企業的防災體質。雖然身為中小企業,資源與人力不足或許是天生的弱點,但靈活與彈性卻是我們得天獨厚的優勢。面對快速變動的世界,隨時隨地運用新興科技,重塑企業面貌,不但是中小企業的權利,更是帶動台灣產業界繼續前進的義務。


2020年才剛過一半,COVID-19新冠病毒不但引發全球大流行的世紀疫情,造成全球各國從政治、經濟、文化、社會、醫療、教育、觀光、醫療、交通到民生等各種層面最史無前例的大重創,甚至完全顛覆了今後人類既有的生活與工作模式。

原先被人們認為暫時性地因新冠病毒而導致的種種變更之舉,將「再也回不去」地進一步成為新常態。企業永遠得對下一次未知的疫情威脅時刻準備好「防疫營運」措施,因此居家辦公與全面擁抱雲端勢將成為「新常態」,完全改寫企業營運管理面與資安防護面的思維與做法。而隨著新常態的逐漸成形,人們所面臨的最大問題,莫過於過往大家所固守的Intranet企業內網與安全防護邊界完全被打破。

 

企業被迫自己打破邊界 安全政策也應隨之調整

進一步而言,過去企業總公司與分公司之間透過VPN安全通道與防火牆所建立Intranet與安全防護邊界,因為居家辦公型態、各種端點裝置的使用,以及各家將EIP、郵件、視訊會議及協同工具統包整合到單一雲端大平台的大行其道而徹底被打破。

因應如此全面性的劇變,今後安全防護模式也必須要有相應的結構性改變才行。首先必須打破現有防護模式的思維與觀念;其次必須優先從個人端點進行更全面性的安全補強;最後要有大量的監測機制,以便進行各種關聯式與預測型分析,如此才能達到一致性的安全防護。

 

改變一:資安應是正職而非兼職

現行大部分中小企業內部會有法務、會計,但卻極少有資安相關職務的狀況,說明了資安對許多企業而言僅止於附屬性質的「選配」,遑論更想將資安預算盡可能地降到最低程度的中小企業。因此這導致了許多錯誤的資安概念,最常見的莫過於錯誤認定管理資訊系統的MIS就一定會資安,並且以兼職的方式來面對資安,招致攻擊只是遲早的事。

再來就是將高可用性的量化方式硬套在資安領域上,但資安的成果無法量化,它就像樂透、保險一樣,只有中與不中而已。除此之外,「頭痛醫頭、腳痛醫腳」可說是最常見的傳統資安投資策略,不但造成花了大錢卻無法發揮該有安全防護效益的狀況,而且發現當前要維護管理與未來要投資的安全設備,已經多到難以負荷的地步。最糟糕的,有些企業甚至因而全面放棄,什麼資安方案都不投資了,結果付出更大的資安代價。

 

改變二:資安技術債高築 企業保護自己的能力永遠不足

中小企業甚至中大型企業缺乏資安意識或具備錯誤資安概念的例子比比皆是,長此以往就會欠下不必要的「資安技術債」。隨著物聯網裝置的普遍,攻擊手法的高度複雜化與多樣化,未來想持續追逐最新資安技術趨勢的腳步,乃至資安人才的培養與維持只會變得更加困難,最終只能無力地望著不斷高築的技術債,並付出慘痛的資安代價。

「雖然任何技術債都無法消滅與轉嫁,」數聯資安資安管理平台發展處副處長黃繼民表示:「但我們仍可以尋求適當的方法,將資安技術債的負向循環,轉變成正向循環的能量。」

 

轉型促使技術債轉變成為技術力

然而,要如何開始啟動正向循環?新冠肺炎疫情教會了我們一件重要的事情:數位轉型的重要性與必要性,愈來愈多的企業趁機搶搭數位轉型的熱潮。同樣的,企業資安防護的數位轉型也在企業與供應商之間熱烈展開,例如數聯資安所推出的「3S網路安全」資安訂閱式服務(Security Subscription Service),不失為一項能降低資安跨入門檻的新常態資安解決方案,對於資安人才與預算相對匱乏的中小企業而言是最佳選擇。


聽到「資安訂閱式服務」一詞,往往會想到過去曾經出現過的「資安委外」或SOC (Security Operation Center)服務。事實上,數聯資安本身就是SOC服務的專家,協助政府單位與金融機構進行7×24全天候的資安監控。然而,隨著資安事件頻繁發生、攻擊類型與手法的複雜化,僅專注在大型機構的SOC方案,若無法幫助中小企業解決資安需求與成本預算的兩難局面,那麼台灣企業的整體資安環境就難以趨於正向健康。

如同過去在高級車種才能看見的前後倒車雷達、自動防撞機制等配備,近年來也逐漸出現在經濟車種上。畢竟只有高級車防撞沒有用,其他數量最多的經濟車種也必須具備防撞功能,才能協助整體道路事故率的降低。

換言之,數聯資安也從原有傳統SOC,開始朝向協作式與自動化聯防的全新次世代SOC(NG-SOC)的方向全面轉型。透過安全資訊事件管理系統(SIEM)的協運模式來實現更無負擔的日誌資料關聯式分析,同時透過機器學習來提升智慧化分析的能力。接著再透過託管式偵測及回應(MDR)將觸角延伸至端點來進行事件軌跡的追蹤查找與鑑識調查作業。再下一個階段會進展至安全編排自動化與回應(SOAR),進而全面發揮自動聯防的終極資安效益。

 

世界變化太快 中小企業得超前部署做好準備

新冠肺炎疫情的來襲,雖然無可避免將衝擊許多特定產業的生存,但能夠順利快速調整營運模式的企業,無疑將再次強化企業的防災體質。雖然身為中小企業,資源與人力不足或許是天生的弱點,但靈活與彈性卻是我們得天獨厚的優勢。面對快速變動的世界,隨時隨地運用新興科技,重塑企業面貌,不但是中小企業的權利,更是帶動台灣產業界繼續前進的義務。而這一次,中小企業不再需要自己單打獨鬥,面對嚴峻的資安挑戰,新興的「資安訂閱制」服務,可望將能夠一舉解決中小企業的資安之痛!

他山之石,可以為錯 — 善用情資強化資安體質

在網路安全的領域裡,不論資安人員花費多少的心血去佈建防線,潛藏在螢幕背後的未知對手卻似乎擁有著無窮無盡的資源一般,總是能夠在那精心佈置的防線中,找出那一絲的破綻。這無疑給了資安人員極大的壓力,使他們必須要無時無刻地評估公司內部的資安防禦計畫。資安人員必須審慎檢查管理流程、技術、甚至是內部人員等各項可能的破口發生點,以確保每個環節都能夠應對那些惡意攻擊。然而,在訊息量如此龐大卻又沒有足夠多的資安人員時,這項理應是進行預防的工作,反而成為撲滅火災的救急工作。


資安威脅情資是現代組織安全策略的重要基本功,若能妥善運用這項武器,將能為組織提供良好的安全保護以及相關的商業決策,協助組織以迅速果斷的措施保障其客戶、數據資訊、以及商譽。然而多數人對於威脅情資一詞有著錯誤的認知,並且也缺乏妥善運用的能力,這使得許多組織忽略且看輕了資安威脅情資的重要性,從而在瞬息萬變的網路攻防戰中落於下風。


由於對資安威脅情資的定義過於簡化、濫用、以及誤解,使得資安管理人員難以正確的運用資安情資提供組織的資訊安全等級。運氣好的話,或許還能誤打誤撞的捕捉到相關威脅,並在月底的報告中向上級大肆吹噓一番。然而多數的狀況下,資安管理人員只會收到成堆的資安“資訊”,但卻無法做出任何進一步的決策。


像這類的資安資訊通常是以數據的形式呈現,像是惡意軟體簽章、file hash、IP、URL、FQDN、或是入侵指標等等。另外也有經過人工處理的資訊,像是統計分析數據或是惡意軟體的活躍度、來源、活動歷程等等。這類型的資訊搭配次世代防火牆、入侵防禦系統、防毒軟體、網路安全設備等等,都可以做出一定的貢獻,同時也能幫助安全維運中心(SOC)鎖定特定的攻擊模式,以快速進行回應與系統修復。


這些以數據為基礎的資安資訊在一定的程度上可以協助阻擋多數已知的威脅攻擊,這是因為這些數據本身就是從已經發生過的攻擊事件中所收集而來的。然而仰賴數據資訊也會面臨到警報過多的狀況,致使管理人員必須花費大量心力去過濾這些警報,從而無法專心在真正重要的警報上。此外,面對未知的攻擊,這類型的資安資訊往往無法起到作用,在面對威脅攻擊組織化的現況下,具備防禦未知攻擊的能力將會是必要且重要的一環。


資安威脅情資不但包含了前述的資安資訊,同時也提供更多有價值的真正意義上的情報。威脅情資是面向全世界去收集資安相關的人物與技術訊息,以特定攻擊或組織為中心提供豐富的前後關聯數據,同時也能夠針對個別組織制定相應的情資運用策略。制定全面的威脅情資策略才能夠主動應對威脅事件,而不是透過新聞報導這樣的二手、甚至是三手資訊來作出回應。


真正意義上的資安威脅情資,是提供重要威脅形成的前因後果來協助組織改善其資安體質,同時讓組織能夠具備面臨未知威脅攻擊時的應變能力。威脅攻擊的技術每分每秒都在進化,因此每一個組織也都應該與時俱進地改善其資安防禦策略,這也表示掌握最新的情資,才算是擁有對抗網路威脅的敲門磚。


竣盟科技是運用資安情資來協助客戶佈建資安防線的資安廠商。其提出的ISAC Wizard解決方案是以資安情資為核心的防禦策略,透過與AT&T的情資共享,不只是提供威脅數據或指標,也進一步提供更多關於威脅攻擊的詳細資訊,像是最有可能受影響的產業類別,能夠協助組織提前部署相關策略,藉以阻擋或捕捉攻擊事件。而在面對未知攻擊的狀況下,也利用Acalvio先進誘捕技術來觀測並捕捉未知攻擊的入侵軌跡,並將其轉換為情資利用。ISAC Wizard能夠將不同來源的情資統合與分享,同時有別於外國產品,其針對國內資安法規環境進行系統調適,並建立資安事件通報機制,能夠讓組織第一時間進行資安通報以符合國內資安法規。


若想得知更多的案例與資訊,歡迎與我們聯繫。

以管理制度接軌國際達成法遵 協助企業機關邁向資訊安全之完善治理

據統計,全球每30秒即發生一次駭客攻擊,而在過去疫情肆虐的一年,台灣由於所處的環境特殊,加上企業組織高度依賴數位工具進行遠距工作,資安風險顯著提升。加以資安法公告及公司治理的意識提升,都促使各機關企業更重視資訊安全。

 

過往因著產業別、企業文化,甚至是組織架構的不同,資訊安全的觀念與實務,也有著不一樣的落實方式。國際標準化組織 (ISO,International Organization for Standardization)則提供了可遵循的方向,訂定出ISO 27001、ISO 27014、ISO 27017、ISO 27018與ISO 20000等與資訊安全或資訊服務管理直接相關之標準。而在國際上最被廣泛採用的ISO 27001,亦已被特定法規與產業列爲強制性要求,此法規亦將於2021年再度更新改版,以因應國際趨勢的變化。ISO 27001資訊安全管理系統 (ISMS,Information Security Management System) 之所以受到全球重視,乃因其可由縱向管理層面到橫向執行層面達成全盤考量,並可藉由風險管理的過程,強調機密性 (Confidentiality)、完整性 (Integrity) 及可用性 (Availability) 三大構面,協助機關企業架構起全面性的管理流程與制度,有效控管並降低資安風險。

 

資訊管理除了攸關企業組織的安全性外,更多是來自於因系統遭受侵害而面臨資料外洩的議題;2019年全球遭非法外洩資料超過160億筆,2020年第一季資料外洩更高達到80億筆為史上之最。因此與個資保護相關的國際標準中,英國標準BS 10012與國際標準ISO 27701亦受到眾多機關企業所關注。BS 10012 (PIMS,Personal Information Management System) 是施行「個資管理」與遵循「法令法規」要求的重要參考標準之一,多數金融業、電信業或多層次傳銷業亦皆已建置PIMS並通過第三方驗證。而ISO 27701 (PIMS,Privacy Information Management System) 則是ISO國際標準化組織於2019年8月正式發布之新標準,該標準是ISO 27001與ISO 27002在個資管理上的延伸標準,其增加了特定的隱私要求與實作指引,逐漸受到國內企業組織之關注並陸續導入。可以預期BS 10012與ISO 27701個資管理相關標準在不遠的來將能為企業組織帶來正確且有效的個資保護,並協助企業組織展現遵循個資法之決心及善盡個資管理的己任。

 

在台灣,除ISO標準可做為資安建置的指引外, 2019年正式上路的資通安全管理法,也為「公務機關」以及「特定非公務機關」定義了全方位的資安框架與要求,並藉由應辦事項以及資通系統防護基準,來落實各級機關的資安防護措施。2020年底資安法更進一步修訂,擴大其適用範圍至軍事及情報機關,並提高部分公務機關的資安責任等級,及調整資通系統防護基準要求以更符合實務運作需求。

 

SGS乃國際最具公信力之驗證機構,歷往為各級機關企業執行稽核,具備豐富的稽核經驗,在此特為受資安法規範之機關企業整理出下列提升系統管理效果的重點:

(1) 獲得高階長官的支持

(2) 提升資安治理層級並與核心業務整合

(3) 動員組織全體參與及提升資安意識與能力

(4) 合理分配與投入資源

(5) 落實縱向與橫向的資安狀態回報、分享與查核

(6) 提升資安防護強度

(7) 持續評估與強化資安治理成熟度

 

身為業界之領先者SGS資訊服務團隊在台灣服務超過400家客戶、市占率40%以上。我們提供最廣泛的資訊管理驗證服務,如:資訊安全、個資管理、營運持續、雲端安全、資料中心機房維運,二者查核及供應商查核、IV&V獨立驗證及確認等服務,以最完整的解決方案與最專業的驗證稽核,為各產業、各領域、各機關企業提供資訊驗證之服務並藉由SGS Academy管理學院的專業訓練課程,協助您的組織成員具備應有的資安知識,促進您的企業資訊安全之有效性,以及協助您強化資安治理。

 

SGS 稽核與驗證服務:https://reurl.cc/1gbmLY

SGS Academy管理學院:https://twap.sgs.com/trainsys/

以駭客之矛攻資安之盾 – 從根本做起網站資安

駭客肆虐全球早已不是新聞。台灣近一兩年傳出的網路攻擊事件,逐漸出現大型集團或是國營企業的名字。難道這些大型企業沒有專門的資安團隊?沒有專業的資安軟硬體?答案當然是否。仍然遭到駭客鎖定,看似如入無人之地發動攻擊、進行勒索,對於企業實質上的營業利潤或是無形上的商譽名聲,皆造成莫大損失。


可惜的是,在服務台灣中小企業的過程中,發現不少中小企業或電商網站都有僥倖的心態,認為自己規模小沒有名氣,駭客不會看上自己的。或者因為人事/營運成本考量下,沒有聘請資安人員,忽視了網站對於資安防護的需求。


俗話說預防勝於治療,在資安領域中可謂同理可證。遭到駭客攻擊的企業需要耗費更多的時間及金錢成本,才有辦法恢復到未受攻擊前的營運水平。


企業遭受攻擊威脅的態勢正在快速演變。DDoS 攻擊、惡意軟體、勒索軟體、資料竊取,與網路釣魚等目標式威脅的數量與日俱增,惡意攻擊者規避傳統資安措施的能力也變本加厲。


越來越多的目標式攻擊手法的勒索案件,駭客透過外部系統入侵,取得機密資訊後,進行內網擴散活動,並使用合法工具掩護將重要伺服器上的檔案加密。


因此,如果不了解駭客如何完成一次成功攻擊的思維與流程,並從駭客的各個攻擊點做好端點防禦,安裝過多不恰當的資安產品或服務,反而徒勞無功。掌握駭客的犯罪思維、攻擊手法,預先找出潛藏危機,甚至做到防患未然,防止未來的攻擊。是資安防護的重要趨勢。


一般來說,網站是結合了作業系統、伺服器環境、應用程式、資料庫等項目的一種服務。所以在討論網站資訊安全時,並不是單純就單一項目進行防禦。而該是以一種整體宏觀的思維及角度去思考整體的防護策略。才不會顧此失彼,左支右絀。


資安業者必須對於作業系統、伺服器環境、應用程式、資料庫有所了解,隨時針對各個項目進行版本更新及補丁的防禦,適時調整各個項目間的設定平衡,避免整體資安架構失衡,反導致某部分產生漏洞,反被利用。透過整合性的合縱防禦,達到減少資安事件的發生。


接觸中小企業多年,近幾年,有賴各大資安廠商及資安大會的強力宣導及推廣,資安意識逐漸抬頭。但一般來說,一般中小型網站系統對於資安防禦力道仍有待加強,尚有改善空間。提供多元的資安工具,協助用戶快速整合進行整合性防禦。一直以來是提供資安服務的一大挑戰。


各種資安威脅不勝枚舉,各種駭客手法也日新月異持續翻新。沒有任何一種防禦方式敢保證百分百不被攻破。我們資安業者也不能抱持著一招半式打天下的心態,認為維持既有的產品和服務就可以了。


對於任何防禦抱持著零信任的態度,時時修正我們的心態,才能建立所謂真正的信任。信任更不是一體適用,也不是永久不變,需要經過充分驗證,才能夠建立的。

企業內部威脅真實故事 – 您的資料保護旅程

辦公室中坐在你旁邊隔間裡的人可能就是你公司最大的安全威脅。

我們專注於企業外來威脅,但是,可能忽視一個主要的網路安全威脅:已經在組織中內部人員。之前也看到了這些威脅,如史諾登﹑巴拿馬文件﹑天堂論文的間諜攻擊等,事實上,研究顯示近年來,內部威脅佔資料洩露的 60% 到 75%。從沒有進行適當的網路安全培訓﹑專注於個人利益或報復的流氓員工到粗心的工作人員,內部威脅幾乎可以來自任何人,使他們成為首要關注重點。從特權 IT 用戶﹑具有特權訪問權限的管理階級﹑心懷不滿的前僱員﹑外部顧問﹑第三方承包商﹑業務合作夥伴,他們都是組織內部的潛在威脅。您是否正在盡一切可能防止內部威脅? 

如果您給予不必要的內部權限,缺少針對高風險人群或敏感資料的審核系統,或者沒有密切關注可能的惡意活動行為指標,則您的組織將面臨風險,您比您想像的更脆弱。

Varonis 是 Gartner 調查的 File Analysis 市佔率最高廠商,在國內已經有許多金融單位客戶,保護 伺服器、NAS 與雲端資料,並協助符合法規稽核要求。

Varonis 資料安全平台 Data Security Platform 是市場第一名產品,支援 Windows、Unix/Linux、Exchange、SharePoint、Directory Services (Windows AD 與 LDAP)、NetApp、EMC、HPE 等 NAS 儲存設備、雲端 (Office 365、Teams 與 Box)、周邊設備,可蒐集 內容分類 (Content Classification)、使用者/群組 (Users/Groups)、權限 (Permission)、Access Activity (存取活動)、AD 與 SSL VPN、Web Proxy 與 DNS 等周邊設備資訊整合分析,資料安全管理、使用者行為分析與威脅偵測並符合法規遵循,是的業界唯一最完整的資訊安全方案。

Varonis 與微軟資訊保護 Microsoft Information Protection (MIP) 整合,可以清查 Microsoft AD RMS 或 Office 365 AIP (Azure Information Protection) 加密檔案的內容,自動更正並報告錯誤標記的檔案,或依照資安政策「自動加密」機敏檔案並套用標籤 Label。


企業將資安服務委外趨勢 --台灣大哥大資安雲服務

資料、應用上雲已是勢不可擋的趨勢,尤其是 5G 時代來臨,連 IoT 等應用也會由雲及電信業者建置邊緣運算,故資安走向雲端化是未來所有企業都必需面對的趨勢。


台灣大哥大的資安雲,可以協助企業將資安服務委外,協助提供全新資安營運視角,以最佳適應性為目標客戶建立基於服務且不影響用戶體驗的安全解決方案,並提供企業資安+合規的資安服務,打造符合營運策略及業務目標的堅實後盾,開創最佳應用服務及網路環境!

企業應該準備或評估MDR的關鍵原因

在資訊安全領域中,不管國內、還是國外,通通無一倖免的持續爆發各種大型資安事件。正因為資安防護隨著網路時代來臨,虛擬世界逐漸與真實世界接軌,越來越多有利可圖的機會。讓攻擊者們無不想盡辦法,以獲取最佳利益。這種爆發式的獲取利潤的狀況,反而提升資安市場最基本的需求大餅。於是各種類型的資安產品紛紛出籠,資安的新創市場也是相當的熱絡。但是,客戶的反應往往都是最直接,而且犀利的,你們賣的產品有用嗎?沒錯!當客戶採購一定程度的資安解決方案後,隨之發生的資安事件,不一定對資安市場造成衝擊,但是客戶對資安設備的信任度,卻是隨之不停下降。


於是,客戶開始提問,如果你的產品沒效,那要怎麼辦?


現實是:當資安設備漏抓,當然沒有警報產生,客戶也不會知道沒效。




在目前的資安防護概念中,依賴資安設備自動化的偵測能力,是我們最主要的手段。但是隨著資安事件不停發生,是時候開始修正資安的防護策略。最常被排斥,但實際上又非常需要的事件處理相關的技術,又開始回到眾人的視線上。


何時我們會需要事件處理?標準答案無非就是:當資安事件發生時。然而,事件處理需要分析大量LOG,要從被入侵的端點取得惡意程式樣本進行分析。這是個耗費大量時間與人力的過程,而且事後發生的處理,往往已經無法挽回已經產生的損失,所以每個人都希望可以自動化防禦住所有攻擊。但是現今各種類型的資安事件,也明確表達出一個訊息:這個理想的資安解決方案,目前世界上還尚未出現。


無論資安人員喜不喜歡事件處理,這是目前偵測率最高的資安技術。

因為事件爆發後,也只能選擇做資安事件處理!


展望最新的資安防護趨勢,國內外的資安廠商都不約而同地往端點前進,各種端點偵測與回應(EDR)產品如雨後春筍般冒出。為何資安市場有這麼明顯的變動趨勢?其實原因也很簡單,因為不做事件處理,不利用數位鑑識的技巧,偵測率就無法再提高上一層。不管你花多少錢的預算,投資在自動化偵測類型的產品上,當你發生資安事件,最後還是必須找資安專家,透過資安事件處理,來釐清受入侵的範圍。而理論中常提到的,透過鑑識找出來源,進而持續強化防禦機制。這樣的概念,也常因為現實中,各企業是否願意投入足夠費用,去保存用來長期追蹤的記錄,非常的備受挑戰。無法保存足夠用來分析的LOG,這往往是資安鑑識人員心中的另一種痛。最終,人力處理資安事件依然是效率不高,不是廣泛受到歡迎的做法。


過往我們累積十數年的資安事件處理的經驗,分析過許多的惡意程式,也從中取得各種情資。這種你追我跑的資安戰爭,至今仍然沒有任何明顯縮短差距的情況。攻擊者入侵成功後,能透過資安設備自動阻擋成功,這樣的情況是零和競賽,幾乎不可能兩件事一起發生,因為這是兩種完全沒有交集的情境。


理想是:攻擊者入侵進來後,資安設備會發出警報通知我。


現實是:當攻擊者能成功入侵,就表示資安設備被繞過,所以沒有任何警報。


結果是:等到事件爆發,再選擇要重灌主機還是做事件處理。




過去資安產業剛開始發展,攻擊者跟防禦需求都相對較少,所以透過整理出攻擊的模式,再用自動化的方式去因應,已取得相當不錯的成果。但是隨著攻擊者誘因大增,非法獲利持續創造新高的同時,攻擊的方式也變化的越來越快。此時,累積約30幾年的「模式比對」的防禦技巧,正面臨到嚴重偵測效率與運作成本不佳的考驗。正是如此,越來越多號稱可以有效回應的產品出現在市場上,而這些產品其實就是收集了更多分析用的資料,期待客戶可以自行分析,然後「自行」完成事件處理。請注意,這邊用的字眼是「自行」,而非「自動」。是的,以目前的技術,資安事件使用人力分析依然是無法避免。


站在目前資安市場的風向上,我們可以明確知道,資安廠商開始透露出一種訊息:設備能在自動化偵測的能力上,暫時碰到一定的瓶頸。只好交由產品幫忙記錄很多資訊,同時有效率的保存並整理,但最終的處理還是要交給資安人員決定。所以不管是聰明的人工智慧,還是聽起來很厲害的大數據分析,最終要下決定,要採取哪種回應方式的R (Response),還是要依賴專業的資安人員。資安產品走過幾個世代之後,在現今這個時間點,最終還是把決定權暫時交回到人類手中。


越來越多產品的英文名稱縮寫中,有個R字。這個R字代表Response(回應)。顧名思義就是:當資安事件發生的時候要怎麼回應或處置。重灌電腦是一種處理方式,加碼買上更多防禦方案也是一種方式。但是越來越多的資安設備附加「回應」的功能,都是明確的告訴客戶,坐在座位上等警報跳,再動動手指下指令的美好日子已經結束。管理者真的需要自己分析LOG,自動化設備已沒辦法再做的更多,不花時間處理不行。



綜合前面所說,現在的資安防護策略,大概可以整理成幾項:

1. 投資一定規模的自動化資安偵測解決方案

2. 投入人力維持資安政策的推動與落實

3. 當資安事件發生時,有事件處理團隊可以快速反應,降低損失


在過往的經驗中,因為政策方面的要求,具備項目1跟2的企業或組織已經有一定比例。但是項目3幾乎是被放棄的,原因很多,但是除成本因素外,個人認為找到足夠品質的專業人力,才真的是難中之難。為此我們投入大量資源,將過往累積的事件處理經驗轉換成EndBlock解決方案,EndBlock為一個MDR(Managed Detection & Response)的服務。我們的目標就是提供一個專業資安團隊的技術能力,協助客戶可以快速、有效、正確的面對資安威脅。我們提供下面的項目,作為主要的服務內容:


1. 主動系統異常狀況分析與鑑識

2. 提供吃到飽的資安事件處理(IR)

3. 提供惡意程式分析的報告

4. 各種資安相關問題的諮詢服務

5. 分享資安防護實務上經驗



為何我們建議客戶應該要開始重視MDR服務,而非是買進更多自動化的偵測設備。因為投資在自動化偵測的資安設備上,是已經非常容易被接受的概念,也非常多企業或組織也正在落實的策略。但除非可以運用在資安的費用是無窮無盡的,否則沒人可以保證自己的環境能有足夠的資安防護力,尤其當涵蓋範圍越廣,費用就會增加的越驚人。以2020年底被發現的SolarWinds事件為例,若非Fireeye的資安人員發現VPN有異常登入現象(*1),若非Fireeye的工程師心血來潮,檢查該次錯誤的登入資訊,否則入侵多達上百企業與政府組織的攻擊行為,早於2019年9月就已經發生(*2)。這些超大型資安事件的調查結果都可以證明,面對資安的威脅不可能只靠自動化設備對抗。


但是用人力來處理資安事件也明顯不合成本,效率也不夠快,所以如何加速系統自動化完成,同時不能只依賴資安設備的警報,就是我們認為MDR該有的關鍵。


EndBlock MDR成功關鍵:


EndBlock服務提供事件處理(Incident Response,IR),不是單純的自動化偵測設備。在傳統資安防護架構中,事件處理是所有資安防線的最後一道防線。在目前所有可知的資安事件中,事件處理是惡意程式偵測率最高的技術手段。但傳統的事件處理並不被市場歡迎,因為必須要等到事件爆發,損失已經造成才會處理。


EndBlock解決傳統事件處理的缺點,主動收集端點系統活動資訊,比對MITRE ATT&CK®的攻擊方式,達到隨時收集,隨時鑑識的能力。加上網路攻擊的早期階段,因為攻擊者擁有的資訊與權限相對稀少,所以攻擊的手段相對單調,容易辨識。所以EndBlock可以讓任何疑似攻擊的系統活動,在早期階段就被分析並辨識正常與否。越早開始進行處理,就可以越有效的降低損失。


EndBlock結合了多年資安事件處理的豐富資安經驗,研發設計能提供主動事件分析與處理的MDR服務,EndBlock提供給客戶具備專業能力的團隊,在攻擊階段非常早期的階段,就開始主動進行事件處理,讓客戶如同擁有一個專業資安團隊的防護效益,卻無須負擔維持一個專業資安團隊的高昂成本。


*1 : 參考資料:https://www.isecurity.com.tw/news-and-events/20201221-us-gov-attacked-by-russian-hacker/

*2 : 參考資料:https://www.ithome.com.tw/news/141753

企業該如何因應日新月異的資安風險

近十幾年,企業IT對外面臨各種駭客攻擊,對內則因內部員工欠缺資安危機意識,導致企業內部存在資安漏洞,對於層出不窮的資安風險,企業該如何面對?

首先,資訊安全意識是需要從教育訓練全面著手,讓員工都對資安風險都時刻謹記,再來將是透過功能完整且持續更新的技術設備來加強控管。

市面上針對企業的資訊安全需求,NAC(Network Access Control)的產品多能符合企業所需功能的八成涵蓋率,但畢竟各產業型態不盡相同,各家所需之資訊安全功能亦有差異。故無法達成企業所需要功能的那二成涵蓋率,則是各產業之間針對資訊安全功能需求的差異。

面對各產業資訊安全功能現行市面上NAC產品功能,無非是IP(IPv4與IPv6)派發與阻斷管理、Switch設備管理、終端電腦病毒碼與系統補丁管理、終端使用者AD管理、訪客管理等等。飛泓科技的PIXIS DSI產品符合產業所需要的基礎功能外,更致力於技術面的精進,獲得多張專利認證,更依據客戶實際所需提供特別之功能,如同時支援多套防毒軟體及其更新、阻斷私接AP複製合法MAC、一個IP同時兩個MAC與一個MAC同時兩個IP的管理機制、自動偵測所有設備並顯示各設備使用流量之拓樸圖等均是企業很實際所需要之功能。

PIXIS DSI之所以能更貼近各產業的需求,主要是飛泓科技的團隊對於客戶需求管理除了經驗累積之外,PIXIS DSI有著非常彈性的客製化架構,協助我們的客戶處理並解決客戶作業端面對資訊安全的苦惱,飛泓科技團隊也因為年輕化,所以,對外,面對著快速演進的各樣資安問題,能有如變形蟲一般的緊急應變並提供客戶快速且精準的客製服務,對內,積極培訓內部員工精進專業技術,能更彈性面對各產業需求。

隨著IoT及5G網路快速發展,IPv6的網路世界更快來臨。PIXIS DSI系統所具備完整性、易用性及可擴充性,可協助管理者無痛導入 IPv6 或雙協定網路。

你的防禦系統能夠抵禦SolarWinds事件這一類精巧的新型攻擊嗎?

去年開始的 SolarWinds 事件受害範圍的廣度和深度讓大家非常吃驚,最令人不安的是有很多資安大廠也沒能倖免,那我們不免要問我們一直以來採用的防禦思維,策略和工具是不是還有效?我們台灣的企業和政府機關受害範圍不大,但是這個事件的啟示很多,值得我們拿來討論。


這個攻擊是惡意程式和真人駭客的配合:

1. 如果使用了 SolarWinds Orion 軟體,它在做軟體自動更新時新的版本已經被植入惡意程式了。這個惡意程式會先潛伏大約兩個星期,然後跟 C&C 伺服器連線,下載其他程式來執行,建立後門和遠端連線的能力,然後通知 C&C 伺服器讓駭客隨時可以進入。

2. 駭客進來以後先取得 SolarWinds 機器上的管理權限,然後在內網或是雲端進行勘查,橫向移動,盜取更多的帳號,憑證,再橫向移動,一直到取得有價值的標的,成功偷運出去。

這種攻擊方法不僅我們在周邊佈置的防禦體系防止不了,即使在內網佈下了 EPP 和 XDR 的防線也沒有能防止或偵測到惡意程式或駭客的活動,就是說所有傳統的防禦方法都失敗了。後來在 Microsoft 和 FireEye 都被駭之後,他們聯手研究出駭客的戰術,手法,和程序( TTP ),公佈給全世界。在那之後各種資安工具經才慢慢的透過更新或更改設定來辨識這個新的攻擊,為用戶提供保護。


我們如果用不一樣的防禦思維,策略,和工具,有沒有可能一開始就把這一類型的精巧攻擊防止住呢?答案是可以的。Attivo 的主動防禦 (Active Defense) 的體系可以很早期就偵測出駭客的活動而加以制止。以前也有很多人說主動防禦,但都沒有符合美國國防部對主動防禦的定義:必須是對敵方進行攻擊或者是反擊來爭取陣地的控制權才叫主動防禦;放在資安上的體現就是要在駭客進行攻擊的時候就能夠用各種手段迫使駭客現形,阻擋駭客接觸到客戶重要的資料,儘早把駭客隔離起來,或者是趕出去。舉幾個例子:

1. 駭客在對內網或雲端資產進行偵查和探索的時候,就會有跡象被 Attivo 偵測到並發出告警,這個階段還不能確認有駭客的行蹤,但是建議提高警戒。

2. 駭客必需盜取帳戶和憑證來提高權限以進行橫向移動,Attivo 一方面把電腦記憶體中會被盜取的特權帳號及憑證刪除,另一方面會植入各種非常有吸引力的仿真帳號和憑證。一旦駭客盜取這些仿真帳號和憑證並加以使用,Attivo 馬上會偵測到並發出告警,而且會和駭客繼續互動,一直到安全人員決定把駭客趕走為止。

3. 駭客如果去訪問 SQL 資料庫想摸清楚重要資產的位置或是管理帳號的使用情形,Attivo 會馬上發出吿警,而且Attivo還可以返回假的資料給駭客,駭客如果使用這些假資料,Attivo 會進一步偵測到,而且會和駭客繼續互動,一直到資安人員決定收網為止。

4. 駭客如果去訪問 Active Directory(AD) , 想對它進行攻擊,Attivo 會馬上發出吿警,而且 Attivo 還可以返回假的資料,引導駭客到誘餌 AD 去。駭客不會知道真實 AD 的位置,所以可以保障真實 AD 安全;而當駭客對誘餌 AD 發動攻擊時,Attivo 會進一步偵測到,而且會和駭客繼續互動,在此期間客戶可以隨時決定是否要中斷駭客連線將駭客驅散。


這些全新的主動防禦的方式不止新奇,而且非常有效。Gartner 認為這是最有效最準確的內網威脅偵測技術, 有最低的誤判率。MITRE也正在推動主動防禦,提出了 MITRE SHIELD 的框架。如果您有興趣進一步了解,歡迎來我們的講座交流意見,或是到我們的攤位來進行研討。


Attivo Networks 官網:https://attivonetworks.com/

Attivo Networks 台灣獨家代理商:https://www.ortech.com.tw/

使用融合 CDN 同時提升網站效能及安全性

現在許多企業的服務都依靠網站營運,維持穩定的網站效能及安全性變得相當重要。事實上,當網站載入時間超過 3 秒鐘,超過 40% 的使用者會直接跳出,由此可見網站效能的重要性;而當網站受到 DDoS 攻擊時,處理的過程平均必須花費約三百萬台幣,是一筆相當可觀的數字,也足見維持網站的安全是網站營運的根基之一。


我們可以在過去幾年明顯看出許多商務模式都在轉型,無論是電子商務、商務交易以及媒體等等,許多產業都逐漸立基於網路,數位化的趨勢勢不可擋。在這個趨勢中,許多企業開始意識到提供安全且快速的使用者體驗才是讓客戶留存的最佳辦法。網站載入速度過慢、網路攻擊以及網站當機都會造成嚴重的顧客流失,有些損失甚至是無法挽回的。因此,各個企業逐漸正視且重視網站的效能及安全性。


mlytics 看到這樣的需求,開發了立基於 AI 人工智慧的融合 CDN 平台,希望能讓企業透過合理的價格、易於管理的方式增強網站的安全性及效能。


企業可以透過 mlytics 的平台訂閱世界知名大廠的 CDN 來提升網站效能,而 mlytics 平台會持續搜集延遲及可用性相關數據, AI 系統能根據這些數據自動調度網站流量,確保網站隨時處於最佳可用性的狀態,提供最好的使用者體驗,不會因為流量暴增或是大幅波動而影響網站營運。


更重要的是,除了提升網站效能外, mlytics 平台同時支持增強網站安全性。舉例來說,L3/L4 常發生 DDoS 攻擊,我們藉由 CDN 走 port 80 及 port 443 的特性,過濾絕大多數的攻擊,當網站面臨針對 port 80 及 port 443 的大量攻擊,mlytics 也能夠過融合 CDN 分散頻寬。


至於針對 L7 的攻擊,mlytics 則提供了各種防護機制,包含阻擋惡意掃描、阻擋網路爬蟲等,這些措施都是強大的防護工具,系統會根據所受到的 L7 攻擊類型自動以相對應的措施抵擋,此外,挑戰頁面則能確認請求是否來自瀏覽器及真實使用者。另外, mlytics 平台支援客製化 Firewall rule 與 API protection,讓企業可自行針對網頁調整防護策略。


mlytics 透過融合 CDN 的技術來處理大量的請求,在確保網站安全性的同時,能增強網站效能,讓這兩個網站營運的重要元素能同時兼顧,不會顧此失彼,全面加強網站運作能力。

傳遞資安智慧 致力人才培育 為企業灌入資安能量

隨著部分激進駭客組織將攻擊標的鎖定政府組織,以實現特定政治目的之後,也讓資安事件變成國安事件,驅動各國政府規範更嚴格的資安法規。然而在企業、公部門添購資安設備,打造先進資安防禦機制外,也面臨資安人才招募不易的挑戰。根據,國際資訊系統安全認證協會(International Information Systems Security,ISCC)估計,現今全球資安人力缺口達到 293 萬,且未來人力缺口將會再創新高。

為彌補台灣資安人才不足的問題,行政院資通安全處已著手成立資安學院,希望能結合產業界、學界,並將目標對象鎖定在產業從業人員,為台灣培育各種領域的資安人才。在行政院規劃中,未來更計畫發展成國際級資安研訓機構,提供一流的資安人才訓練課程及證照認證。

安碁資訊資安維運技術副總黃瓊瑩說,我們不僅在資安服務領域有相當優異表現,也有非常豐富的資安人才培育經驗,有信心為台灣企業做出最大貢獻。隨著駭客組織開始將攻擊目標鎖定工控設備、關鍵基礎設施,台灣的資安管理法正式上路,要求關鍵基礎設施擁有者須強化資安防護工作。我們在既有資安教育訓練課程之外,也有為資安人員開設工業控制系統資安防護課程,期盼從根本強化資安專業知識,協助企業培育所需的專業資安人才。

資安培育重要性日增 證照制度有必要

鑑於全球資安事件頻頻爆發,部分國際級企業除設立專屬資安部門之外,也特別設立資安長的職位,以便落實資安管理策略。另外,考量到產業對資安人才不足,許多大學也開始在資訊學程中加入資安課程,如文化大學、交通大學等,讓原本資訊相關學系的學生可具備基礎資安觀外,以便在畢業之後進入企業工作,彌補資安人才招募不易的困境。

至於勞動部勞動力發展署技能檢定中心也依照市場需求,開始辦理網路安全職類的技能檢定工作,讓收受過專業訓練的資安人才或學生,能夠透過得證照方式。此種做法,除可降低學生畢業之後進入職場的門檻外,企業也能依此作為尋找人才的依據。

黃瓊瑩指出,大學開設資安課程相當值得鼓勵,否則多數學生可能都以為資安工作就是去打駭客比賽。雖然大學的資安課程相當不錯,但受限於學生沒有實戰經驗,所以若要滿足企業或業界需求,還得經過一段時間的訓練。行之有年的全國之能競賽,也於去年增列「網路安全」競賽項目,,從競賽過程中發現,選手平時已作許多訓練,無論是工具使用或檢測方式,都與產業實務很貼近,未來投入職場工作的話,絕對有助於舒緩資安人才不足的狀況。 

資安講座免費申請 強化資安防護意識

安碁資訊在資訊安全領域深耕多年,不僅建構完整的 SOC 平台與技術,也是國內營運能量最大、客戶數最多、事件涵蓋範圍最廣、事件處理經驗最豐富的 SOC 服務廠商。目前該公司主要業務,包含資訊安全管理、資訊安全監控、資訊安全檢測及情資分享與維運科技安全管理四大服務,更是許多公司指定教育訓練合作單位。

黃瓊瑩表示,若要防杜駭客入侵,在運用合適的資安工具以外,員工的資訊安全意識宣導與教育,更是資訊安全政策是否落實的重要因素。IT 技術人員是公司的資安防線,需要瞭解網路犯罪的技術,才能阻擋新型態攻擊。至於行政人員或管理者,亦需要有足夠的安全意識,才能避免成為單位內的漏洞,變成駭客攻擊對象。所以安碁資訊針對不同人士,均有相關的資訊安全教育訓練,能滿足不同部門工作者的需求。

值得一提,安碁資訊一直致力於資安技術領域之深耕,累積豐富的資安事件處理經驗。為善盡企業社會責任,該公司特別推出資安講堂,推廣服務總時數以 100 小時為上限,期盼將資安技術轉化為資安防護知識推廣至全國,助國內企業、學校各機構強化基本資安防護能力。

凌群智慧型資安整合服務平台 (Information Security Integration Service Platform)- Diamond Guard

凌群智慧型資安整合服務平台 Diamond Guard 是一套有別於傳統資安監控服務 SOC 的新世代資安整合服務平台,是以情資驅動為導向的資安聯防平台,它結合終端、網路可視性工具及自動化流程引擎,進行資安預警情資的自動串查、惡意行為防堵與資安事件 (故) 的通報處理,滿足企業資安情資分享 (ISAC)、資安服務監控 (SOC) 及緊急應變通報 (CERT) 三大作業需求。

1. 整合傳統 SOC (SIEM) 與新一代 SOC 產品功能

有別於傳統 SOC 的作法,整合終端及網路可視性工具,運用人工智慧、機器學習、大數據分析等技術,為企業提供事前預防、事中偵測與事後應處全方位資安專業服務。

2. 建立資安狀況感知 (儀表板) 與資安威脅警示燈號

以反映實況的資安指標,協助企業資安長及資訊主管確實掌握企業本身的資安狀況與體質。

3. 以智能化 ISO 管理工具,協助客戶建置資安 PDCA 標準作業流程

透過自動化的流程引擎,建立各項資安工作的標準 SOP,使知識得以不斷精淬、累積跟傳承。

4. 滿足客戶 ISAC、SOC、CERT 三大作業機制運作需求

結合自動化流程引擎,將 ISAC 事前預防、SOC 事中偵測及 CERT 事件應處作業串聯起來,驅使每一個環節能被澈底執行及完成,並發揮管制的功能。

5. 協助大型客戶建構情資驅動之跨組織應變聯防體系 

以階層式系統運作架構,整合情資分享、傳遞及自動串查功能,協助企業建構跨組織通報應變聯防體系,發揮單點遭駭全面防處的效果!

6. 橫跨 IT/OT 領域,為客戶量身打造最適化的安全機制

整合業界頂尖資安監測工具、SIEM 平台及自主研發自動化流程引擎,橫跨 IT/OT 領域,為客戶量身打造全方位且最適化的資安監控與通報應變處理作業機制。

利用企業行動資安管理平台(MDM),在企業行動資安及提高行動生產力之間取得平衡

近年來行動資安事件頻傳,很多都是因為員工或者廠商利用攜入的行動裝置竊取資料,不管是透過手機拍照、或者 USB 存入,都可輕易的將公司內部機密資料帶走,造成企業極大的損失。面對這樣棘手的問題,企業需要一個行動資安管理平台─ MDM(Mobile Device Management),針對行動裝置做有效的控管,並在確保企業行動資訊安全的情況下,提高員工的行動生產力。

   SkyMDM - 擎願科技 (XCome) 企業行動管理平台,主要包含:

(一)基本應用:

1. 裝置基本功能控制 (MDM)

2. 行動及無線網路管理

3. 資訊安全控管

4. 位置服務與追蹤

5. APP 應用程式管理 (MAM)


(二)進階應用: 

1.監控及告警中心:

(1)儀錶板 (Dashboard)

(2)報表管理與日誌

(3)事件告警

2. FOTA 管理(需搭配客製化手機): 管理行動裝置韌體更

3.雙模應用:

(1)在裝置端將 APP 區分為公務區及私人區

(2)兩區資料不能互通,確保公務區的資料不外洩

(3)兩區的應用程式及其執行權限皆受控管

(4)可依據使用之網路環境不同,限制公務區或者私人區的 APP 之使用

4.電子圍籬 (GeoFencing): 可依據行動裝置所在位置,執行相對應的管控政策


    擎願科技 (XCome) 於 2016年 完成了第一套企業行動化管理客製化解決方案 (Customized SkyMDM),並成功導入半導體大廠,透過在地化專業的服務,讓我們能更加的了解客戶的需求,並依據各個產業的不同,提供更符合客戶需求的客製化方案。更於 2018 年 10 月推出企業行動管理標準化平台- SkyMDM,包含 Cloud(雲端解決方案)與 On Premise(企業端伺服器)版本的 MDM 解決方案,使企業能夠更快速的透過單一平台全面管理行動裝置,在不影響企業資訊安全的情況下,透過行動化管理提高工作產出與效率。在不斷累積的研發能量與產業深耕下,擎願科技提供了國際大廠無法比擬的專案彈性與高性價比的解決方案,成功的導入台灣、中國、日本與法國等知名企業,並滿足各種產業包含半導體、高科技、餐飲、飯店與運輸業等的需求,成為台灣在地自主研發 MDM 的先驅者。

剖析勒索攻防:勒索軟體的預防與解決

防範勝於治療

勒索軟體大致上可以分為三個感染階段:進入、傳播、和加密。勒索軟體發展至今,加密方法與複雜度不斷的演進,當企業資料一旦遭受勒索軟體加密,破解金鑰成為一種不切實際的手段,剩下能解救遭受加密資料的方法只剩下透過備份回復或是支付高額贖金。解決問題的根本之道,唯有在感染初期,也就是「進入」與「傳播」階段就將勒索軟體抓出並清除,才能有效避免遭受勒索導致損失;駭客在散播勒索軟體之前,首先需要進入企業內網,駭客通常會掃描每一個 IP 進行攻擊,直到找到有安全漏洞的設備,藉此突破內網後,取得該終端設備的控制權,將其當作跳板機,再逐步取得更高權限帳號,入侵企業 AD,盡可能攻入 Domain controller (DC、網域控制器),取得用戶列表和派發權限,如此一來才能開始移植勒索軟體並橫向擴散,感染整個內網的設備。因此若想將勒索軟體阻擋在內網之外,可以透過以下幾種方式讓駭客無機可趁:


1. 關閉遠端桌面功能

遠端桌面協定( RDP )是微軟開發的私有協定,允許使用者透過網路使用其他設備連接電腦,以執行遠端管理。駭客可以利用相同管道,透過使用洩漏的 RDP 憑證或者暴力破解,從而進入該電腦。當駭客進入電腦後就可以進行任何操作,包括更改密碼、安裝惡意程式、埋下後門程式等。大多數公司對密碼沒有完善的政策,使得密碼強度不夠,駭客容易進入內部網路中進行破壞,也因此 RDP 成為駭客進行攻擊的主要管道之一,關閉 RDP 雖然會帶來一定程度的不便,但是可以非常有效的減少駭客入侵的機會。


2. 完善的資產管理功能

軟體和 Windows OS 的安全漏洞也是駭客入侵內網、取得設備控制權的主要途徑,2017 年赫赫有名、肆虐全球的勒索軟體—WannaCry,在150個國家造成超過40億美元損失,其滲透管道就是一個微軟早在2個月前發布更新的 OS 漏洞,因此確保企業內的所有設備都有在第一時間確實更新 OS 版本,沒有使用盜版軟體且所有軟體都有更新到最新版本,才能全面的阻止駭客透過相關漏洞進入內網。


3. 帳號權限最小化

為避免駭客安裝惡意軟體對內網造成危害,應將本機帳號的權限最小化與納管AD帳號,避免給予帳號不必要的權限。


4. 防毒軟體的使用與病毒碼的更新 

勒索軟體雖然很難透過防毒軟體進行偵測,但是像後門程式等惡意程式卻可以使用防毒軟體攔截與清除,因此防毒軟體應維持在最新版本而其所提供的病毒碼也應確保為最新的內容,才能完全防範駭客透過惡意程式獲得進入內網的管道。


5. 建立良好的資安意識

駭客經常透過偽冒的網站與網路釣魚電子郵件誘使員工下載惡意程式攻擊內網,員工的行為是最難控制的一項因素,不良的使用習慣與安全意識容易造成內網遭到侵害。因此建立完善的資安教育制度,培養員工良好的資安意識也是需要重視的一環。


UPAS 如何防範勒索軟體

UPAS NOC 針對勒索環節部署防禦機制,透過多樣的功能來防止內網遭受勒索軟體的侵害,建立全面的內網聯合防禦網,避免企業因為資料被綁架而蒙受巨額的損失。UPAS 以零信任架構將安全性漏洞所產生的影響降至最低,並可在駭客展開目標式滲透時,於以下多個環節即時發現異常:


1. 98% 業界最高的設備納管率

資產盤點與管理為一切資訊安全的源頭,只有將全部連網設備都納入管理才能達到最安全的內網環境。UPAS 可以做到業界最高的98% 設備納管率,管理內網上的所有設備,並以此為基石加上獨特的設備白名單與合規檢查方式查找弱點設備,達到持續性的防禦與管理,讓勒索軟體無機可趁。


2. 設備合規檢查

設備數量與狀態的不清楚,導致無法有效率地確認設備是否更新到了最新的版本,UPAS 透過 98% 的設備納管率解決了這項問題。 

(1)UPAS 介接 WSUS 伺服器,查找是否有更新內容並強制設備更新。

(2)產出資產清單與設備狀態圖表,詳盡的顯示內網設備所使用的系統與版本。

(3)掌握防毒軟體與資產管理軟體安裝與更新,確保病毒碼維持在最新的版本。

  

3. 資產盤點

全面的資產盤點讓 UPAS 可以做到詳細的設備合規檢查,禁止不符合規定的設備連上內網,並且可以產出完整的軟硬體總表,協助企業了解內網中所有設備的資訊,查找弱點設備。


4. 開關機報表

UPAS 可以產出電腦設備的開關機資訊報表,讓管理者可以透過報表內容了解設備的大致狀況。

(1)設備久未重新開機就有可能導致 OS Patch 未更新進而造成設備漏洞。

(2)員工下班了設備卻沒有關機,則有可能成為駭客的攻擊對象。

(3)設備久未開機使用,防毒軟體、病毒碼就沒有辦法維持在最新的版本。

(4)設備的異常開關機告警則可以找出異常活動,如安裝惡意程式等。

UPAS 除了設備開關機報表,還有提供其餘 55 種報表與 198 項分析項目,協助管理者更加了解內網設備狀態。


5. 補丁管理

透過於終端設備部署 Agent,UPAS 可以進一步的掌握各項設備的軟體使用情形與 USB 設備的控管。透過對軟體與 USB 裝置的管控,減少駭客與勒索軟體可以入侵的管道,以此達到對內網的全面防護。

(1)檢查應裝軟體是否正確安裝。

(2)檢查版權軟體的安裝數量,確保安裝數量不會超過授權數量。

(3)可禁止特定軟體安裝,強迫已安裝設備解除安裝,以維護設備與網路安全。

(4)使用 USB 白名單,管控所有 USB 設備如儲存裝置、光碟機、網路卡、行動硬碟等,只允許白名單內的裝置可以進行存取。


6. 數據流量監控

受到駭客控制的設備通常都會有異常的流量,UPAS能對網路使用狀況進行監測,控管終端設備網路使用行為。提供網路流量資訊,產生相關流量報告。並且提供網路攻擊分析,透過歷史紀錄分析可疑的網路攻擊。


7. AD 管理

本機帳號的控管是一項對防禦勒索軟體很重要的事情,最小權限的帳號管理可以避免駭客透過本機帳號的權限進行破壞;UPAS 的 AD管理可以限制使用者只能以 AD 帳號進行登入使用,無法使用本機帳號登入,防止駭客安裝惡意軟體對內網造成危害。同時提供AD登入/登出時間紀錄,以管理內網中閒置設備或者使用 RDP 連線的設備,降低被駭客攻擊的機會。


8. 組態行為檢查

當駭客已經取得權限且要派送勒索軟體至各設備時,UPAS 可以及時告警組態的異常行為,如新增非法軟體、GPO 政策的更動、開啟最高權限之資料夾分享等,讓企業可以及時阻止軟體的安裝與運作,降低損失的金額。

勒索軟體加密造成生產線停頓事件不斷發生。如何防止生產工作機台成為駭客與勒索軟體入口 ?

勒索軟體已經由過去的大量發送的自動化方式改為「人為操作勒索軟體 Human Operated Ransomware」的攻擊方式,也就是駭客在遠端操作鍵盤的 APT 先進持續攻擊。駭客會探詢客戶的環境的弱點入侵。與自動傳播勒索軟體不同,它們是手動鍵盤攻擊,攻擊者會使用被竊取的特權帳號憑證執行偵察、變更防火牆等網路的設定、關閉防毒軟體等資安防護措施。每一次的攻擊方式或許都會不同,所以傳統的端點偵測與響應 (EDR) 與端點保護平台 (EPP) 都不一定能有效防範。

資安專家建議防止勒索軟體的方法與客戶面臨的困難

https://cyberx.tech/does-encryption-prevent-ransomware/

1. 網路分段 Network segmentation : 

• 要將客戶現有網路作實體隔離的困難度非常高並且會將降低生產力。

2. 導入多因子認證 Multi Factor Authentication (MFA)

• 費用昂貴,要與現有網路環境與應用程式整合,往往無法支援陳舊系統。

3. 修補與更新 Patching & updates

• 大部分客戶的 IT 環境都會隨時更新作業系統與上 Patch,很難對 24 小時不停機的 生產工作機台更新作業系統與上 Patch,成為駭客與勒索軟體入口。

• 每個工廠都在害怕!工廠生產設備很貴,折舊很長,可以用五到十年甚至更久。那時候的電腦作業系統還是十年前的版本,沒有更新,感染病毒後,病毒會將資料庫加密鎖住 (以便勒索業主),抓不到資料,生產線就自動停了。(資料來源 天下雜誌 https://www.cw.com.tw/article/5092718)

Preempt 防止駭客入侵與勒索軟體

有別其他產品如 EDR 端點防護或 PAM 特權帳號管理產品,Preempt 不需要在客戶的個人電腦上安裝 Agent、不需要改變網路架構與用戶習慣,資料不需要上傳到雲端,只需要在客戶的 DC 安裝 Agent 並提供 Preempt 使用的特權帳號,以虛擬機 Virtual Appliance 佈署,可以在 3~4 個小時內完成 PoC 安裝設定,迅速以下列方式保護客戶 IT 環境。

立即清查客戶環境內的弱點 (作業系統與密碼設定) 與風險指數 Risk Score

1) 例如是否幽靈特權帳號?

2) 是否有作業系統沒有更新版本?

3) 作業系統老舊的機台電腦是否與 MIS、OA、網域主機網路連通?

4) 是否有未納入管理的電腦或終端 (Unmanaged End Point)?這些電腦 可能是從 VPN、WiFi 無線網路的連線電腦或生產線自動化機台。

潛在威脅與明確的攻擊行為

1) 例如是否有駭客在掃描暴力破解網域管理員密碼?

2) 例如是否有大量登入電腦的行為 (勒索軟體大量加密) ?

將網路分段、阻斷不合理的連線

1) 例如將生產線與 IT 的 MIS、OA、網域控制器主機網路邏輯分段。

2) 例如依照業務性質 (生產、財務、研發、OA 等) 與網路性質 (VPN、WiFi、內網、VDI 等) 邏輯分段。

透過 MFA (多因子身分確認)、降權、阻斷、隔離 (要搭配 NAC) 等有效反應來防止駭客 (人為勒索軟體) 的入侵、蛙跳與攻擊

1) 針對透過 VPN、WIFI 設備登入到內部 個人電腦或伺服器的連線要求 MFA 多因子身分確認。

2) 例如有無法更新作業系統版本與 Patch 的非人為操作電腦(如生產設備機台)使用 RDP 遠端桌面連線時要求 MFA 多因子身分確認或立即阻斷。

3) 例如當有程式帳號 (如備份、稽核、資安軟體) 將使用 RDP 遠端連線時立即阻斷。

4) 例如對登入到重要的伺服器時 (如 Mail Server、網域控制器主機等) 的特權帳號要求 MFA 多因子身分確認。


取代傳統 IT 管理模式 單一平台即整合「網管、流量、日誌」的智慧維運方案

肯定有哪些電腦與 IP 遭到入侵並正在發散惡意攻擊中。不僅止於發送告警,我們同時亦結合網管掃描功能,因此可以輕易鎖定這些電腦與IP的所在位置,結合交換機或是防火牆進行聯防阻擋,避免災情擴大。這就是善用流量數據分析技術可以幫助資安防禦的最佳案例,重點是其成本低廉。

N-Partner 除了擁有上述先進的流量分析能力,更把這樣的分析智慧運用在收集到的日誌資料上。在此介紹 DNS 日誌的應用案例:網際網路發展至今,DDoS 攻擊依舊猖獗,也因此安全公司陸續發表眾多清洗方案反制。然而攻擊已至,反應時間不足導致防護成效有限。針對網站服務的 DDoS 攻擊,我們研究後發現在攻擊前夕其域名的 DNS 查詢行為會出現甚於過往紀錄的異常增長,因此仿造智慧化流量分析的法則針對 DNS 查詢次數進行歷史行為建模與即時比對,我們能夠做到為用戶提供 DDoS 攻擊預警,讓防禦作為更有緩衝時間地被事前佈署。

N-Partner 公司的日誌處理技術與市面上 SIEM 產品最大的差異在於強調與網路流量 (Flow) 以及網路管理 (SNMP) 等異質資訊之間的關聯整合,更有助於管理人員窺知網路活動的全貌。Flow 記錄兩個 IP 之間的傳輸用量統計,資料內容帶有 Source IP、Source Port、Destination IP、Destination Port、Protocol、Packet、Byte 等。而 Syslog 日誌主要是說明發生了甚麼事件,資料內容包括事件名稱與說明、Source IP、Source Port、Destination IP、Destination Port、Protocol、事件發生次數 (Hit Count) 等。要將 Flow 與 Syslog 關聯在一起可以使用 5 Tuples 比對方式執行:單位時間裡 (通常是 1 分鐘內) Source IP、Source Port、Destination IP、Destination Port、Protocol 這 5 個參數相同者可以視為同一連線行為。接著,整合登入認證機制的日誌則能夠將 IP 的使用者名字比對出來。最後,透過 SNMP 的詢問就可以知道每個 IP 連接在哪個 Switch 的哪個 Interface 底下,使用者可以在一個操作畫面裡知道甚麼人在甚麼時間做了甚麼事,使用了多少頻寬以及具體的位置在哪。N-Partner 公司的數據分析技術將主動呈現異質資料間的關聯結果,省去人工比對查找所耗的時間。

近年以來 AI (Artificial Intelligence) 人工智慧技術其相關的運用已經實際滲透到各個的領域裡。N-Robot 是 N-Partner 公司最新發表的智慧維運助手工具,其最大的特點就是維持背景運作模式,將收集到的大量數據進行學習與運算,即時比對當下數值與歷史用量的差異抓出異常暴量等。過程中不需要人力的介入設定固定閥值,N-Robot 就像是一位智慧的維運幫手,適時提醒管理人員應該注意的障礙根源以及CPU與網路頻寬使用率微量成長的趨勢走向。另一方面,N-Robot 運作時也會完整記錄 N-Reporter/N-Cloud 產品使用者的操作歷程與偏好,當使用者經常關心的報表出現了值得注意的變化時將主動提醒。

最後闡述 N-Cloud 產品數據處理效能方面的優點。仿效 Google 分散運算設計,採用可彈性擴容的模組協同運作,各自負責處理不同的運算,搭配自行開發的 NoSQL 優化技術,提升效能以因應巨量資料搜尋與統計排序需求,擁有百萬 EPS 的處理效能,提供國家與電信等級的巨量數據處理能力。N-Cloud 升級不需重新啟動系統,確保用戶取得新功能的同時也能持續使用不中斷。且能隨時彈性擴容,每個模組互為備援,亦符合 FIPS-140-2 要求,對儲存資料的完整性與保密性具有保障。

在 VDI 及 DaaS 工作環境下,最完善的端點電腦作業系統與管理套件

IGEL OS是Linux based的唯讀作業系統架構,在VDI (虛擬桌面架構) 的使用環境下,使用IGEL 端點作業系統搭配其完整的UMS管理套件,管理者可從遠端管理超過上萬台的終端設備,達到快速部署,並從遠端提供終端設備即時故障排除與安全性更新。此外,既有的硬體設備無須更換,可以輕易地將任何 x86 64 bit的終端硬體轉換為安全的IGEL作業系統,節省企業採購成本,並延長原硬體使用年限。在防疫期間,IGEL OS 搭配IGEL UDP (UD pocket) 為企業員工於居家辦公、遠距辦公提供最安全的終端產品選擇。


IGEL軟體功能、特色:

1. 安全的端點作業系統 (IGEL OS) 和遠端管理套件 (UMS):Linux based唯讀的終端設備管理作業系統,使用者無法自行修改設定,可阻斷外來攻擊免於遭到篡改。

2. 相容性高:可適用於主流的VDI作業環境 – VMware, Citrix, Microsoft等主要VDI廠商。

3. 不須更換新的終端硬體:可與所有 x86 64 bit 硬體相容,不需購買新硬體,只需轉換作業系統,延長既有終端硬體的使用年限。

4. 確保提供最高的軟硬體相容性:IGEL 與全球100家以上的技術夥伴結盟,持續與各大軟硬體廠商進行合作,以提供即時的版本更新,提升企業內部使用者滿意度且增進工作效率。

5. 高支援度:支援客製化軟體嵌入,內建多媒體解碼套件。

6. 遠端即時更新維護:透過UMS遠端管理套件,管理者可管理上萬台的終端設備,遠端即時故障排除,軟體更新。

7. 高可用性(High Availability):即時備援

在不確定的世界中引領網路安全

台灣區總經理暨大中華區通路總監林文欽表示:《Sophos 2021 年威脅報告》內容涵蓋 Sophos 在過去 12 個月中從 SophosLabs 對惡意軟體和垃圾郵件分析,以及 Sophos Rapid Response、Cloud Security 和 Data Science 團隊在工作中獲得的深入資訊。我們日常工作

中保護客戶的各種努力,可幫助您深入瞭解威脅狀態、指導事件回應人員和 IT 安全專業人員,了解未來一年他們應該致力於哪些方面來保護網路和端點。


我們將報告分為四個主要部分:

1. 討論勒索軟體如何自行轉變以及這種威脅的發展方向

2. 分析大型組織面臨的最常見攻擊,以及為什麼礦坑中的金絲雀 (比喻危險指標) 仍是重大威脅

3. 全球疫情將如何影響 2020 年的資訊安全

4. 以及攻擊鎖定過去不被視為企業受攻擊面的平台的調查


勒索軟體

勒索軟體威脅執行者繼續以更快的速度翻新技術和犯罪手段現在,更多勒索軟體團體加入資料竊取的行列,他們會威脅受害者即將公布敏感資料而進行敲詐,隨著勒索軟體團體用更多心力攻擊大型組織,索取的贖金數字也急劇上升;此外,勒索軟體攻擊中獨立的威脅執行者團體,與地下犯罪分子的合作似乎更為緊密了,它們的行為更像是網路犯罪聯盟,而不是獨立團體。以前需要數週或數天才能進行的勒索軟體攻擊,現在可能只需要幾個小時即可完成。


「日常」威脅

同時執行 Windows 和 Linux 的伺服器平台已成為攻擊的主要目標,並被用於從內部攻擊組織如 RDP 和 VPN 集訊器等常見服務,仍然是攻擊網路邊界時的重點,威脅執行者也使用 RDP 在受破壞的網路內橫向移動,即使是低階的「商用」惡意軟體,也會造成重大影響,因為越來越多惡意軟體系列成為其他惡意軟體的「內容發佈網路」在調查中我們發現,忽略基本安全保健的一或多個方面,是導致許多最具破壞性的攻擊成功的根本原因。


COVID-19

在家工作帶來了全新的挑戰,因為組織的安全範圍將擴展到受各種安全等級保護的數千個家庭網路,雲端運算滿足了許多企業對安全運算環境的需求,但仍有著傳統企業網路沒有的獨特挑戰,威脅執行者曾試圖挽回自己的聲譽,承諾不會對參與拯救生命的衛生組織發動攻擊,但他們後來食言了犯罪企業已成為服務性經濟,使新的犯罪分子更能輕鬆上手;2020 年,來自世界各地的網路安全專業人員組成了一支快速反應部隊,以應對利用新冠病毒相關事物進行社交工程的潛在威脅。


非傳統平台

現在,攻擊者經常會利用許多滲透測試人員在處理即時、作用中攻擊時,率先使用的「紅隊」工具和公用程式,儘管行動平台業者努力監控應用程式中是否包含惡意程式碼,但攻擊者仍持續開發能夠躲過這些程式碼掃描的技術;早期被歸類為「可能不需要」的軟體,因為會投放大量廣告 (但不是惡意軟體),採取的策略和公開的惡意軟體越來越難以區分,資料科學家將從生物流行病學界借來的方法應用於垃圾郵件攻擊和惡意軟體裝載,作為彌補偵測缺口的方法。

基於物聯網技術之醫療與健康安全運算框架
查士朝/國立臺灣科技大學資管系教授 兼 資通安全研究與教學中心主任

物聯網的興起,許多醫療產品也都開始提供連網服務,並且將使用者的身體數值回傳至雲端計算與儲存,來幫助使用者紀錄與分析自身的身體健康狀況。也因此,使用者很難區分裝置提供商是否有妥善處理自身的隱私資料。

安全運算框架主要由安全運算器與區塊鏈智慧合約組成。硬體安全運算器提供一個可信賴的運算環境,保護資料機密性與隱私性,並且將結果寫入智慧合約。

透過整合安全運算框架,將物聯網裝置所得到的數值,上傳至區塊鏈,並且驅動安全晶片計算,而運算參數與運算結果都會加密儲存於區塊鏈中。當預設條件達成時,會驅動網路服務,將此事件通知特定伺服器。由於資料都加密儲存,因此只有使用者與安全運算器擁有共享金鑰,才可以取得相關的資料內容。

如何透過 Veeam 保護重要備份資料,同時移除勒索病毒的威脅

隨著企業的數位轉型,企業資訊環境架構已經逐漸脫離傳統束縛,進入以虛擬化甚至以雲端基礎為主的微服務架構,快速滿足企業所需的靈活資源部署需求。


在如此動態的架構下,如果仍採用老舊方式及透過原本設計給傳統架構的軟硬體管理機制,進行維護及操作,會很容易遭受許多阻礙及困難,也無法提供完整的系統與服務保護。


近年台灣因為新冠病毒的肆虐,造成嚴重的缺工缺料外,也造成工作型態上的改變,而這些改變讓數位服務的應用變得更加廣泛。同時造成駭客組織對於企業數位應用系統產生興趣,並進行相對應的攻擊。這些攻擊行為通常會以無法追蹤,例如透過勒索病毒針對重要系統或檔案執行惡意加密動作,對企業進行付費勒索行為。


無論付費與否,針對這些受影響的系統或檔案,企業必須要有相對應的機制,能在受到勒索病毒的加密攻擊時,能保護其重要的備份檔案不會受到影響外,也需要有方式能確認受到惡意加密的系統,能夠在短時間內還原並啟動,降低可能的停機時間。


透過 Veeam 相關解決方案,企業可以透過最經濟實惠的方式鎖定重要的備份檔案外,也可透過其即時還原功能將已受損的系統透過備份機制立即啟動,而在啟動系統當下也可以進一步驅動病毒掃描機制,確保還原回去的系統與檔案不再有勒索病毒的蹤影。

建構資安多重防禦機制,強化檔案抵抗力
Kevin Lee / 產品總監

自美中貿易戰、COVID-19 疫情以來,國際間大國的各種鬥爭加劇也使台灣所面對的資安挑戰也日益嚴峻。去年政府更提出「資安即國安」,可見其重要性已上升至國家戰略層級。


資安威脅包含外來駭客攻擊、惡意郵件和內部有心人士謀私弄鬼。台灣企業受駭客攻擊次數為其他國家的將近四倍,頻率之高使政府與企業必需24小時不間斷警醒防護;個資外流頻繁,成為詐騙集團斂財工具導致人民財產損失,求償官司費時費力且賠上信用與商譽;高度機密資料外洩,關鍵技術流向競爭對手,危及領先優勢。上從政府機關、下至各基礎民生事業、半導體與生技等攸關國家競爭力的公司,都持續補強防禦工事,以期減少被入侵的機率與降低可能的損失。


攻擊總有其目的,純練兵或警告恫嚇的心理戰,但最怕的是有心人士假借攻擊事件暗中轉移伺服器上的機密文件,而這種外流方式是最不容易被察覺的。為了快速止損,在受攻擊的當下所有人的壓力都在找出源頭及停止蔓延,等系統重灌回復,通常足跡也被清洗乾淨,找不到檔案被複製外傳的痕跡路徑,致使難以察覺暗中的損失與弱點所在,長此以往漸漸削弱自身競爭優勢,難以維持領先地位。


資安攻防之戰,防守端的最大重點就是不要讓對手達成目的,但若鐵桶城牆難保萬無一失,何不改從加強檔案本身防禦力及強化內部安控來補強?用多重保險機制覆蓋曝險的不設防地帶,降低內容曝光的傷害。第一重為紀錄所有電腦檔案操作軌跡,從生到死誰碰過誰帶走,鉅細靡遺留下日誌與事證,即使在攻擊過後系統還原,也能從其他系統日誌中找到痕跡。第二重為風險預告和即時通報,從報表發現檔案流動行為模式,可提早發現徵兆預做準備;即時告警能在外洩發生的當下,通知各負責人立即反應。第三重是檔案備份,不但是常態的重要檔案備份,還針對被刪除的檔案備份,若入侵後想毀屍滅跡仍然可以復原舉證。第四重是檔案加密保護,即使被轉移到外部,沒有金鑰也無法取得內容,讓有心人士大規模地白忙一場,並在無形之中消弭外洩風險。多方聯防能進一步緩解被入侵時的損害,爭取更多災後處理的黃金時間。


台灣信威推出全新檔案保護軟體goPatrol,即設計多重安全防護機制,確保在漏洞日新、攻擊月異的情況下,仍可保證機密檔案的安全,追蹤其流向並確保事證。功能項目可分為六大類,檔案輸出日誌與輸出開關、報表分析與即時告警、軟體清單與控制開關、硬體清單與外接裝置管理、文件保全與檔案加密。這些功能組合並非疊床架屋的拼裝模組,而是有目的性地統整串接有效加乘。以日誌為例,只要和檔案有關的紀錄,不論是更改檔名、透過通訊軟體外傳或是列印紙本,皆歸在同一個日誌頁面,管理者在一個畫面裡利用檔名或是關鍵字就可做完所有查核工作。與傳統端點管理軟體中日誌隨模組分散各地、需要切換畫面左右對照完全不同,抓重點式的查核方式大幅提高命中率和管理效率。


隨著5G、物聯網、人工智慧的應用上路,環境中將有越來越多弱點暴露在有心人士眼中。越是開放眼界擁抱新技術,就越需要嚴守資安防線。台灣信威goPatrol為您佈局多重資安機制,幫助您從管理面、實作面、稽核面鋪設安全網。積極佈局超前佈署,才能在大浪來襲時全身而退。


後疫時代催化而生的零信任

2020年,所有趨勢因疫情而有了不同的轉變,數位轉型則是因疫情而有了更大的邁向,改變了人們的生活型態與工作模式,進而延伸的焦點即是-資安,促使資安發展由信任直接跳轉到零信任,而零信任的最高原則-「沒有相信,只有驗證。」每個存取要求都必須經過完整驗證、授權並加密之後,才會授與存取權。也唯有此,才能更有效地適應現代環境的複雜性,透過行動化與數位化並保護任何時地的人員、裝置、應用程式和資料。

零信任目標是藉由限制使用者對於權限和存取的風險,以各種管控方式強化與確保組織內的資料安全。因此,為因應數位化而發展的數位身分安全隨之而起。數位身分安全涵蓋身分驗證與身分治理,而資料敏感度、使用情境、應用程式和裝置狀態的存取政策,成為數位身分安全的重要因素,更是零信任的關鍵基礎。

尤以金管會在2020年發布的政策之一:2021年起,銀行業者需以FIDO取代OTP驗證為走向零信任的開端;而FIDO即是數位身分認證一環。要建構完整的零信任基礎,在身分驗證中需完整將FIDO、SSO整合,並加入特權管理,才能有效達到資安控管,也才是零信任的關鍵基礎。

微軟獨到資安技術讓 IT 部門扭轉資安戰爭頹勢

資安是數位時代的核心挑戰,沒有資安,隱私等基本人權就不復存在。每天,機關行號都要耗費原本用於核心業務的時間跟資源,運用數十種複雜、各自為政的工具以抵禦網路攻擊並從中恢復,但工具與工具間卻依然有漏洞,導致威脅乘虛而入。資安團隊為了想要跟上腳步而焦頭爛額,專業的人才又十分稀少。 


微軟獨到的手法,讓IT部門能夠開啟智慧雲端的種種資安能力,扭轉資安戰爭的頹勢。我們關注三大領域:提供符合所需的資安措施、打造企業級的技術、促成各方合作以因應異質化的世界。 


首先,微軟提供符合所需的資安措施。當今的資安戰爭儼然就是情報戰,而微軟有超過 3500 名全職的專業資安人員,利用最先進的人工智慧(AI)工具,分析全球各地每日超過 8.2 兆個訊息。微軟的資安相關經驗已超過十年。微軟威脅情報中心(Microsoft Threat Intelligence Center,MSTIC)以保護作業系統平台為起點,已成功打造出多方位遙測技術,以此支援資安使用案例,並能從遠端毀損傾印(crash dump)當中找出惡意的漏洞攻擊。 


第二,微軟擁有企業級的技術,能利用雲端更全面保障組織安全。正因有了雲端,我們才能利用自身的訊息、情報、營運經驗,搭配企業級的資安科技,幫助客戶打造更安全的環境。在辨識威脅方面,微軟每月處理高達數千億筆驗證,利用從中獲得的洞見,針對使用 Azure AD 的客戶,提供風險導向的條件式存取,以確保成千上萬個軟體即服務(SaaS)及業務應用程式時在存取方面沒有安全疑慮。至於負責資安業務的專業人士,微軟不僅提供威脅情報,還創建了一個社群,讓微軟的研究人員及其他業內人士都能在此分享緝拿攻擊者的需求和新興威脅的消息。如此一來,眾人就能攜手更進一步預先洞察情勢,也能提供更好的保護。 


第三,微軟不斷拓展推動技術、產業及政策各方合作,以因應異質化的世界。我們解決生態系中的新興挑戰,如微控制器(MCU)裝置的安全保障,以及利用Azure Sphere等創新技術的物聯網(IOT),透過 FIDO 聯盟等組織,推進技術前線,也引領標準。 

我們和其他資安廠商合作,透過Microsoft 情報安全性聯盟(Microsoft Intelligent Security Association),將共同客戶所使用的各類工具整合在一起。其中,Microsoft Graph 安全性 API(一般可用版本已啟用)有助於合作夥伴(如 Palo Alto Networks)與微軟也與彼此建立合作關係,以便更妥善地偵測威脅,並且更快對資安事件做出回應。


Microsoft Graph 安全性 API 藉由標準介面,串聯廣大的資安方案生態系,協助整合資安警示、找出事件背景資訊,並讓資安自動化變得更為簡便。 


微軟在資安界的領導地位獨一無二,在於技術涵蓋許多領域,因而能夠全盤性思考資安的各大核心層面:從身分及存取管理,到端點、電子郵件、應用程式安全、資料外洩防護,再延伸至雲端安全以及安全資訊與事件管理(SIEM)。微軟採取的做法真正落實端對端的精神,並深植於我們的文化當中。在團隊組織方面,微軟的資安工作講求多方密切協作,將服務、情報、技術及人才彙整成一部任務專一且上緊發條的機器。 

打造零信任內網資安平台,落實內網自動化安全防護 e-SOFT SIP 協助企業提升內網資安治理成熟度

新冠肺炎疫情的爆發蔓延,讓全球企業工作型態產生巨大的轉變,異地辦公及居家辦公逐漸普及及改變中,隨之而來的是讓駭客可以有更多的管道入侵到企業的內部,近幾年來國內幾次的重大資安事件,高科技廠區病毒大規模感染、勒索軟體猖獗不僅造成企業巨額的營業損失,對企業的形象影響更是重大,為了要能夠因應層出不窮的資安事件,企業不停的強化既有的資安防禦措施,但隨著採購的資安軟硬體設備越來越多,設備各自獨立運作,沒有辦法有效的相互溝通及監督,因此企業在資安防禦上反而變得沒有效率,無法真正的有效落實,資安管理上的盲點反而讓駭客有機會可以透過這個灰色的區域進到企業的網路環境中,e-SOFT透過長期的觀察中發現,企業真的要能夠做好資安,其中最重要的關鍵就是”落實”兩個字,回歸基本的管理原則,只有真正的去落實既有資安管理政策,強化資訊基礎建設的體質,才能夠去面對未來駭客的攻擊,如同防疫一樣,落實每日洗手、量體溫及戴上口罩,如此一來才能真正的打贏這場駭客攻防戰,e-SOFT SIP內網資安政策智慧平台帶給企業一套有效的自動化管理機制,落實企業資安管理基本功,強化資安防禦。

零信任存取架構:

工作型態的改變,設備的移動性需求急劇的提升,讓設備的資安健康狀態變得無法掌握,因此要保護好企業的內網,一個關鍵的因素就是要確保接進內網的設備都是經過授權及資安健康檢查的,e-SOFT SIP平台能夠即時掌握內網上是否有私接設備接入並進行阻擋隔離,確保企業的內網是不能夠隨插即用,透過申請流程的導向,使用者可以自行進行設備接入的申請,讓企業的管理人員能夠第一時間掌握並進行審核,此外e-SOFT SIP提供自動化的Pre-Check檢查程序於設備接入的時候進行相關的資安政策檢查,例如防毒軟體安裝檢查,確保設備進到內網前相關的防護措施皆已完成,如同入境檢疫措施。

設備風險可視性:

資訊設備本身存在著許多已知的資安漏洞,更重要的是還有很多未知的漏洞還未被發現,因此能夠快速的掌握企業內網有多少設備數量及其相關風險,在現今的資安攻防戰來說實屬重要,e-SOFT SIP平台能夠主動的掌握內網有多少帶IP的設備並偵測其上線狀態,進而區分其裝置類型(IoT ,Windows, Linux等),此外e-SOFT SIP 平台能整合企業已投資之弱點系統或掃描平台、弱點更新平台及CVE漏洞情資,對於隸屬政府單位甚至於可支援行政院技服中心的VANS平台介接讓機關單位內整合國家資源掌握內網全面資安符規狀況,結合上述Pre-Check及Re-Check矯正風險設備;而對於非公單位之其他產業客戶像金融單位或高機敏單位、企業(上下游客戶資安要求)e-SOFT亦能支援自建弱點情資風險平台以利企業資安管理人員能夠全面的掌握內網設備是否有相關高中低風險,Windows平台更能夠檢視其是否有相關的作業系統及軟體的漏洞,掌握了關鍵的風險設備,以利企業可以及早修正,超前部署強化資安體質(資安治理成熟度) ,避免網軍或來自全球各地駭客的攻擊威脅。

資安政策全面納管:

面對駭客不斷的攻擊,企業訂立許多內網資安管理政策,資安政策的有效落實是資安管理成功最重要的關鍵要素,e-SOFT提供一個中控的管理平台整合企業內部既有的資安管理設備資訊,如Windows AD、防毒軟體、DLP軟體、特權帳號軟體、EDR軟體等,讓管理者可以全面的掌握既有的資安政策落實狀況,透過資料的整合進行關聯式分析,找出內網中未納管之設備及確保其運作的有效性,資安管理者可以早期發現及修正,進而確保內網管理政策完整性及有效性,提升企業資安治理的成熟度。

內外網協同作戰:

資安防禦不能再只是單兵作戰,每個資安產品都有其優點及盲點,如防火牆只能夠阻擋對Internet的攻擊,針對來自於內網的攻擊沒有辦法防禦,此外企業既有的資安產品本身資訊也無法相互交流,透過e-SOFT平台可以打造一個內網資安設備互聯網,透過RESTful API的串聯,讓e-SOFT統整的資安管理資訊能夠提供給既有資安設備使用,例如SIEM平台,此外e-SOFT的原地隔離封鎖能力更能夠發揮其阻擋的作用,當發生資安事件的時候能夠第一時間與外網資安設備達成協同防禦的目的,替企業爭取更多的應變處理時間,降低資安損害的範圍。例如  當企業的端末權限均回收時亦可透過 RESTful API的串聯呼叫軟派軟體將未安裝防護軟體安裝完成,讓企業能更全面地落實資安政策執行 。

“落實”嚴然已經是資安管理成功最重要的關鍵要素,e-SOFT 內網資安政策智慧平台透過資訊的整合、自動化的管理、RESTful API的聯動,建構一個零信的網路存取架構,讓進到內網的設備都必須經過審核,更重要的擁有內網全貌性的資安視野,讓管理者可以有效的早期發現風險及修正,達到內網自動化資安防護,真正的有效落實企業內網資安政策,在數位化轉型的過程,強化企業資安的體質,讓企業IT營運能夠穩定安全有效運作,讓企業持續不中斷的創造佳績提供更好的服務創造出更高的經營績效。


捷而思工業自動化對應國際資安標準之產品與解決方案

捷而思是臺灣100%自主創新研發的知名行動資安及雲安全廠商。以臺灣為基礎走向全世界的國際資安團隊。除擁有國內外將近20項行動資安相關的發明專利技術外,也為臺灣贏得多項國際資安冠軍獎項,包括亞太資安奧斯卡獎的APICTA Award 資安組冠軍。 

近年來駭客攻擊事件頻傳,許多知名企業紛紛中箭落馬,除了影響企業運營以外,也連帶造成客戶與消費者的個人資安外洩。捷而思建立資安管理的目的是為了降低各種企業經營上的風險,避免因突發的資安事件造成重大的損失或無法承受的影響。因此參照國際資安標準 ISO 27001 (資安)、ISO 27701 (個資與隱私)、ISO 22301 (運營持續管理)、IEC 62443 (工控資安) 的要求,建立屬於臺灣企業需要的資安防護軟體架構。

捷而思基本資安防護的標準是採用國際資安規範,強調 CIA (confidentiality機密性、Integrity完整性與availability可用性)。工廠自動化資安則是以國際IEC 62443標準,強調 AIC,Availability可用性要放在第一位,因為在工控場域,不可以隨便停機。

捷而思生產資訊整合資安包括:資安現況診斷、顧問輔導以及資安解決方案導入等主要步驟。此外,產線資安、供應鏈資安、身分認證資安也是整體工控資安領域不可缺少的重要環節。

捷而思提供的工業自動化資安包括對應 IEC 62443-2-1以及每天所有企業都會面臨的存取控制,包括:帳號管理、認證管理、授權管理等,根據這些基本的資安政策與採用產品,再決定其他周邊軟硬體。

捷而思供應商B2B的防護機制建議做法先從產業痛點開始。

目前工控場域面臨的痛點包括:

  1. 擔心網路被駭客攻擊。
  2. 連網機台、系統主機非常多台,密碼必須高複雜度、要每台不同,要定期更換,管理的難度太高。
  3. 公司B2B供應商員工離職,帳密移給交接人員,但公司本身卻不會知道也不能掌控,擔心的是離職人員到競爭者公司,用同樣的帳號密碼非法登入,取得資訊。
  4. 公司被駭客入侵,造成貨款匯至駭客戶頭,傷害公司及上下游關係的事件曾出不窮,損失千萬至億元。
  5. 機台的重要生產參數、配方比例是公司重要的智慧財產權,怎麼保護 ?
  6. 與供應商往來的一大堆文件: 詢報價、合約、入庫驗收單、出貨單及生產過程中的各種單據,如何管理及保存 ?

捷而思根據以上產業痛點,建議的解決方案包括:

  1. 公司必須有防火牆,以建立DMZ非軍事區來保護外部的連線。
  2. 透過最高權限管理系統來完成對伺服器、資料庫及機台等重要的密碼管理。
  3. 利用雙通道雙因子認證簡單、有效地控管及解決供應商員工離職可能造成的風險。
  4. 數位無紙化的電子文件必須進行電子簽章,以確認文件的正確性與真實性,避免篡改及偽造,再透過電子文件倉儲,以降低資料找尋的成本。
  5. 在後疫情時代,與供應商往來的文件,透過線上簽核及eMail往返是更方便、迅速及安全的解決方案。
教育部先進資通安全實務人才培育計畫

為因應國家發展之資安人力需求,配合國家科技施政目標,延續前期「教育部資訊安全人才培育計畫」成果與能量,持續辦理「先進資通安全實務人才培育計畫(110年至113年)」,並以需求為導向,鏈結產學資安教學能量,建構跨域實務場域之實務教學應用環境,深耕校園資安實務學習,提升學生資安素養與強化學生資安實務技術能力,培育先進資通安全人才,提升國內資安人才之質與量。

整合跨域師資與資源,開發創新與跨域應用之資安實務示範課程與教學資源,建構跨域資安實務教學環境及資源共享機制,提升大學校院資安實務教學量能。

辦理資安暑期課程(AIS3)與資安競賽,連結國際講師、國內專家、學者及大學校院資安社群、社團交流,強化學生實務技能與實戰經驗。

推動「臺灣好厲駭」計畫,結合大學教師及國內資安企業專家共同擔任導師(mentor) ,將學校課程理論與企業所需技術及產業知識結合,培育產業需要人才。

推動資安扎根,辦理高中職生資安研習營,課程規劃從體驗到實作,啟蒙學生資訊安全防護意識與認知教育。

積極與國際資安教育機構與社群交流,建立國際資安教育夥伴聯盟,推動短期國際資安教育研習營,培養學生國際化視野及培育國際化資安人才。

數位資安:面對新世代.你需要新思維

天下沒有100%的Security,而再堅強的企業防線也不可能保證百分百的安全,駭客與惡意程式的入侵只是遲早的問題。企業必須儘可能強化自身的資安體質(Cyber Resilience),超前規劃與部署,為資安防線被突破預先做好準備。


從金融業的金融3.0、4.0以及FinTech、區塊鏈(Blockchain)技術;到工業運用大量資訊科技產生的電腦化、數位化、智慧化的工業4.0;越來越多的虛擬化應用(Virtualization)、雲端運算(Cloud Computing)以及大數據(Big Data),甚至是萬物皆連網的物連網(Internet of Things, IoT),樣樣都與資訊科技相關,樣樣都離不開網路通訊,也因此樣樣都必須考慮到資訊安全,因為這也是駭客與網路攻擊者最感興趣的地方。


企業組織的資訊人員、資安人員面臨如此快速且大量的資訊成長與瞬息萬變的資安威脅,已經不能再用傳統的資安防護方式來因應,必須改變傳統的思維,以全新的概念、不同的角度來面對新世代的資安威脅。


數位資安所提供的全方位資安解決方案,涵蓋各個層面與各種角度,從端點到閘道、從使用者到個體、從資料到內容、從規範建議到法規政策,提供完整的縱深防禦資安架構,才能有效抵禦新世代資安威脅,協助企業永續經營。

數位金融資安升級,從身分認證加強開始

現今純網銀及數位銀行的發展態勢,造就了網路銀行或行動APP是銀行與顧客互動的主要管道,自然也是駭客攻擊的重要標的,數位金融的資安防護持續是金融產業不容小覷的必要課題。

臺灣證券交易所也在今年(110年)公告「為強化證券商資通安全防護機制,請落實執行相關防制措施」,證券商網路下單登入時,應採雙因子認證方式。全景軟體總經理楊文和認為,在享有便捷網路交易的同時,更突顯了數位身分認證的重要性,ID Expert身分認證系統以指紋辨識作為第二認證因子,透過指紋的唯一識別,加強身分的確認,將有效幫助金融機構建置完整的數位身分認證機制。

除了指紋辨識外,全景軟體ID Expert身分認證系統是多元化的身分認證系統,包含多樣化的認證載具,客戶可依使用情境或認證安全強度的要求,彈性選擇驗證因子,ID Expert具備軟、硬體等多種載具型式,用以顯示OTP動態密碼(One Time Password),藉由不斷更換密碼的特性,提升帳號的存取安全,建立完善的雙因子認證。

此外,在帳號登入紀錄的監控及分析方面,ID Expert身分認證系統能提供登入成功及失敗的完整log紀錄、統計圖以及訊息通知,強化相關機關落實「建立資通安全檢查機制」的規定。

除了從身分認證下手之外,機敏資料的外流也能加以防堵,尤其是依賴隨身碟傳遞資料的企業,隨身碟容易成為病毒、木馬的散播媒介。全景軟體的uSAFE隨身碟管控系統,以隨身碟本身的防護作為基礎,讓企業自訂驗證規則,限制特定人員存取隨身碟,也能限制電腦的USB接孔,企業可針對不同的管理情境運用。

便利是數位化帶來的優勢,而資料外洩的風險也會隨之增加,以提升數位身份認證機制作為首要資安防護的守門員,再加上隨身碟管控機制作為攔截資料外洩的關卡,將有助於便利及資安兩者發揮相得益彰的效用,在提升工作效率的同時,兼顧資訊安全。

楊文和表示,全景軟體專研資安領域二十年,擁有身分認證、生物識別、電子簽名(數位簽章/手寫簽名)、智慧卡、行動認證、區塊鏈、文字辨識等相關技術,是數位金融(FinTech)在發展創新應用中的重要環節,且全景軟體在發展解決方案時,「法規遵循」也是重要的基礎原則,運用科技協助各單位符合法規,讓所服務的客戶,能在資訊安全無虞,且符合規範要求的前提下,安心擁有自動化的商業流程。

智能所帶來的最佳性能

傳統的WAF依靠高維護性的特徵碼更新來實現低精度的模式匹配,而WAPPLES使用基於邏輯的檢測引擎COCEP™(內容分類和評估處理)。


利用34種預先配置的檢測規則,可以對啟發式攻擊和語義攻擊進行分類和阻止,甚至對未知攻擊進行分類和阻止。這項專有技術讓WAPPLES在各種網絡環境下,實現領先WAF業界的檢測精度及極低的誤判率。


WAPPLES保持較高的穩定性和性能,易於部署且操作負荷低,使WAPPLES成為WAF的熱門選擇。


除了阻止基本的Web攻擊之外,在這個日益加劇的攻擊時代,WAPPLES的部署還可以有效地防止敏感數據洩漏,阻止惡意Web訪問並防止網站損壞。


WAPPLES由智能檢測引擎提供支持,能夠抵禦最新威脅,包括通常由惡意代理發起的高級持久威脅(APT)中使用的攻擊,以獲取政府和企業的數據資產或用於恐怖主義或政治目的。


作為亞太地區連續四年的市場領導者,WAPPLES是全球企業、政府單位的首選Web應用防火牆(WAF)。

最好的攻擊就是防禦,看看傲索如何透過換位思考,保障企業競爭力。
廖章皓 / Engnieer

不需打官腔,不探討太多技術(比我們強的資安專家,資安大會上就真的太多了)

我們需要借用 您參訪的寶貴時間來訪我們攤位了解 公司思維與方案,希望能引導大家把公司在有限資源內規劃,執行以強化資安,讓攻擊方放棄攻擊就是打擊成功。


榮獲BSI 雲端資安獎,擁本地優勢+國際合作,免除 AIoT 時代資安疑慮

今(2020)年「果核數位」是唯一榮獲國際標準權威——「英國標準協會」(British Standards Institution, BSI)雲端資安獎的企業,並受邀參與 BSI 所舉辦的「國際資安標準管理年會」 2020 卓越組織表揚典禮接受頒獎。果核數位為什麼能夠獨得這個獎項,又提供什麼服務幫助台灣在地企業?

果核數位的特殊背景:既有服務及競爭優勢

「果核數位」的前身為遊戲橘子 IDC、資安、系統及網路事業部門,目前為遊戲橘子和三商電腦兩家上市公司合資的公司,技術團隊擁有 19 年的伺服器營運經驗。

近年來,為了以差異化產品服務高端客層,果核數位逐漸由傳統的網路服務供應商(Internet Service Provider, ISP)角色轉為託管服務供應商(Managed Service Provider, MSP),產品自「基礎設施即服務」(Infrastructure as a Service,IaaS)延伸至「資訊安全即服務」的軟體即服務(Software as a Service,SaaS)。

為強化雲端服務的安全性,果核數位不只已導入 ISO 27001 資訊安全管理系統,更重視雲端服務的安全管控,包括——制定雲端服務安全政策、建立各項安全目標、實施安全控制措施,以及定期對員工的資安意識教育訓練計劃,逐步實踐 ISO 27017 與 ISO 27018 雲端服務之資訊安全暨個資保護國際標準的驗證。通過BSI的第三方驗證和取得證書,結合本身在地的優勢與產業經驗,能全方位協助地協助台灣企業。

負責此專案、帶領公司獲獎的經理金至涵表示,「通過驗證只是階段性的任務,資訊安全是企業內部每一個人的責任,須持續執行、保持關注,才能確保落實。未來也希望果核能夠擴大驗證範圍以及導入其他標準,成為相關產業中的領先者。」

編註:英國標準協會(British Standards Institution,BSI)由英國土木工程師協會(Institution of Civil Engineers)於 1901 年創立於倫敦,為全球第一所國家標準機構也是唯一由皇家特許所成立,現名為「BSI 集團」(BSI Group)。知名的「ISO 9001品質管理系統」與「ISO 27001資訊安全管理系統」即源自BSI 。

被疫情逼得匆促上雲卻漏洞百出?果核 can help!

今年受到疫情影響,許多企業不只被逼得加速進行數位化,匆促將內部作業程序或外部客戶服務搬上雲端,由於事發突然,通常無暇顧及資訊安全方面的考量。果核數位提供線上即時資安服務,能快速偵測資安風險並各個擊破,讓企業能以最簡便快速的方式保護公司與客戶的資料。

果核數位提供資安服務雲解決方案,從兩個面向幫助客戶全方位守護資安:

1.與SecurityScorecard (SSC)合作,並提供365天7x24的資安風險監控服務,以 Dashboard 的形式呈現給客戶,讓管理者能快速掌握在資安各方面的即時狀態。

2.使用「果核複合式 CDN 平台」(Multi-CDN)能抵擋常見的外部威脅,如 DDoS、DNS 攻擊等等,針對 DDoS 提供了 3、4、7 層的防護功能,同時也提供 WAF 等其他種類的防護。

SecurityScorecard(SSC)——美國資安雲平台

果核過去已提供資安服務給金融業及中小企業多年,近期也轉型變成專業 MSSP( Managed Security Service Provider),今年並與 SSC 成為合作夥伴。

SSC 是美國的資安雲平台,國外非常多大型企業如 Intel、Google、Nokia、AXA、Disney、Moody's 等,台灣一些指標性的大型公司如半導體業、金控業等也已加入使用 SSC 的行列。

SSC 運用大數據加上智慧演算法,能正確歸類資安威脅的種類,並排除噪音與誤報,種類包括端點資安風險、網路資安風險、補丁修補週期和惡意程式 IP 連線訊息(含惡意軟體和垃圾郵件)等等。並透過 10 個資安風險的關鍵因素來計算出風險的級別,結合前述的大數據資料,再運用高階機器學習演算法,預測企業本身是否會成為資料外洩的受害者。SSC 監控平台全年無休,每當有新的威脋產生時,就會立即傳送警告通知。

使用 SSC 服務的企業能與第三方夥伴的生態系統在 SSC 平台上直接做協調與溝通,直覺式的使用者介面讓客戶能輕鬆管理網路環境生態系統的安全性。SSC 做到的,不只是一個資訊安全風險評估平台,而是既準確、又可靈活運用的網路資安風險管理系統。

果核複合式 CDN 平台

因市面上有許多 CDN 品牌,使用者必需要熟悉各品牌的屬性優點,才能找到合適自身需求的 CDN,在維運管理上也增添了不少困擾。

果核複合式 CDN 平台提供「一站式 CDN 平台管理」服務,讓使用者在果核平台上就能管理各個 CDN 供應商——包括 Akamai、Verizon、CloudFlare 等多個知名 CDN 品牌。不再需要費時去摸索,比較與管理眾多 CDN 服務,更可同時使用,充分運用不同品牌 的優勢。

果核複合式 CDN 平台的使用者可同時配置多個 CDN 服務,搭配合適的服務與備援機制,並透過平台的 AI Load Balancing 機制與 RUM(Real user monitor)智慧監控,再依據監控品質自動切換最佳 CDN 服務。

果核 CDN 平台秉持 SaaS 服務特性,給予使用者高自由度的自主管理權限,可隨時自行增添或調整 CDN 需求,當業務需求導致臨時變動時,不受服務綁約期間等問題困擾,有效控制成本。

此外,平台更可依使用者的所在地,推薦合適的 CDN 供應商,例如:在中國地區可選擇藍汛、網宿等當地的 CDN 廠牌等。

雲端時代,果核 got your back!

因應企業數位化,越來越多的企業資料搬上雲端,早就是不可逆的趨勢,更別說在今年疫情衝擊下加速發展。未來將是無處不聯網、無物不聯網的時代,如何維持雲端資料的穩定並守護雲端資安,將是企業是否能在雲端時代發展壯大的過程中長治久安的關鍵。

果核複合式 CDN 平台擁有單一雲端服務所不能保證的彈性,加上代理美國 SSC 的資安風險即時評估,能大幅減低相關憂慮,是企業面面俱到的雲端夥伴。

潛艦要國造、資安要自主

L7自2002成立於竹科以來,深耕資安產業。台灣資安領域少有能放到大型骨幹網路的資安設備,大多從事駭客研究、郵件安全為主,極少有能放到骨幹網路的產品。原因很簡單,骨幹流量太大,影響服務太廣,穩定性與性能無法達到骨幹網路品牌Cisco、Fortinet、PaloAlto等級。


例如內政部的內政雲,集結了數百個系統在一個入口上,從外面訪問個服務時要經過(1)L7的負載平衡器InstantBalance分流到(2)L7的反向代理InstantWAF作SSL解密與WAF過濾,再轉到內部各局處的虛擬系統,透過(3)虛擬版L7負載平衡器InstantBalance分到各伺服器。而內部要出去的流量,會透過(A)L7的正向代理伺服器InstantCheck過濾上網行為,再經過(B)L7的應用頻寬管理器InstantQoS作保障/限制頻寬,並啟用(C)InstantGuard服務,匯集全球八個情報單位的中繼站情資以杜絕內部電腦回報到可疑中繼站後,再透過層層防火牆出去。L7默默地在美國各大資安產品中,逐漸展露頭角,成為國防穩定力量的中堅份子。


在上述(1)、(2)、(3)、(A)、(B)、(C)的環節中,骨幹網路的流量常常達到好幾Gbps,網路介面也常使用10G光纖,要能夠保持高可用性High Availability與硬體容錯Hardware Bypass,以防國家機關遭到攻擊時能快速反應與恢復,都是位於骨幹網路必須具備的能力。另外,解密SSL也是不能或缺的能力,才有能力在畏罪隱藏於加密流量的犯罪行為,能夠被快速地挑出來阻擋,甚至記錄下來犯罪證據。


在L7的Cyber Insight觀點中,能在高速流量下,穩定地辨識到偽裝的犯罪人員,就有如疫情之中能在大量人潮中快速找出發燒的人一樣,才能扮演國防工業中Cyber Security隱形的防疫專家。

潛藏在身邊的惡意威脅

在現今的網路世界,我們已無法阻止駭客入侵,我們面對的不是單一駭客,而是一群有制度且資源豐富的駭客團隊。看不見的惡意威脅早已成為進行式,不幸的是我們往往要等到最後攻擊者達成目的,並且造成商損時才能有所警覺,唯有化被動為主動,主動面對威脅、正視威脅才能有效的協助我們發現自己潛在的風險。

「紅隊演練」

我們瞄準企業所有外部開放服務、運用魚叉式攻擊侵入企業內部,透過後滲透攻擊橫向侵入核心系統,以仿似APT團隊最真實的攻擊手段與企業進行攻防演練,藉以找出企業整體資安防禦盲點,並驗證現有防禦策略是否可與攻擊者抗衡。

「滲透測試」

滲透掃瞄工具的攻擊行為是固定的,而駭客攻擊行為千變萬化。我們將以駭客思維,透過具彈性的人為判斷並模擬駭客手法進行攻擊測試,依循國際滲透測試方法論對測試目標進行全面評估、擬定專屬測試方針,結合各種中、低風險轉化為高風險漏洞,協助企業進一步分析漏洞可造成之最大傷害,讓企業將寶貴資源運用在最重要的環節上。

「事件偵測聯防 MDR」

沒有絕對安全,只有相對安全,無論企業投入再多的成本在外部資安防禦閘道設備上,依舊無法做到 100% 防止駭客入侵至內部。我們憑藉豐富的駭客事件應變處理經驗以及國際APT事件研究經驗,協助客戶進行威脅狩獵,即時偵測入侵事件並提出緊急應變方案。

「弱點掃瞄」

透過自動化弱點掃描工具搭配合適的檢測政策,協助企業找出網站、系統服務與設備存在的已知漏洞,如可用性高的 One Day 漏洞、潛藏已知的 OWASP Top 10 排行風險,並搭配顧問專業的分析驗證,提供可緊急降低風險的客製化改善方案。

「資安健診」

運用我們專屬的甲方系統、網路與資訊安全維運經驗,針對企業的網路、系統架構與防火牆規則設定之可用性與合適性進行評估,了解整體環境是否有可在精進改善的空間,及各資安設備的設定是否符合規範要求,並進一步評估網路與系統環境遭受駭客入侵的潛在風險,提供符合企業現有環境之改善方案。

為什麼您應該關注Web安全

只要駭客投入時間和資源,所有網站和Web應用程式都可能被入侵。

web應用程式(web applications)的弱點:購物車、表單、登入頁面及動態內容(dynamic content)都是駭客常見的目標。防火牆、SSL和鎖定服務器(lock-down server)對於駭客毫無用處。


儘管Web攻擊只是安全威脅的其中一種,但它時常伴隨網路釣魚等social engineering和惡意軟體,甚至搭配使用。以下是如何達到最佳安全級別的建議:

 使用啟發式檢測(heuristic detection)

如果只使用特徵型偵測系統(signature-based detection systems),就只能防禦script-kiddies攻擊。專業的黑帽駭客(black-hat hackers)會從web應用程式弱點下手,運用Acunetix等專業的啟發式檢測工具或手動滲透測試,能夠避免Web應用程式被攻擊。

 Web安全優先於network

近年來,重大資安事件中鮮少來自於network安全的問題。OWASP Top-10列表中,許多弱點來自於Web安全問題,例如SQL注入攻擊,跨站點腳本(XSS),CSRF,Web服務器和container misconfiguration等。

 從根本解決問題

您該明白惡意程式碼和well-crafted user input能夠躲過WAF規範,使用WAF但是沒有其他的防範措施無法提供完整的治療。


不能僅依靠工具來解決所有安全弱點,除了最基本的安全檢查之外,必須依靠經驗和技術來根除黑盒掃描程序無法發現的弱點。手動測試有其極限,不只十分耗時且在操作上具有相當的難度,必須在工具和手動分析之間取得良好的平衡。

無效的工具是一場昂貴的冒險,好的安全稽核工具能夠讓工作變得單純而有效率。明智的選擇解決方案,能夠讓您少花許多冤枉錢。如果沒辦法花太多時間進行研究,您可以對廠商提出明確的問題並要求試用,確認該工具能夠符合您的工作環境和業務需求,以避免失敗的決策。

好的工具能夠讓您用最少的時間安裝、掃描和取得報告,最重要的是,您將能夠最大程度地發現弱點,以減少資訊系統(information system)相關的風險,這將為您帶來不可忽視的巨大商業利益。


Acunetix不僅是Web弱點掃描程式,更是完整的Web應用程式安全測試解決方案,可以獨立使用,也可以整合進您的工作環境。它提供內建的弱點評估和弱點管理,及許多軟體開發工具的整合選項。讓Acunetix成為您的安全措施之一,您將以更低的成本免除掉更多安全風險。


「自動化和整合弱點管理」

為了節省資源,簡化補救措施並避免late patching,企業通常將Web弱點測試納入SecDevOps的一部分。Acunetix在物理和虛擬環境中的效率很高,因此是實現此目的的最佳DAST工具之一。

您可以用最少的步驟使用Jenkins等工具在CI / CD中整合Acunetix掃描。

整合第三方問題追蹤器,例如Jira、GitLab、GitHub、TFS、Bugzilla和Mantis。Acunetix還和某些追蹤器提供雙向整合,問題追蹤器可根據問題狀態自動觸發其他掃描。

Acunetix提供自己的API用於連接到第三方或內部開發的其他安全軟體,對於企業客戶,Acunetix技術專家將幫助您在非典型環境中整合該工具。


「最成熟、最快的弱掃工具」

Acunetix弱點掃描引擎是用C ++編寫的,使它成為業界最快的Web安全工具之一,當掃描含有大量JavaScript代碼的複雜Web應用程式時,這一點尤其重要。 Acunetix還使用一種獨特的掃描程序--SmartScan,它能讓您在掃描的前20%中發現約80%的弱點。

與其優異的速度匹配的是它的弱點回報能力。Acunetix以極低的錯報率聞名,它可以幫助您在進一步的滲透測試時節省資源,並使您的分析人員專注於新的弱點。Acunetix還提供了許多弱點的利用證明。


「網路安全以外的附加價值」

Acunetix提供不同版本以符合各種需求。它可以在Linux,macOS和Microsoft Windows系統操作,也有提供雲端版本。

除了Web應用程式弱點(例如SQL注入和跨站點腳本(XSS))之外,還能發現其他威脅,包括OWASP Top 10中列出的Web服務器配置問題或配置錯誤、受威脅的資產、惡意軟體……等。

您可以將獨特的AcuSensor IAST技術用於PHP、Java或.NET。這項技術使查明安全弱點變得更加容易,進而幫助您進行補救。

Acunetix能和OpenVAS開源工具整合在一起,可以協助您掃描IP地址範圍,發現開放連接埠和特定網路設備的其他安全弱點。您可以使用單一操作介面處理Web和network弱點。


Acunetix是最成熟的解決方案之一,邀請您立即實際體驗它強大而易於操作的各項功能。

用 One Identity 啟動您在 AD、Azure AD 的零信任旅程!
陳冠亨 / 技術副理

One Identity 為網路安全提供了一種以身份為中心、以雲優先的方法,讓組織能夠實現零信任和最小特權安全模型。將橫跨雲端、地端、混合雲的所有使用者、資料及和數位資源與 Identity Governance and Administration(IGA)整合,並提供最佳的解決方案來保護組織、使用者及企業資產。

近幾年來的駭客攻擊事件大多都是以 Microsoft Active Directory 及 Azure AD 為目標。這意味著在身分的資安管控上變得相當重要,如果沒有一個適當的管理、保護方式,將會讓整個企業的內部威脅急遽提升,導致從業務到個資受到衝擊和外洩。由 NIST 在去年 8 月正式發佈出來零信任的架構,希望企業中擔任資安角色的決策者,能夠在既有的 ISO27001 或者 NIST 的資安框架下針對自己的核心資產去做更精細的強化。這也代表著資產負責人或者管理人員需要把核心業務在管控上拆解到授權點和執行點,並有策略去規劃運作,來達到「驗證且永不信任」。而 AD/Azure AD 普遍來說會是企業的核心資產,更是關鍵。在此,One Identity提出零信任解決方案,消弭一般管理AD/Azure AD在整合和運維上的痛點。


Active Directory/Azure AD 上常見的幾個難題

l 管理上無法有效的限縮執行的權限,常常讓人資或者執行人員擁有過大的權限,導致當責或者管理人員沒有辦法得知執行人員在上面的操作是否得到允許。

l 委派太多的權限在不同的 forest(樹系)或者 OU(組織單位),演變成難以盤查,在收斂上往往曠時費日,變成一種惡性的債務。

l 無法規則和定義上所有的業務操作,導致每個帳號中的欄位會根據不同的管理人員就有不一樣的設定。

l Domain Admins權限為了管理方便而同仁共享帳號,或者為了辨識又創建太多特權帳號。

l Domain Admins權限難以限縮到只剩下一個。

我們透過One Identity Active Roles(AD帳號治理系統)搭配One Identity Safeguard(特權帳號管理系統),可針對微軟環境的去實施零信任的架構。其主要關鍵點在於如何訪談引導出AD/Azure AD該怎麼和組織業務或者維運流程進行對應,並協助客戶把業務和特權權限拆解,將這些繁瑣的設定變成零信任架構上。也就是說我們能夠透過管理AD的經驗和企業流程上的想法合而為一,成為專業的系統設定去規劃,如此運作上才能系統跟著組織實際流程走,甚至做到自動化。

當企業根據組織流程設定各種自動化或者規則化之後,接下來可以導入 Starling 2FA 的雲端雙因素驗證機制,來讓每個人要進入 Active Roles前,必須先經過雙因素驗證來確認是否其本人;在執行業務流程的時候,還需要經過審核流程,才能異動 AD/Azure AD。而流程使用者會從非信任區朝向信任區的前進,在策略上實施零信任概念中的授權點和執行點,藉此達到層層關卡,並且裝置和人對這些操作進行”驗證且永不信任”。

此外,我們也不能讓 Domain Admins 權限成為漏網之魚,因此 One Identity 將會透過 Safeguard 特權系統納管網域上面所有的特權帳號,並且利用 Active Roles 達到Just in Time Access(臨時特權存取)。臨時特權存取是在零信任架構下延伸出來的概念,目的是為了限縮特權帳號的使用時間之外,還提供了降權和關閉帳號的功能,供管理者可按照這些選項幫組織規劃後,設計出一個符合企業本身的”最小特權原則”(principle of least privilege)。


台灣目前僅有少部分的企業願意面對資安框架的設計去做權限分責的概念,通常一來時間成本太高,二來內部的組織溝通不順暢,讓很多管理階層或者執行人員難以克服。而主要造成的原因,常常是部門之間的穀倉效應所帶來的問題。因此,更要尋求有資安、身分和特權經驗的廠商一起進行溝通導入,才能讓整個零信任架構的導入事半功倍。

● One Identity Safeguard:讓組織能夠在必要時提供完整的憑據,或者與 Active Roles 結合使用細粒度的委派來管理存取權限,以實現最小特權和即時存取。

● One Identity Active Roles:提供透過簡單有效地保護本地及雲端AD資源,來解決組織的安全問題並滿足合規性要求。

● Identity Manager:可以統一資訊安全策略並滿足當前和未來的治理需求。

● Change Auditor:對 AD、Azure AD、Office 365、file servers 等所有關鍵配置、使用者及管理者異動進行全面且即時的 IT 審核,深入的取證和全面的安全監控。


確保物聯網每個節點受到保護

余俊賢/執行長


互聯安睿資通股份有限公司是以物聯網與5G資安為核心的新創公司。我們注重產品的資訊安全性,並以實務經驗來驗證每條準則。 我們專注在物聯網、車聯網、5G場域的安全,核心技術在Wifi、Bluetooth、C-V2X訊號及封包分析,並提供物聯網場域安全檢測、資安評級與產品安全開發SSDLC服務,確保物聯網中的每個節點都受到保護,提供讓您信賴的資安解決方案。

  

本公司自行開發之iSecMaster物聯網場域資安解決方案,針對封閉式場域,進行無線訊號與有線網路傳輸監控,針對突發狀況進行預警,並整合外部威脅資訊,讓IoT場域安全更能聚焦與精確,iSecMaster可以應用在不同的場域上,諸如智慧製造、智慧醫療、車聯網、無人店行動支付等,此產品更與工研院合作推動白名單防禦機制,強化各行各業的資安體質。

隨著未來幾年的5G建設,採用物聯網技術的企業也隨之要面臨更詭譎多變的資訊安全挑戰。本公司藉由設計一個有如陷阱般的「物聯網蜜罐誘捕系統」,引誘駭客攻擊,透過蒐集與監控行動反向蒐集駭客的攻擊行為,對存在的威脅與弱點進行了解,進一步分析如何去減輕威脅的方法,以協助提高5G建設與網聯網的安全。

 

互聯安睿具備高度資安技術能力,贏得國發會、工業局指導之2020年金漾獎智慧應用組第一名,並為亞太資通訊科技聯盟APICTA Awards國家代表隊。


端點控管必須內外防護兼具

內部威脅或外部攻擊危害大?

根據 Verizon 發布資料外洩事件調查報告 (DBIR),內部攻擊或威脅肯定是重要的因素之一,實際上,大約有 30% 的外洩是內部威脅。到目前為止,對組織的最大威脅仍然來自外部參與者。據去年的數據顯示,有 70% 的違規行為來自外部參與者。其中有 1% 涉及多方人馬,而且也有 1% 涉及第三方合作夥伴。

人們普遍認為內部人員是組織安全的最大威脅,這可能有點偏誤。誤以為來自特定來源威脅的「數量」,相等於這些威脅所帶來的安全衝擊「嚴重度」。因為一次內部威脅爆發,可能造成的危害是外部攻擊的十倍,還是要取決於事件的性質。

攻擊及威脅動機是什麼?

在絕大多數情況下的攻擊事件最大的動機是經濟利益,資訊安全從業人員並不會感到驚訝。除了對金錢報酬的需求外,還具有另一個有趣特點:攻擊者進行的攻擊,大多不會超過兩到三個步驟。如果需要更複雜的手法才能成功,可能會放棄尋找下一個目標;除非是為了更具規模或針對性的攻擊。

挑軟的柿子下手總比在堅固的目標上,投入過多時間和精神的成本要好得多。快速大規模的操作並使用自動瞄準和開發工具是一個正常的 ROI 選擇。身為捍衛者的策略是非常直接的,如果您保護好了城堡,並讓壞人努力成為白工,那麼絕大多數攻擊者會轉移到其他的目標上。

儘管財物可能是攻擊者最終真正想要的東西,但他們往往會想獲得更多其他收益。用戶憑據也是攻擊者的主要目標,除了直接存取寶藏之外;組織還可能被突破淪陷之後,成為通往另一個更有價值目標的墊腳石。對攻擊威脅者而言,真正有價值的可能是你的客戶,而不是你的組織。

邊境界線逐漸消失中

傳統的資訊外洩防護方案,可在資料儲存、使用、傳遞等三方面提供保護。如果存取的資料都可以保留在這些端點、邊境防火牆範圍內,以往這也許是足夠的。但是,安全防護的邊界越來越不明顯,而且一旦使用超出邊界範圍,它的資訊安全政策就無法被落實。這意味著,現在的工作及供應商的合作方式,不再有明顯的界線可以分出信任區域。

COVID-19 下遠距工作的安全疑慮

在疫情之下,各種規模的公司都受到一定程度打擊。對於期望維持業務連續性的現代組織來說,遠端工作已成為必需。遠端工作對資訊安全形成了獨特的挑戰,因為遠端工作環境通常沒辦法提供與辦公室相匹敵的保護措施。當員工在辦公室時,他們在預防性的安全控制層後面工作。雖然不完美,但在辦公室環境工作時不容易違反安全性規定。但是當設備離開組織 IT 邊境外圍,在遠程工作時將帶來新的風險,因此必須採取附加的安全保護策略。

轉移雲端平臺不是一個有沒有必要的問題,而是一個「什麼時候開始」的問題。遠端工作員工、供應商、客戶服務和策略夥伴合作的需求,只會加快推動雲端的使用。例如公司依賴於員工從其個人智慧手機,存取行動業務相關應用程式(稱為自有設備或 BYOD)。此外,近四分之一的千禧代員工表示,他們會將公司檔案下載到這些設備上,並安裝了第三方雲端應用程式(私有雲或 BYOC),但沒有知會 IT 或資安人員;這代表企業並非能夠有效控制使用雲端的時間和方式。

但無論速度如何,傳統固定的安全政策都難以與跟上這工作需求。原因之一是雲應用程式供應商傾向於優先考慮方便性、可存取性和易用性,資料使用的安全性就不一定周密。他們專注於共同開發合作模式,用傳統方式保護基礎設施的安全,但讓用戶確保在基礎設施中共享的數據。這意味著,鑒於當今工作內容的變化、移動性,無論您的人員在哪裡,都有責任構建資料保護。

端點資料活動監控保護方案

 長久以來資料安全與業務績效之間,在某些需求面存在矛盾。畢竟保持競爭優勢的最簡單方法,就是企業保有其「秘密配方」的能力。將內部重要資料無論是專有工序流程、關鍵智慧財產權,甚至是專利配方文件等,通通都保護在城牆之內,遠離街頭。

但這個問題要複雜得多。據估計世界上 90% 的數位資料是在短短兩年之內創造的;存取方式幾乎都是透過網路。跨組織合作使保護資料安全更加複雜,行動裝置、遠距工作的用戶端、供應商、承包商、內部遠端服務和漫遊員工等的激增,資料外洩事件可能性增高,對公司的品牌形象和客戶的信任感造成嚴重損害。長期以來,醫療和金融服務等受到嚴格監督的行業,一直受到主管機關當局法律規範,以確保機敏資料的安全。


以下是 X-FORT 提供的監控防護建議:

User Activity monitoring 使用者活動控制與監視

X-FORT 提供用戶追蹤端作業系統、使用者操作活動記錄,違反安全規定時予以阻擋控制。

使用者活動日誌

· 軟體執行記錄:記錄使用者執行軟體,或執行軟體視窗標題名稱變動。

· 網頁瀏覽記錄:使用瀏覽器 IE, Chrome, FireFox, Edge 時視窗標題變動,記錄視窗標題與網址。

· 檔案操作記錄:記錄透過檔案總管對檔案的操作細節,範圍包含本機檔案系統的建立、刪除、更名、移動、複製;存取網路芳鄰、外接式儲存裝置、MTP 裝置等。

作業系統相關記錄

· 作業系統活動記錄包含系統檔案名稱異動,記錄更名前後的相關資訊,系統檔案被刪除的事件記錄與備份被刪除的檔案。

帳號管理

· 管理用戶端的本機帳號,可新增、修改、刪除本機帳號,可啟用或停用本機帳號。

本機裝置控管 (Host Device Control and Monitor)

· 控制本機所有連接裝置的使用

· 管理信任儲存裝置

· 管理儲存裝置存取方式,包含外接儲存裝置、燒錄器

· 控制列印裝置及列印行為,包含禁止列印、強制浮水印、暫時開放印表機;記錄及備份列印內容,備份列印檔案。

網路控管 (Network Control and Monitor)

記錄與控制用戶端網路存取活動,包括共用資料夾控管、應用程式、網路連線、網站存取、檔案傳輸、電子郵件等。

應用程式控管 (Application Control and Monitor)

用黑名單與白名單機制管理非授權的應用程式執行;以及保護資料夾被未經授權的程序存取。

軟體執行控管

· 提供軟體禁用功能外,控制軟體使用時段控管軟體只能在規定的時段內被使用,其他時間禁止使用。

· 被禁用的軟體,使用者無法自行安裝。使用者嘗試執行被禁止或非允許的軟體,留存記錄。

資料夾存取防護

· 限制異動副檔名:限制資料夾中特定副檔名的檔案(如*.exe);該資料夾中新增、變更特定副檔名檔案。

· 應用程式白名單:用戶端特定資料夾允許「信任程式」存取檔案,防止其他程式存取,或檔案加入。保護資料不被惡意程式存取或竄改。

· 例外處理名單:在限制異動副檔名清單及應用程式白名單中,設定排除控管的例外名單。

稽核與分析 (Audit and Event investigation)

記錄與資料整合分析

· 記錄查詢結果根據分權與管轄範圍,依登入的管理者身份,檢視管轄範圍內人員或電腦的記錄;不同管理者顯示不同結果。針對人員、日期等組合篩選條件,可指定欄位 (如:記錄時間) 順序排列,檢視多種類記錄或資料。

儀表板

· 自行組合多個小工具 (Widget) 在同一頁面,一次查看各種相關結果,即時掌握資安狀況。

· 管理者登入系統主頁,依管理角色的管轄範圍篩選結果,呈現特定儀表板。

端點事件偵測與反應 (Endpoint Incident Detect and Response (EDR))

· 監視及偵測違規行為,主動反應控制風險。

· 用戶端自動反應包含螢幕浮水印、警示、限制網路傳輸、禁用隨身碟、禁用印表機等;管理者處置包含強制關機、遠端命令等。

· 記錄各種違規事件、反應動作與處置方式。

主動適應安全政策 (Adaptive Policy )

解決靜態規則無法適當應對變動的環境,主動適應政策根據不同環境條件提前,建立不同對應行動計畫,可簡化團隊管理複雜度,並減低對使用者工作的干擾。安全政策依下列類型自動調整

· Role based (使用者): 依登入使用者身分生效,在其他裝置上登入也具備相同政策。

· Location based (地理位置): 所在地理區因基礎建設完善度不一,可能安全性不足等顧慮。

· Host based (電腦政策):固定政策,不受登入使用者身分影響。

· Site Based (跨廠區工作):受工作區管轄,配合當地的安全管理政策。

· Telework (遠距工作):以公司裝置利用 VPN 存取公司的服務、以自用裝置 RDP 連入公司裝置、以公司裝置 RDP 到另一台公司裝置。

筋斗雲推出全新解決方案,協助企業輕鬆贏戰後疫情時代

遠距工作因新冠肺炎疫情成為全球新趨勢,企業在實施防疫措施的同時,卻使內部資料暴露在資安風險中。如何同時兼顧防疫和資安,成為全球企業面臨的一大挑戰。

筋斗雲主要針對網路防護及雲端網路整合進行專業規劃服務,為企業解決雲端網路傳輸與資料安全傳輸問題。面對後疫情時代的來臨,筋斗雲擁有累積超過 20 年以上 IDC 營運經驗及自有的網路環境,加上專業團隊的技術支援,協助企業在安全的環境下提高營運效率。

雲專線 PVC 解決方案

遠距工作使視訊會議、遠端資料存取的需求大幅增加,當企業開放遠端連線的同時,也提高了資料外洩及竊取的風險。筋斗雲結合多雲網路傳輸服務及專線資源,利用獨立網路頻寬解決因共用網路導致的壅塞問題,打造快速便捷的兩岸連結,提升企業多據點及遠距資料傳輸的安全性。

DDoS 防禦解決方案

疫情導致網路需求增加,DDoS 攻擊規模和頻率也與日遽增,面對駭客多種攻擊手法,企業應提前做好準備,確保網站服務不中斷。筋斗雲擁有大頻寬清洗能力,流量經過多層次清洗技術過濾,可以有效阻擋 L3/L4 及 L7 的攻擊,協助客戶提升穩定的網路品質。

精誠:企業須重新思考佈局疫情後的新工作與生活模式,架構安全的數位與虛擬化營運流程成為企業建立永續價值與生存的關鍵

回顧2020年,全球幾乎壟罩在新冠肺炎疫情的影響下,直到現在,疫情對人類工作與生活方式的改變仍是進行式。過去企業習慣於面對面會議、客戶互動式接觸或是企業人員面試的傳統企業日常,如今已經大幅地被遠端互動會議所取代;包含合約簽署、金流、機敏資料的相互往來等。當網路的活動力大量湧進時,企業必須確保線上工作環境的安全,過去這可能是IT部門要負責的資安問題,現在則成為企業生存的重要關鍵。


建立研發資安能量 發展自有資安方案 協助企業建立永續價值


除了代理多項國內外資安產品外,精誠資訊也與資策會、工研院、國家高速網路與計算中心等相關產官學界的資安單位合作或技術轉移,建立起精誠資訊安全解決方案的五大核心產品:RedAlert資安攻防演練、Cyber Center資安監控服務、MOC(Monitoring and Operation Center)維運監控中心、SESC(SYSTEX Email Security Cloud)次世代電郵安全雲、HEIS(Human Error Insight System)資安意識人因分析系統。


精誠資訊RedAlert 資安攻防演練是精誠資訊與國家高速網路與計算中心合作,建構在國網中心CDX(Cyber Defense Exercise)雲端平台,模擬紅隊(攻擊方)與藍隊(企業/組織端)面對資安攻擊事件的攻防演練,以及相關資安事件處理與威脅應變等,採SaaS訂閱式服務。藉由演練協助企業客戶方進行資安攻防訓練,以及資安人才養成。


精誠集團Cyber Center資安監控服務以最新大數據以及AI人工智慧技術,進行快速及準確的問題事件分析,協助企業掌握資安威脅,SOC(Security Operation Center)結合資安健診、弱點掃描、社交工程演練、資安攻防演練以及國際資安認證課程,是目前業界可以提供的最完整的一站式服務。


精誠MOC維運監控中心是以事件場域、事件情境的即時營運監控與長期資安事件監控的服務機制。由專家顧問團隊7x24全天候守護系統運行以及資安防護,並採取台北及台中雙中心監控,即時監控企業/機關內的設備健康狀況、流量資訊,提供合適之告警給予資安管理人員參考,作為資安風險與威脅評估的基礎。


精誠資訊SESC次世代電郵安全雲(SYSTEX Email Security Cloud),是精誠專為解決台灣企業日常最常面臨的資安威脅所設計,整合了國內外不同領域的領先資安產品,以訂閱服務模式提供的電郵安全核心雲平台。同時納入應用AI技術的語意分析防護引擎、惡意程式、APT、URL等,完整多元的防護能力以及方便彈性的導入應用模式,是目前市場上領先業界的次世代電郵防護平台。


電子郵件至今依然是企業/組織最倚重的溝通工具之一,但也成為駭客發動攻擊、社交工程最主要的管道,根據統計,高達92%的可疑電子郵件會夾帶惡意的URL,傳統的垃圾郵件閘道完全無法應付。


長期以來,資安問題中最不容易預測與管理的就是「人」。根據調研機構Gartner發表的2021重要戰略科技趨勢報告中所提出的九大策略面向,排名第一的就是行為互聯網IoB,Internet of Behaviors。特別是在疫情期間,民眾在網路的行為越來越多元,需要重度依賴網路創造新的工作與生活模式。我們可以預期未來將產生越來越多的新數據與分析,同時也看到數據治理以及網路安全對企業的重要性與日俱增。精誠HEIS資安意識人因分析系統即是針對企業內部人員,設計資安意識管理系統與訓練,協助企業強化員工資安意識。


連結資安新創生態圈 培育實戰型專業資安人才


面對日新月異的資安攻擊守法,企業應該捨棄單純採購「資安設備產品」因應的迷思,而是正視問題並嚴正以對。資安設備是輔助性的角色,「人」才是使用設備並能透過思考及預作準備進而有效達成資安防禦的關鍵。所有員工平時都必須具備資安意識,企業內部的資安人員也要隨時做好管理的角色,才有可能建立一套完善且成功的企業資安防禦系統。


資安人才的不足一直是業界面臨的重大挑戰。資安力是國家戰力的延伸,立法院日前也通過資安卓越中心8.09億元的預算,要打造國家級資安卓越中心,培養頂尖資安人才,目標希望在兩年內成為亞太高階資安人才及技術創新基地。


我們認為,台灣有優秀的工程師,但可以實際上戰場作戰的資安人才並不多,需要透過完整的培訓計畫養成。因此,精誠在去年積極投入資安人才的培訓與升級,從三個不同面向:研發力、服務力與顧問力,提升資安人員的專業與作戰能力。此外,精誠也陸續投資台灣有潛力的資安新創公司,希望彼此資源互補,產生合作綜效,共同壯大台灣的資安國力。


打造國際級資安台灣隊進軍國際市場


如果我們從全球最大的資安展,RSA Conference來看,歷年來參展國家,除了地主國美國之外,近幾年英國、以色列、德國等國也開始設立專區進駐資安展,中國也從2018年開始設置了展示專區。從另一角度看,RSA資安展儼然已經成為國與國間安全防衛研發能量的角力戰場。反觀國內資安廠商,尚未好好利用這個國際舞台展現我們在資安領域的能量,相當可惜。精誠資訊長期觀察與分析國內外資安市場與趨勢研究,從2019年開始陸續與國內外資安公司進行合作、結盟,期望打造具國際化視野的台灣資安生態圈,初步計畫從日本以及東南亞市場開始,整合國內資安業者資源走出台灣,讓國際市場重新定義台灣的資安能量與商業價值。

紅隊演練和紫隊測試

在資安攻擊越來越多元的情況下,經濟部國營事業委員會也曾指出由於關鍵基礎設施大部分皆是依賴工業控制系統來執行自動化作業,因此工控系統的安全可說關係到國家的戰略安全。


不僅如此,行政院資通安全處為落實推動國家關鍵資訊基礎設施防護,特別制定「關鍵資訊基礎設施資安防護建議」,可見此資安議題與其防護的重要性。


台灣特洛奇資安夥伴之一的Spirent所推出之產品Security Labs即有針對ICS(工業控制系統)、SCADA(資料採集與監控系統)和工業物聯網等進行滲透測試等資安防護。


Spirent Security Labs服務在對用戶組織影響最小的狀態下,產生高影響力的結果。


Spirent的團隊由經驗豐富的安全專業人員組成,為網路、應用程式和設備以及源碼分析提供全面的掃描、滲透測試和監控服務及紅隊演練和紫隊測試。 

經濟有效率的特權帳號/VPN 管理、連線側錄與 OCR 光學辨識搜尋軟體

竊取特權帳號密碼是駭客入侵、APT 先進持續攻擊成功的指標,特權帳號管理是 Gartner 2019 年十大安全專案項目排名的第一的。

可是因為要管理的 電腦、網路設備、資料庫特權帳號數量龐大、費用驚人,所以大部分的客戶而僅針對少數外包商、IT 系統管理員的少數特權號密碼加以管理,而成資安管理的重大漏洞。

許多公司建置 SSL VPN 遠端連線並開放 RDP 遠端桌面協定讓員工可以在家裡或異地連線到公司內部作業,但是沒有想因此為駭客開啟了入侵的大門,因為駭客可以掃描 Internet 上 RDP Port 3389 的電腦並使用 Masscan.exe 之類的工具從受感染的電腦中進行 RDP 暴力攻擊,該工具可以在六分鐘內在整個 Internet 上找到易受攻擊的電腦。

ForestSafe/SessionSafe/LAPSafe:特權帳號密碼管理/VPN 遠端連線、連線側錄與畫面 OCR 光學辨識搜尋軟體市場上少數能提供完整功能而且僅需要較少費用的產品。

一、ForestSafe 遠端連線控管與側錄、特權帳號密碼管理、連線畫面 OCR 光學字元辨識搜尋軟體

• 不需要在主機上安裝代理程式的 Agent-less 特權帳號管理軟體。

• 遠端連線電腦不需要啟用啟動 RDP/SSH/VNC 程式,只需要使用 HTML5 Web 應用程式。

• 清查所有電腦上所有帳號,管理特權帳號。自動定期更改管理的特權帳號密碼。

• 當 新增特權帳號與 更改特權帳號密碼時自動偵測並通知。

• 支援 Google 認證、E-Mail、Radius、SMS 簡訊等多種雙因子認證確認登入者的身份。

• 每次連線後自動更改密碼 (一次性密碼),縮短密碼有效時間防止密碼被竊取機會。

• 提供中英文的申請/批核操作 Web 操作介面 (Approval Layer)。

• 透過 ForestSafe Web 操作介面提供 RDP/SSH/VNC 連線時不需要輸入密碼的 Single Sign-On 登入功能,防止密碼被竊取。

• 選購支援 AS400、MS SQL、Juniper SSL、IBM DB2、SAP、Oracle、Lotus Notes 與 SharePoint 特權帳號密碼管理功能。

• 選購 OCR 光學字元辨識與搜尋模組,可搜尋連線畫面中出現的關鍵字 (機密、confidential 等) 或正規表示式 Regular Expression (身分證、信用卡號等),並以快照 Snapshot 顯示,了解特權帳號查詢了那些機密?

二、 SessionSafe 居家辦公、VPN 連線側錄與連線畫面 OCR 光學字元辨識搜尋軟體

• 不需要在電腦上安裝代理程式的 Agent-less 的居家辦公、VPN 連線側錄軟體。

• 遠端用戶的設備 (電腦、手機與平板電腦) 不需安裝軟體,不需啟用 RDP 程式,只需要透過 Web (HTML5) 即可連線至公司個人電腦作業,可快速啟動居家辦公。

• 不需要 Windows Terminal Server 跳板機,可節省大量 RDP 授權。

• 遠端用戶無法將公司電腦內資料拷貝至外部,避免資料外洩的風險。

• 支援 網路喚醒 (Wake On Lan) 可喚醒下班後關機之個人電腦 #1。

• 遠端連線的電腦不需要開啟 RDP (port 3389)、SSH (port 22) 與 FTP (port 21),減少被駭客攻擊機會。

• 可選購 DMZ Proxy Server ,避免內部SessionSafe Web Portal 直接對外,檢被外部連線攻擊的機會

• 可透過手機 Google Authentication APP、E-Mail、Radius、SMS 簡訊等多種雙因子認證 2FA 機制確認用戶身分。

• 提供 中英文的 遠端連線管控操作 Web 操作介面。

• 支援 OCR 光學字元辨識與搜尋模組,可搜尋連線畫面中出現的關鍵字 (機密、confidential 等) 或正規表示式 Regular Expression (身分證、信用卡號等),並以快照 Snapshot 顯示,了解遠端連線者查詢了那些機密?

許多客戶因為常在個人電腦上安裝軟體或修修改設定而保留了大量的 Local Administrator 本地管理員帳號網域中的任何電腦上大多使用完全相同密碼本地管理員帳號本地管理員帳號採用 NTLM 驗證通訊協定,微軟 Windows 作業系統的 NTLM 驗證通訊協定存在允許攻擊者透過重送攻擊進而取得整個網域控制權之漏 (CVE-2017-8563) https://www.nccst.nat.gov.tw/VulnerabilityDetail?seq=1065

一旦駭客透過社交工程、釣魚信件與 RDP 暴力攻擊入侵後,如果被入侵的是個人電腦上具有本地管理員權限帳號,那駭客就可透過本地管理員的權限執行各種入侵工具,輕易竊取網域管理者的密碼進而控制客戶的整個網域。

三、 LAPSafe:個人電腦帳號清查、本地管理員帳號回收或關閉與特權提權申請軟體

• EESM LAPSafe 是不需要在 Windows 個人電腦上安裝 Agent 的本地特權帳號管理軟體。

• 自動盤點數量龐大的 Windows 個人電腦上的帳號。

• 當新增本地特權帳號與 更改本地特權帳號密碼時自動偵測並通知。

• 關閉或刪除或管理具有 local administrator 本地管理員權限帳號。

• 解決因為經常要在個人電腦上安裝軟體或修改設定而保留了 local administrator 本地管理員等特權權限的資安問題。

• 解決在網域中的任何電腦上使用完全相同密碼的 local administrator 本地管理員帳號成為駭客攻擊目標問題。

• 可透過手機 Google Authentication APP、E-Mail、Radius、SMS 簡訊等多種雙因子認證 2FA 機制確認身分。

• 提供特權提權的申請批准申請流程,可不必輸入密碼自動升級權限為本地管理員或提取本地管理員密碼功能。

• 提供必須兩人核准的 Dual Administrator Approval 功能。

網路已無絕對安全 - 中華數位重要缺口防禦,助企業降低風險、及早發現、快速復原

在過往我們經常會誤認為在防火牆保護下的特定區塊,是相對安全的,因此對於一些驗證、警戒過程較為鬆懈,以換取更方便的作業環境。事實上對近年重大入侵的檢視,真正的威脅攻擊通常不是直接突破資安設備的防線,而是透過其他管道─特別是電子郵件,打入內部後橫向移動,並在企業內部長期潛伏及部署。2020 年突發的疫情事件,讓全球措手不及,許多企業倉促的實施遠端作業、在家工作及各種避免接觸的手段,這樣的轉變,不僅挑戰企業過去對內外環境的界線思維,也挑戰了作業用主機安全部署的方式。而在彼此避不見面的情況下,究竟是誰在收發電子郵件?更難提防的社交工程攻擊該如何防範,更是挑戰了對資訊安全固有的佈局及思維。

當惡意攻擊滲透到企業內部時,馬上會面臨生產用的電腦遭到加密、資料遭到外洩,或是藉由企業提供的信譽、軟體、服務以擴大攻擊面向等各種風險,而資訊安全的考量也不能像過去一樣,只對單一企業體作防護。在 2020 年末爆出的美國 Solarwind 入侵事件就是一個十分典型的案例,影響範圍包括了美國政府與企業。雖然目前的調查資料尚無法釐清真正的入侵來源,但可以確定的是,這個精心策畫的攻擊,在攻入 Solarwind 時,至少潛伏了 3 個月以上才被發現。您所在的企業是否面臨同樣的潛伏威脅呢?

中華數位提供重要缺口防禦,與資安事件鑑識與處理

中華數位科技專業的郵件安全防護與管理解決方案,掌握全球多元威脅情資,針對惡意威脅郵件攔截示警,並且進一步彙整並揭露釣魚、APT、詐騙郵件等攻擊的現況數據與遭受攻擊的高風險標的,提高企業內部潛在威脅的可視度,有助管理者掌握內部的攻擊情報。包括是否有郵件攻擊事件、存在什麼類型的攻擊、誰是駭客攻擊的目標、內部潛藏什麼漏洞…等,藉著資訊的披露讓企業得以提高警覺,及早反應並強化防禦。中華數位科技的專業安全防護不僅止於郵件缺口,也提供國際資安大廠網路流量監控、伺服器存取稽核、跨平台漏洞修補等重點缺口防禦方案,提供企業更完善的安全防禦環境。

除了各種重點缺口的事前防禦方案外,中華數位科技亦提供事後的資安事件處理與鑑識服務,如 IR Solution 資安事件處理服務、BEC 鑑識服務。在事件發生後或懷疑遭到入侵時,協助企業釐清內部攻擊事件背後所隱藏的風險與危機,以正確找到資安問題,改善並且避免再度受駭!

 

與時俱進的「Zero Trust & Protection」資安策略,「立竿見影 & CP值」為上的資安佈署

COVID 19 新冠疫情導致全球企業組織皆採取了前所未見的高度線上化措施,積極實施分區/居家辦公營運模式,意指以往的外圍資安防禦架構無法再因時制宜;而近年雲端、物聯網、行動裝置的 Edge Computing & Analytics 應用,Cloud、Fog 與 Mist 應用架構的資安風險頓時升級,perimeter-less 無邊界資安防禦蔚為重要,故強調「Zero Trust」與「Protection」的資安策略正式崛起。

「Zero Trust」零信任網路安全架構於 1994 年即被提出,近年由 Forrester 積極倡導。零信任架構一律視使用者為潛在威脅,拒絕進行任何未經身分驗證之資料及資源授權存取,強調企業組織使用者身分與端點裝置辨識與驗證、應用程式與服務存取規範、網路監控與分區隔離、資料分類存取控管及威脅情資之掌握能力,但顧及營運績效與流程,一切控管保護應在不犧牲使用者體驗為前提下搭配最低權限政策。

落實「Zero Trust」零信任資安架構與轉型並非一蹴而就,需要長時間且多因素緊密配合,對於資安部門的積極性、前瞻性與格局觀都有高度要求。資安人員須能將既有資安架構做完善的自我檢測評估,且精準判斷架構與策略升級的優先順序,同時須更明確制定一套精準的申請存取核准流程,涵蓋部門之間權責關係、作業流程計畫及存取規範;若評估方向與定義錯誤,實現零信任架構之過程必將曠日廢時、緩不濟急。故掌握符合零信任架構精神且具立竿見影之效的技術,對於資安人員之重要性與挑戰不亞於資安管理本身之難度與深度。

此外,根據 Verizon DBIR 報告,2020 年網路瀏覽器、網路釣魚及電子郵件的針對性攻擊巨幅增加,另有數據指出駭客攻擊已達到每週近 130,000 次,故能充分實現零信任瀏覽的 RBI (Remote Browsing Isolation) 隔離上網技術備受矚目。RBI 將所有網頁瀏覽行為限制在一次性使用的虛擬隔離 docker 中以確保安全網頁瀏覽。Gartner 報告亦指出,到 2022 年將有 25% 的企業採用瀏覽隔離技術,有助減少 70% 的終端用戶系統攻擊,免受已知及未知的惡意網站威脅,包括勒索軟件、零時差攻擊和偷渡式下載攻擊等。Gartner 亦提到 RBI 技術充分輔助 CASB (Cloud Access Security Brokers) 的安全性,將資安防禦回歸到百分之百的「Protection」角度,結合隔離與虛擬技術提供公私雲及 web 應用程式的安全防護,阻止惡意程式進入終端用戶設備,因惡意程式將無法在 RBI 網頁內執行並且隔離於虛擬容器中,故無法針對漏洞或未修補的問題進行滲透攻擊。

漢領國際綜合全球市場領導技術充分呼應了「Zero Trust」所注重的五個關鍵 : 人、平台、設備、網路及資料本身。

1.位居 Gartner 領導象限的 Thycotic PAM 特權帳號管理解決方案,透過特權存取防護、端點權限最小化、機敏程式碼安全等,達到人、系統及裝置的身份辨識及控管。

2.Ericom Shield RBI 網站檔案虛擬隔離淨化解決方案,遵循 Zero Trust 的網路細分化與保護隔離的精神,採用docker沙箱網頁瀏覽架構,杜絕企業遭受零時差漏洞及網頁攻擊的可能性,特別是未知惡意網站的防禦更見其效。

3.LogRhythm NextGen SIEM 內建 Zero Trust 所需的可視性與 AI 關聯性分析能力,並具備 MITRE ATT&CK 與 UEBA 套件,提供自動化、協作、回應與透析資安細節內容;其 MistNet 模組以 Edge AI 運算技術輕鬆實現 Zero Trust 網路細分化架構,並可進行機器學習、基準線建立及網路流量分析,自動鎖定網路攻擊或潛伏威脅。

4.SQream GPU Data Warehouse & Analytics 關聯式資料庫,將數據資料匯入 GPU 5000 cores 中平行運算,立即解決資料分析所需要的運算效能及時效性,以秒計的速度辨識資安威脅。隨著 Cloud computing、Edge computing 等 IoT Devices 與 5G 的運用,資安事件分析將逐漸邁入運用大數據進行威脅偵測及分析的時代。

被駭、被勒索又如何? 「看不見的資料」讓企業營運不受影響

任何疫情都會過去,但資安威脅卻永無止息,層出不窮的資安事件讓企業疲於應付,營運風險也隨之攀升。近兩年來最熱門的資安議題,毫無意外,依舊是「駭客入侵」與「勒索軟體攻擊」,網路聲量之大,雄踞各資安論壇、研討會及新聞報導的話題人氣王。


雖然企業所建構的資安防護網持續更新,但是駭客的攻擊手法也同樣日新月異,讓企業猝不及防的各式變種與新興技術,終歸是為了透過竊取機敏資料或是癱瘓營運等方式取得巨額利益。隨著相關資安事件的發生日趨頻繁,可想而知,尋求阻擋攻擊、防勒索之道,正是企業IT單位的當務之急。


做好備份/備援就能不受影響?


擔心資料被竊、被加密?多備幾份就好了;憂懼系統被癱瘓?做好備援機制就可以。但......真的這樣就夠了嗎?


目前要快速恢復企業營運的方式,不外乎導入虛擬化與備份機制,但是在真實事件中,備份檔案也被駭客滲透的案例並不在少數,簡單來說,就是備份、備援都到位,也準備好回復系統運作的一切程序,這才發現備份檔案早已回不去了。


所有企業都想在資安事件發生後,火速於最短時間內讓公司系統恢復運作,平日做好備份、備援已成為資安常識,但除此之外,備份好的資料也必須確保未經勒索軟體污染,否則先前所有的準備都是徒勞,復原作業最後只能功虧一簣。


就算願意付贖金,花錢還不一定能消災


乖乖付贖金當然是個選項,但不到走投無路,任誰都不想這麼做,況且更糟糕的狀況是,花了錢還無法消災!


相較於「不付錢就刪光你的硬碟」,看看國內近來幾起大型企業遭勒索的事件就明白,駭客的手法也是持續進化,直接綁架重要檔案,人質在手、贖金沒到手,立即曝光機密資料。但其實就算付了錢,也難保已經外洩的資料不會落入網路黑市,輕易被不肖人士取得。


「內容保護」與「資料備份」雙強聯手


面對這種敵暗我明的不對等情勢,要確保企業機密安全,最好的方式,就是讓不可或缺、不得外洩的資料,全部成為「看不見的資料」,一旦駭客無法取得實際內容,所有的威脅與勒索即刻化為烏有,同時也無須擔心資料外洩、流至敵營的隱憂。


以諸如文件加密等內容保護機制,讓未獲授權者只能看到一堆亂碼,先解決了資料被竊、被惡意加密、被公開的窘境,搭配平常定時執行的資料備份機制,就算檔案遭到破壞,也能立即還原,恢復運作。


「內容保護」與「資料備份」雙強聯手,可謂當前企業自保之道,聽起來非常美妙,不過,再如何有效的系統,只要使用者覺得「好麻煩」、「忘記做」、「不想配合」,就難以發揮應有的效益,因此,相關機制能否「自動化執行」,也是務必考量的要件。

解決「信任」問題,創造永續經濟效益

林岳瑾/行銷總監

企業及政府部門的繁文縟節 (red tape),多半是為了解決信任 (trust) 及究責 (accountability) 的問題 [1],為了確認身分,使用印章、簽名,意外或違約事件發生時,有對象得以歸屬責任。網路的世界亦是如此,使用帳號、密碼、簡訊通知等,避免身分偽造 (impersonation) 等惡意行為。從另一個面向來看,如果每個人都能被信任,都勇於承擔責任,繁文縟節也許是多餘,這些行政程序的開銷也能省下,投資在其他領域。然而,烏托邦的時代還沒來臨,依舊需要程序及法規來防止惡意行為,且網路世界因可匿名,多數惡意行為難以追蹤 [2],信任問題更加棘手。因此,信任及歸責機制有存在的必要性,問題在於如何做到最大效益,用有限的資源,達成最佳的風險管理。


昨日資安無法駕馭明日科技

科技應用求新求變,一有商機便進入市場角逐市占率及知名度。反觀資安,因其無法讓人在短時間看見利益,在市場上總是慢半拍,等到資安漏洞被發現,或是駭客攻擊後,才開始被重視。然而,當科技應用不斷突破時,資安技術也持續發展;資安技術有所創新時,科技應用才得以安全落地,兩者無法脫離。所以明日的科技無法搭配昨日的資安,昨日的科技亦無法創造明日的資安。


公鑰密碼學 (Public Key Cryptography) 新應用 – FIDO 無密碼登入 

帳號密碼成為權限管理的信任來源行之有年,但網路世界仍苦於釣魚網站、個資洩漏及身分假冒的問題,加上雲端服務發達,各種會員制的網站如雨後春筍,使用者需要管理的帳號密碼少則數十個,多則上百個。為了解決相關問題,USB型態的認證載具,近年因 FIDO Alliance 的推廣成為當紅炸子雞 [3],導入公鑰密碼學 (Public Key Cryptography) 強化或取代過去的帳號密碼認證方式,降低釣魚網站使用帳號密碼冒充身分的可能性。因信任的來源 (root of trust) 為硬體載具內的私鑰 (private key),絕不會傳輸至外部環境,可抵擋各形式的身分冒充和資料竊取。雖然該技術十幾年前便存在,但因 FIDO Alliance 近年努力推動各平台導入標準,直到現在才漸漸普及。


匯智安全 AuthTronTM 讓企業無痛 fido (Latin: trust)

匯智安全科技的 AuthTronTM 為 FIDO U2F (二次驗證)及 CTAP2(FIDO2 無密碼認證)的 USB 認證載具,除了能實現零信任安全策略的身分認證,確認信任 (trust) 來源外,還能搭配使用情境,疊加數位簽章協助企業簡化歸責 (accountability) 流程。尤其軟體協作過程需驗證程式碼來源及確認完整性,匯智安全可將複雜的紙本作業及品管流程數位化,同時實現更高的安全性。


匯智安全科技今年正式加入 FIDO Alliance 並取得 U2F 及 FIDO2 認證,除了FIDO2標準,亦協助企業依照應用情境客製化 USB 載具的密碼功能,以滿足資料加密傳輸及儲存、區塊鏈數位簽章應用、程式碼簽署等功能。




[1] Bozeman, Barry & Bretschneider, Herbert & Kaufman, Gordon & Kingsley, Steven & Maynard-Moody, Sanjay & Pandey, Hal & Rainey, Patrick & Scott, Dwight. (1993). A Theory Of Government ""Red Tape"". Journal of Public Administration Research and Theory. 30993. 10.1093/oxfordjournals.jpart.a037171.

[2] Ya-Ching, L. (2006). Internet and anonymity. Society, 43(4), 5-7. doi:http://dx.doi.org/10.1007/BF02687528

[3] Lang, J., Czeskis, A., Balfanz, D., Schilder, M., & Srinivas, S. (2016, February). Security keys: Practical cryptographic second factors for the modern web. In International Conference on Financial Cryptography and Data Security (pp. 422-440). Springer, Berlin, Heidelberg.


貴公司的 Apple 設備加入資安政策了沒?

根據 IDC 調查,2020 年第 3 季全球 Apple 設備達到 38.9% 年成長,iPhone 占美國企業智慧型手機安裝量的 49%,而 iPad 則是企業使用的大多數平板電腦。以台灣來說,使用 Apple 設備做為辦公設備的比率年年升高,從傳產到金融業、製造業、資訊業,醫療業、建築業及零售業。很多企業都大量使用 Apple 設備輕鬆快速的完成工作。在台灣擁有上千台 Apple 設備做為辦公用途的企業更是常見。


相關資訊,可在「 Apple 企業應用指南」網站找到各行各業的成功運用 Apple 設備的案例( https://www.applemobility.tw/ )。


Apple x Jamf: 全自動化 IT 零接觸精準佈署+多層級安全防護方案

企業主與員工喜愛使用 Apple 設備工作並不是沒有原因。就如同 Forrester 市場報告指出*,企業一旦使用 Mac, iPad, iPhone 等設備在日常工作,能立即降低 IT 成本,增加工作效率,同時更顯著改進資訊安全。其中的原因就是 Apple 設備獨有的安全防護與 Jamf 為大小企業設計的全自動精準佈署。


Apple 設備安全科技: 國防等級安全框架與 XProtect, MRT 和 Gatekeeper

企業使用 Apple 設備的比例逐年升高, Apple 日前亦推出繁體中文版「 Apple 平台安全性」免費白皮書於網站(https://support.apple.com/zh-tw/guide/security/welcome/1/web)上,除了系統底層使用 UNIX 做為核心之外, Apple 在作業系統上也提供全面的保護。例如於 2012 年就已內建於 macOS 的 Gatekeeper 與 XProtect 技術,經由與全球的開發者合作,透過簽署軟體的方式,避免惡意程式被安裝於 macOS 設備上,並隨時保有撤銷憑證的機制,結合惡意程式清除機制 MRT,從底層防禦 macOS 電腦。


在被各產業廣泛使用的 iPad 與 iPhone,因天生採用沙箱機制做為作業系統架構,使惡意程式在這些設備上完全無法作怪,再加上 Apple 軟硬體的貼近設計,全球使用者更新 iOS 與 iPadOS 的意願甚於其它平台,都使 Apple 設備在資訊安全上得以更上層樓。


另一方面, Apple 在近年再度強化資安科技,包含驗證作業系統完整性,沒有被惡意程式篡改的 SIP 科技、APFS 唯讀系統卷宗等,並將相關的軟硬體進行資安驗證並取得標章等,都已是 Apple 為使用者與企業推出新科技時的必要環節,其中 Apple 著名的通訊框架 APNs (Apple Push Notification service) 也被美國通訊局及美國國防部審核通過使用,為全球組織使用 Apple 設備的安全強化再把關。


Jamf 遠程終端設備防護

2021年1月, 全球市場情報 IDC 任命 Jamf 為最佳 “ Apple 設備全球統一端點管理軟體(UEM) 的領導者。” Jamf 與 Apple 深度整合推出 「Apple 企業管理平台」,結合免費申請的 Apple Business Manager 方案。可以在 IT 完全無需接觸設備的情況下,完成所有的資源派發和合規設定,同時能夠自動完成企業中 Apple 的整個生命週期,包括設備部署,管理和安全性。根據該報告,Jamf 的領導力排名歸功於以下優勢:

 • Jamf 專注於 Apple,因此能夠為所有新操作系統(包括 macOS,iOS,iPad OS,tvOS 和 watchOS)持續提供首日相容性和功能支持。

 • 結合產業解決方案和 Jamf 產品的強大生態系統,可為醫療保健,零售,運輸和教育等行業的 Mac、iPad 和 iPhone 創立獨特的工作流程。

 • Jamf 在 Mac 管理功能方面的實力,以及 Mac 專有的身份和安全產品。


“自 2002 年以來,Jamf 一直專注於幫助企業透過使用 Apple 取得成功,如今,企業對 Apple 的需求從未如此強勁。我們認為,員工應在工作中使用自己熟悉順手的技術,因此,安全和 IT 團隊需要與專注於 Apple 生態系統的技術合作夥伴。” Jamf 首席執行官Dean Hager 說道。“我們很高興被 IDC 評為 Apple 企業管理報告的領導者,更重要的是,很榮幸能夠每天幫助我們 47,000 多家客戶在 Apple 上取得成功。”


*https://tools.totaleconomicimpact.com/go/Apple/TEI/?lang=en-us#benefitAnalysis. Forrester. Oct2019

資安3.0: 持續演進的資安挑戰與需求

自從網際網路將各樣的系統連結起來後,資訊安全就成了企業的頭痛問題。築城牆來防止外來的病毒入侵是企業在建構資安防衛的第一個做法,這樣築城牆的防衛被應用在各式連結網際網路的設備上。然而網路駭客的攻擊日新月新,新的病毒(zero day malware)產生的速度也加深了資安防禦的挑戰,沙箱(APT)的防禦也隨之被納入資安防護的一環。然而隨著病毒入侵潛伏在企業內部網路及端點(End Point)設備,企業如何加強東西向的資安防護成為重要的課題,在這樣的資安需求下企業內部以行為模式(UBA)來分析可能的資安風險也進一步成為補足現有資安防護措施的重要一環。此外,如同在軍事上陸海空三軍的聯合作戰,如何連結不同資安設備所看到的資安訊息來做協同式的資安防護,成為企業進一步的資安防護策略。當數位轉型(Digital Transformation)及物聯網開始成為企業下一個轉型的力量,資安的議題也進入3.0的階段。企業從過去專注IT及網路的資安議題進入到OT(Operations Technology)及IoT的資安議題,OT的資安議題牽涉的Protocol及架構又使得資安挑戰提升到另一層的複雜度。華電聯網的資安團隊因應資安3.0的需要,提出了我們的IT及OT/IoT的資安解決方案。

資安交給專業 3S資安訂閱服務讓墊腳石專注提升客戶體驗

墊腳石圖書文化廣場在3年前跨足電子商務市場,經營電商不是只有大型企業才會面臨網路駭客攻擊,然而墊腳石也深知確保客戶資料安全是經營電商的基礎。透過選用導入3S資安訂閱服務的資安解決方案,讓墊腳石解決企業在資安管理上的痛點,有效落實資安防護並能無後顧之憂專注提升客戶體驗。



總部設在中壢的墊腳石,一向主打平價實惠的圖書百貨路線,因此在中壢開設第一家門市後,陸續在淡水、嘉義等地成功拓展經營據點,如今在北中南已設立11家分店。而在網路時代,墊腳石也希望能透過網路與物流,讓偏鄉離島地區的學生、民眾能快速便捷地取得各種學習資源。然而電子商務的經營並不只是在各大電商平台開店,並管理訂單出貨這麼簡單,駭客攻擊與網路威脅更不只會針對大型企業或電商平台。


3S資安訂閱服務 解決中小企業有心做資安 卻沒人沒錢的困境

「原本以為在各大平台開店資安問題應該不大,沒想到客製化的網路釣魚攻擊讓人防不勝防,」負責墊腳石IT規劃的副總暨聯騰資訊執行長鐘永彬說道。與多數企業相同,墊腳石靠著在端點安裝防毒軟體與邊界防火牆築起資安防線,然而傳統防毒軟體一旦面臨駭客精心設計的釣魚攻擊或變臉詐騙幾乎無法招架。


過去系統都是在防火牆內,外界碰不到,面臨的威脅相對也低,但開始做電商後,為了與外面平台串接服務,開啟的通訊管道越來越多,風險也隨之升高」,擁有IT背景、曾在資安公司任職研發工程師的鐘永彬明白若要深耕電商,勢必要打好資安基礎,因此決定重新尋求一個能滿足電商發展所需且又符合預算的資安防護架構。


一開始想招募資安工程師來提升整體防護力,也有來簡報的廠商只會打包票,『只要買了XX軟體,什麼都可以防』、『只要用IPS就能搞定』。或是不斷強調會派工程師前來進行資安檢測,但對墊腳石環境卻提不出整體防護計畫的廠商。直到透過遠傳接觸數聯資安的「3S資安訂閱服務」,才發現這就是符合墊腳石需求的專業服務。


鐘永彬進一步指出,許多資安廠商推薦的軟硬體設備儘管能有絕佳的偵測防護能力,但系統產出假警報,沒有專人能去判讀log或做設定管理,再好的設備也無用武之地。而3S資安訂閱服務採用雲端式網路防火牆並搭配24X7專業託管,能即時提供威脅的判斷與處理,剛好解決墊腳石所面臨的困境。


不只是偵測處理威脅 信賴的專業團隊提供諮詢無後顧之憂 

「當時數聯資安顧問初次來訪,就能針對我們的整體IT環境架構給予防護建議,專業經驗讓我們留下深刻印象,」鐘永彬說。相較於其他廠商所規劃的資安服務不是只偏重某種產品就是只針對線上購物商城系統,而數聯資安顧問的建議則考量到墊腳石的POS等各系統、企業營運環境等更為全面。於是在顧問建議下,墊腳石初期先選擇3S網路安全3S端點安全服務,並搭配既有防毒軟體,以多種技術偵測從端點而來的異常行為。


由於防火牆牽連許多應用服務,要更換對企業來說茲事體大,而數聯資安的技術服務團隊在事前針對墊腳石的系統環境做了詳細評估與規劃,並且在防火牆政策設定上也建議分階段實施,以達到最佳防護力並減少狀況發生。確認好所有細節後,切換過程只斷線5至10分鐘就完成,對內部使用者來說幾乎無感,更快速的在一週時間內將全台11家分店據點的防火牆更換完畢。數聯資安專業團隊充分的事前準備與豐富經驗,讓的墊腳石IT團隊放心不少。


「對我們來說採用3S資安訂閱服務,不光只是偵測或處理資安威脅,而是有一個專業團隊能讓我們諮詢各種資安問題」,鐘永彬表示,過去租用線路並分期付款買的防火牆,其資安服務只能回答與防火牆相關的問題,在自己系統環境上的其他資安問題只能上論壇發問,如今數聯資安顧問團隊還能針對墊腳石建置中的新線上商城系統規劃給予資安建議,「有信賴的顧問為我們資安提供建議與把關,讓我們覺得不會孤軍奮戰,」鐘永彬笑著說。


月租付費模式 防護能力輕鬆升級

電子商務的資安威脅不是只有大型企業會面臨,採用3S訂閱服務以月租付費方式獲得中高階設備的防護等級,過去防火牆在架構上沒有備援,現今雲端模式有備援能提供更好的可用性,防護力也大為提升,更重要的是與過去方案相比整體費用相去不遠。


展望未來,隨著新商城系統上線後,墊腳石將著重在線上線下的整合,包括會員系統的整併,目的是讓會員能得到一致性的消費體驗。與關係企業聯騰資訊公司攜手合作,提供這系統服務與設計,相對應的資安防護也是必須要有周延的規劃,包括對會員個資需要做更高等級的防護,以及系統需要進行弱點掃描、源碼檢測等。


經過這兩三年投入電子商務,與各家廠商往來而摸索出資安管理之道,鐘永彬語重心長的表示,「做資安不是花大錢就有用」,有方方面面需要考量,包括要做教育訓練等多管齊下。唯有將資安交給專業團隊,有顧問協助從最高風險處著手特別防護,才能有效達到最好的ROI,而企業也能專注自己本業提升競爭力。

資安建構新思維-別寄望用單一產品解決單一威脅

林定緯/資深顧問


近兩年因為全球局勢影響,連帶工作型態的轉變,使得企業在營運上做了極大的調整,大幅倚賴資訊科技來協助企業度過疫情造成的影響。

然而隨著資訊科技的運用比例不斷提高,企業需要花更多的時間來思索使用的資訊科技是否具備足夠的安全性,甚至需要連帶考量其上下游供應鏈的資訊安全,做好縱橫防禦。

因為現在越來越多的趨勢顯示,許多擁有進階威脅能力的駭客組織也開始不僅針對單點,逐漸擴張其攻擊範圍。


而隨著資安攻擊手法的複雜化,連帶造就了許多世界級資安大廠逐漸模糊了服務與產品的界線。

以往企業專注使用單一方案來解決單一問題的思維,現在卻因為駭客千變萬化的攻擊行為還有多角度切入的攻擊手法,讓防禦方案需要不斷地擴張防線。

舉例而言,本來的雲端安全解決方案CASB、CSPM與SWG之間的界線模糊化就是個明顯例子。加上攻擊者不再專注於同一面向的攻擊,也讓防禦增添不少難度,例如現在如果要做到機敏資料的外洩防護,我們不能僅靠端點的DLP產品就寄望做到「全面性」的DLP防護。

隨著企業作業型態的特性差異,當可能使用到雲端服務或是混和式的資訊架構時,那在構思DLP的同時,就要擴展範圍,思考端點DLP的防禦、雲端SWG加上Email DLP才有機會建構企業端較為完整的資料外洩防禦線。


也因此未來如何用「系統性的評估」模式與有效方案的選擇,將是資安人員接下來要為企業建構資安防護網的最大挑戰。

資訊安全的建置速度與資源投入很難追上內外威脅的詭譎多變。因此在方案的評估與選擇上,更需要進行全面性的思考,除了要考量服務或產品面向是否符合管理目的外,更要評估企業建置方案的覆蓋率,重疊性與有效性。

更甚者,未來已經不能以系統的角度來面對所有的威脅事件,而是需要試著將從系統或資安平台上的資訊整理,進行有效的分析與歸納,以確保這些威脅數據不再流於系統回饋的紀錄日誌,而是對於企業真正有效的防禦洞察。

這也是如Proofpoint, Netskope這些全球大廠正努力告訴大眾應該努力的方向。

重視您的數碼健康

這場疫情危機持續對日常生活造成重大影響,大家平日亦更為注重數碼安全。現在,彼此的連接越來越廣泛而頻密,物聯網和其他促成和加強連接的科技也越來越多。隨之而來的,就是網路犯罪分子千方百計瞄準和攻擊機密資料和關鍵資產。這類機密和資產,在暗網上可以賣得非常好的價錢。 


消費者必須知道本身面臨哪些網路風險,並養成良好的習慣,保護自己的安全:


1.不要相信陌生人。如收到陌生短信以及網址鏈接,使用者必須更加謹慎。電郵、Slack、Teams 還是 Google Chat 的訊息都好,一定要謹記上面所說。

 

2.請顧好自己的數碼健康。別讓人盜竊你的數據和資料。可上互聯網的設備,譬如智能電視、連網儀表和虛擬助理或智能手錶,會收集很多個人資料。因此,要瞭解有關產品品牌如何使用、儲存和保護所收集的個人資料。由於物聯網越來越普遍,住家和企業連接也更為緊密,融合程度也更高。為此,我們只能相信更為知名、信譽有保證的生產商,一有安全補漏就加以應用,同時要經常更換密碼。

 

3.不要在社交網站透露太多資訊。使用社交網站別透露某些個人資料,以免被用來解開密碼,也別透露個人所在,或讓別人得以預測自己的行為。這些資料正是給了網路犯罪分子物色下一個受害者的黃金機會。機構組織可以開始使用特權進入管理策略,加強防範威脅和侵入者,避免喪失憑證資料而引起問題。


4.保護好自己的智能手機。手機應用程式是日常生活的重要部分,比如購物、預約醫療專業人士、查看銀行戶口餘額和轉數,不過,智能手機一樣容易受到攻擊。用戶應該檢查每個應用程式所能取得的數據。此外,更好的認證過程,例如多種認證,可以使智能手機免於被攻擊者竊取個人資料。

 

5.保護物聯網。智能電視和連網儀表等物聯網設備固然方便,不過需要收集很多資料和連上網才能正常運作。要保護好這些設備,補上各個漏洞,就只能相信知名的廠商,應用所有安全補漏的更新,同時更改原廠密碼。

針對盛行目標式勒索病毒攻擊,QNAP 提供企業關鍵防禦對策與建議

過去幾年間,客戶遭遇目標式勒索病毒的攻擊和各種嚴重災情,作為儲存領域 NAS 的領導品牌,威聯通 QNAP 不斷思考如何做到更完善的資料保護技術,虛心聆聽客戶的意見,徹底考慮企業實際執行的困難之處,希望提供更好的策略和方法來幫助客戶防患於未然。


從資安與威脅攻擊的歷史來看,自從 Wannacry 於 2017 年大規模爆發後,勒索病毒攻擊層出不窮,同時目標式攻擊 (targeted attack) 也早已存在於國家型資助的攻擊手法當中。但在 2020 年,自 COVID-19 疫情爆發之後,我們卻看到結合目標式攻擊手法 (technique) 的勒索病毒,讓許多產業成為新一波的受害者,其中超過一半集中在科技製造業 (Hi-tech & Manufacturing)、醫療產業 (Health and Social Welfare),以及公共組織 (Public Sectors)。

為何目標式勒索病毒能輕易攻陷一家企業並能夠將近半數員工的電腦設備、工廠電腦、伺服器的資料予以加密?我們認為可從不同層面來探索其背後隱含的資安難題。


首先,傳統資安防禦措施:傳統資安廠商提供給客戶第一層防禦有如城牆,雖能夠有效的抵禦大部分已知攻擊或者惡意程式,但過去十年目標式攻擊加上未知惡意程式和工具的興起,企業已了解沒有 100% 的防禦方案 - 即便 1% 電腦設備遭到攻陷,企業就會面臨極高的風險。惡意程式內部擴散 (Lateral movement) 難以偵測或察覺,客戶一旦遭遇資安事件 (Cyber incident) 災情往往比表面上看來更嚴重,這同時也是目標式勒索病毒可以這麼猖獗的主因之一。

從企業的角度而言,因 NAS 所在的網路位置為內網的最內層,若攻擊已經觸及 NAS,這意味著接近全面加密或大範圍惡意攻擊;反之,從攻擊鏈 (Kill chain) 角度,卻已經是攻擊的最後階段。


因此,縱深防禦 (Defense-in-depth) 及網路偵測和回應 (Network detection and response) 是許多廠商在近幾年來所提倡的內網防禦方案。然而,許多客戶仍無法有效因應這一兩年強烈目標式勒索病毒攻擊,僅能定期做多重備份,若受攻擊則盡可能將資料還原,以最快速度恢復正常營運。

為何到目前為止,客戶仍無法採用更有效的方法來因應呢?一方面是執行層面的考量,另外一個重要因素則為資安方案的複雜度。在執行層面的考量中,整體成本是一個重要核心問題。 NDR 相關資安廠商提供的企業內網解決方案,光建置在核心交換器 (Core Switch) 旁側偵測的方案或設備費用可能就要百萬乃至數千萬以上,而這僅是針對性的掃瞄,因為核心交換器流量巨大,資安方案只能掃描過濾後的少數流量。然而,此方案背後也暗藏一些資安策略的破口。第一,除非內網擴散的攻擊 (Lateral movement) 經過核心網路,同時攻擊流量恰好受到全掃型 (Full scan) 資安掃描,才有機會偵測到這些未知且看起來低風險的惡意攻擊。再者,一般企業幾乎無法擁有專業資安分析人員對這些大量但看起來卻為低風險的資安威脅訊號分析。兩者相加,衍生成為極大的資安挑戰,同時影響企業資安策略制定與預算規畫。


QNAP 希望提出一種全新的思維和方法,針對目標式勒索病毒的內網擴散,建議企業使用以下幾個方式達到快速有效又全面的防禦:精準快篩 (Adaptive screening)、早期偵測發現 (Early detection) 可達成最小範圍風險控管 。


QNAP 的技術可以防疫的概念來比喻,機場防護、全篩到專責醫院醫治確診病患的過程,概念相似於資安防禦方案。機場防護就像是傳統的第一層防護,僅能過濾明確症狀患者卻無法避免讓無症狀的患者進入社區;專責大型醫院檢查項目廣泛且準確,但是收費昂貴又費時。機場防疫難以滴水不漏,還是有可能發生社區擴散感染。若能讓每個社區都設有快篩防護中心,精準篩檢初期症狀予以適當隔離治療,這樣不僅可以防止擴散,又能減少大型醫院或者全篩成本和時間限制。


2021 資安大會中,QNAP 將介紹全新資安產品 ADRA NDR 快篩防護網路交換器 (Adaptive screening network switch)。除了 ADRA NDR 系列,建議企業搭配採用 QNAP 儲存方案,完備的資料保護功能從快照 (Snapshot)、虛擬化應用、一寫多讀 (WORM) 到 QuObjects 冷儲存技術等,為您的企業打造一個精準有效又兼顧資料安全與內網防護的完整解決方案。

雙維驅動的先進資安 - 智慧思維的網路星艦 & 洞悉風險的絕地武士

沈家生 / 總經理

「Look After Your Site」做你的守門員,是「Leukocyte-Lab 盧氪賽忒股份有限公司」對客戶的承諾。

Leukocyte-Lab CEO 認為:「提升免疫力是預防疾病侵襲的最佳方式,資安防護也是如此。唯有提升整體資安免疫力才能阻絕駭客侵駭與降低損失。」

 Leukocyte-Lab 致力於成為企業最可靠的安全夥伴,協助其提升資安免疫力。

透過對洞悉各項風險的 H1dra Security Team 與先進智慧的次世代入侵與攻擊模擬平台 - ArgusHack 找出企業的風險所在。

結合他們公司專業的顧問服務、教育訓練與業界夥伴的安全解決方案來提升企業的資安免疫力。

其神秘的 H1dra Security Team 於 2020 年中才正式於業界亮相,其甫一亮相便令人驚艷。首戰以精湛技術取得 BBC Bug Bounty Challenge 2020 網通設備類冠軍,而於 2020 年底所舉辦的 2020 IoT Sandbox 智慧物聯網資安競賽中,一併取得第一名與第六名的佳績。其正式成立前參與的比賽也贏得相當亮眼的成績,如 2018 年 BBC Bug Bounty Challenge 中該團隊就已經取得第二名的佳績,隔年更進一步獲得第一名的榮耀。並同時於 2019 年的 Red Alert 72 資安攻防競賽中獲得第一名。同年的 IoT Security Challenge 2019 也由該團隊獲得了第一名與第三名的好成績。

訪談到了資安現況時,Leukocyte-Lab 認為台灣企業資安部門當前面臨四大挑戰:

  • 攻防演練間隔較長,跟不上駭客攻擊變化

 Leukocyte-Lab CEO 提到:「在資安威脅變得更頻繁且攻擊手法變化更快的趨勢下,傳統以弱點掃描檢核漏洞並搭配滲透測試找出架構與邏輯弱點的攻擊演練已經不足以應付如此的變化。」

近年來興起的紅隊演練服務雖然協助企業單位更了解如何應對新型攻擊與知悉安全風險所在,但其執行頻率一年僅 1 ~ 2 次,此演練週期遠長於資安威脅的變化週期。企業將無法有效了解與應對其可能面臨的資安威脅。

  • 資安專業人力嚴重匱乏

在考量如何縮短攻擊演練週期、如何持續進行風險測試與逐漸興起的紫隊演練需求,依賴專業人力的攻擊演練在人才短缺的情況下勢必是安全團隊需思索的問題。而以雲端微服務、智慧化與流程自動化技術建立的 ArgusHack ,其核心價值之一:「紀錄駭客的思維,重放駭客的思維。」,便是強調其於測試時能記錄使用者的滲透行為,並於事後排程已進行自動化複測。再透過其統一測試環境、Exploit 管理與任務管理後,將可大幅提升團隊的演練效率。

Leukocyte-Lab CEO 說明:「這並不是宣稱以自動化工具替代專業團隊。不管是現在或未來,專業資安團隊都將是防禦體系中不可或缺且至關重要的一部分 。但我們應該將珍貴的專業人才置於最有價值的地方,透過協助企業引入新技術與新思維,提升整體防護成效並創造最大價值才是我們的重點。」

  • 如何驗證當前的資安建設的有效性?

Leukocyte-Lab CEO 指出:「許多企業資安團隊對於自身防禦能力的了解,通常遠少於惡意攻擊團體對於他們的了解。而資安建設並不只限於資安設備如何部署,基礎網路架構的體質也相當重要。」

許多企業雖然投入了大額預算於資安建設上,卻只依賴演練週期較長的第三方演練來驗證其有效性,甚至因為沒足夠預算執行第三方演練。以該公司的經驗來說,其曾遇到演練單位部署了大量資安產品,卻因網路設備問題,造成資安設備無法發揮效用。此案例中是以 ArgusHack 的演練劇本編撰與自動化攻擊重放功能,重複以 APT 33 攻擊模擬進行測試。而正因為有劇本化的固定測試、完整詳細的測試紀錄、真實的惡意攻擊流量且低廉的複測成本,才能於多次複測中找出其風險所在。

  • 在有限的資安預算中,如何有效投資?

Leukocyte-Lab CEO 點出:「如同我們公司的核心價值,我們相信唯有提升整體資安免疫力才能阻絕駭客侵駭與降低損失。我們的重點從來都不在推銷客戶資安產品,而是透過我們的產品與服務,讓客戶理解自身所需與協助評估適合的資安產品,在有限的預算內做出最有效的資安建設投資。」

 在 ArgusHack 的每項測試任務中,都能將測試結果與 Mitre ATT&CK 技術項目進行對應,清楚展現整個攻擊模擬的 TTPs,並標注其防禦成功與否。讓客戶了解其該加強防禦哪些技術項目,並藉此為依據尋找對應技術項目的防禦產品進行採購。而針對新興資安產品或預計購入的資安產品,也可透過 ArgusHack 簡單、快速且一致的進行技術性驗證。

雖然入侵與攻擊模擬平台 (BAS) 在台灣處於剛起步的階段,但於產業中有資安新創投身於此類產品開發,並擁有近年來不斷獲獎的資安團隊作為技術保證,相信未來將有機會成為台灣資安自主產品的支柱之一。

顧客成功導向思維,建構顧客價值-達到自我成長和融合的延伸式資安生態系統平台

超過55%的企業採用多達 25 種以上不同的資安技術方案來進行防禦,光是管理已成為IT 團隊的困擾,不論企業是否成立專責的資安營運中心 (SOC) 或全部仰賴 IT 團隊來負責,企業機構都面臨了相同的問題:各自為政的資安工具、零散的警示以及精密隱匿的資安威脅。

 

威脅防護設備一直是掌握企業資安的唯一治理方法,除了政策宣導及法規制定外,防禦是最現顯著的手段,不斷墊高防禦的城牆,拉長戰線增加縱深降低突穿風險。然而現今的進階滲透攻擊多半能規避已知資安防禦偵測機制,利用未知攻擊手法或合法的系統工具進行滲透,導致攻擊來源不易發現、受害範圍難以評估,因此,如何有效強化資安節點異常行為的防禦與偵測及整合資安產品以打破資料藩籬,成為做好完善資安環境必須共同面臨的課題。

 

駭客因為有暴利可圖,對威脅企業資安絲毫沒有緩和的跡象,企業疲於應付駭客不斷轉變的攻擊手法,綜觀問題的癥結我們歸因為三個面向 :

1. 不同的資安技術無法有效地的串聯

2. 單一面向的資訊破碎以及過多的資安警示資訊,無法全面宏觀檢視

3. 專職專業的資安人才的短缺

 

為協助企業解決以上困境,趨勢科技除了提供EDR端點偵防,更包含其他重要威脅管道 (網路,訊息,雲端工作負載,工控系統…) 完整的早期偵測,能更有效集中掌握全面的可視性。2019年趨勢科技就推出了業界首創的 XDR 解決方案來交叉關聯整個 IT 環境的警示,來偵測並減少網路資安風險。現在,趨勢科技更全新推出 Vision One,除進一步強化的 XDR 功能來解決更複雜的資安挑戰,再提升跨防護層的風險可視性、第三方整合,並簡化威脅回應。

 

這套新的平台「Trend Micro Vision OneTM」是以多層式偵測及回應 (XDR) 為核心並結合新的功能以提升可視性,協助企業資安團隊更快速回應威脅。整合型全方位偵測及回應服務平台跨越訊息閘道、網路、端點、伺服器與雲端工作負載等防護層面,為企業提供更全面的風險掌握能力,並且串聯來自各資安環節的微小事件,從而偵測過去原本未能發現的精密攻擊全新威脅防禦平台提供集中化風險可視性與警示優先次序過濾,加快偵測及回應速度。

 

所以企業即使不具備資安專業人才,也能像資安專家一樣發揮最大效率。這套新的平台能更快分析資安事件、發掘關鍵的威脅模式與複雜攻擊,並隨時掌握整體資安狀態與趨勢,如此一來企業就能主動發掘並評估自己的潛在資安風險。

 

Trend Micro Vision One威脅防禦平台提供以下功能:

·            可視性與威脅情報:跨防護層的偵測模型,搭配趨勢科技研究團隊 Trend Micro Research 的分析洞見來提供資安風險可視性,讓企業掌握複雜攻擊與各自為政的解決方案。

·            專屬特製的感知器:與趨勢科技資安產品原生整合,涵蓋所有關鍵資安防護層。

·            配合現有基礎架構:具備與現有第三方解決方案 API 整合的能力,並能配合既有工作流程。

·            簡化的管理:從單一主控台調整資安政策並採取回應動作,無需在不同管理主控台之間切換。

·            除了趨勢科技提供的多層式防護之外,客戶還能輕鬆將這套新平台與其他資安技術串連,如第三方端點防護平台以及 SIEM 和 SOAR,包括與 Fortinet、Microsoft Sentinel 及 Splunk 全新整合。前期採用客戶可搶先與體驗與SIEM 及 SOAR 的整合能力,如:防火牆、問題追蹤系統、身分與存取管理系統。

 

「Trend Micro Vision OneTM」是從產品成功導向的思維,轉為以顧客成功導向的思維的平台,我們看重顧客價值及利用資料驅動的決策模式,站在使用者的角度研發成就了「Trend Micro Vision OneTM」的平台,提出新世代資安威脅防護觀念,建構一個自我成長學習的延伸式資安生態系統平台,將惡意程式威脅防禦系統及駭客行為偵測分析系統完整整合,使用者不僅可提供多層次縱深防禦並利用進階威脅分析及雲端服務,持續記錄感知並進行全面性監控,對入侵的駭客行為監控以保持能見度,利用各種威脅情資關聯及第三方的工具來讓資安生態系統不斷更新成長,化未知威脅為已知,以回饋式的資安生態系統協助企業健全資安體質,以面對不斷變化的新形態資安威脅。

風險型弱點管理- 洞察一切暴露風險。預測最重要的事。採取行動解決風險

不論貴企業的規模大小,企業每天暴露的風險數目都是呈指數成長。事實上,過去三年來,每年公佈的弱點數目 幾乎增加了三倍。

原因很簡單:隨著數位轉型浪潮的興起,企業採用的裝置、技術和資產 數量和種類都愈來愈多(如雲端、OT和容器) 使得網路攻擊破綻也不斷擴大。破綻愈大,弱點也愈多在此同時,弱點的嚴重性持續增加,網路罪犯也變得愈來愈狡詐。

努力預測弱點的資安團隊則忙得暈頭轉向。舊方法把重點放在 Common Vulnerability Scoring System (CVSS) 上,並沒有把風險考量進去。事實上,在 CVSS 分數為 7 分或 7 分以上的弱點中,有 76% 並沒有專門撰寫的攻擊程式碼。許多企業因為仰賴 CVSS,而把時間浪費在風險極低或甚至毫無風險的弱點上。同時有將近半數的危險弱點仍 存在於工作環境當中。其結果是浪費時間、錯失機會及承受不必要的業務風險。


不過,也有好消息。風險型弱點管理提供更聰明的方法,可依據機器學習產生的風險模型來保護企業。這種 方法會在企業風險的來龍去脈中評估弱點。因此,資安團隊可從被動反應轉為主動預測,而且可以專注在對 企業造成最大且立即性風險的弱點上。

舊方法只強調兩個步驟:識別和評估弱點,而風險型方法則更進一步,可提供全面、有效率的方法來降低企 業風險。

若要獲得風險型弱點管理的優勢,就需要藉由現代化解決方案,提供完整能見度、持續評估及更主動、更具 策略性的方法。此外,也必須將傳統流程加以擴充,納入三種額外的功能:優先排序、修補以及衡量。


Tenable因應各種曝險管道,除了系統與應用程式弱點,另外包含網頁、容器、工控環境等威脅,以下為各模組詳細說明:


Tenable.sc 

Tenable.sc 產品藉由 Nessus 技術於內部進行管理,可即時持續評估網路,提供業界最全面的弱點涵蓋範圍。這是一套完善的弱點管理解決方案,包含:

• 內部部署的風險型弱點管理

• Nessus 掃描器數量無限制,即刻提供網路能見度

• 運用高度可自訂的儀表板、報告和工作流程,取得更清楚、更可行的資料深入分析結果

• 使用內建的風險評分和威脅情報立即找出弱點並排定其優先順序

• 具備可自訂的設定警示、通知和工單功能,能加速資安事端的回應

• 可免費存取 API 進行客戶整合、資料擷取,並使資料更加完善


Tenable.io Vulnerability Management

Tenable.io 是雲端管理平台,藉由 Nessus 技術於雲端管理及掌控,可預測應優先修正的安全問題,所有資訊都可以彙整到雲端集中管理。提供以下功能:

• 主動掃描、代理程式、被動監控、雲端連接器和 CMDB 整合可提供統一能見度,並持續掌握已知和先前未知的所有資產。

• Tenable 涵蓋超過 61,000 個弱點,擁有業界最廣泛的 CVE 和安全組態支援能力,可協助您瞭解所有的曝險。

• 將弱點資料、威脅情報和資料科學相互整合,可提供易於瞭解的風險評分,以便快速評估及瞭解應優先修復哪些弱點。


Tenable.io Web Application Scanning

Tenable.io Web Application Scanning 是全方位 Cyber Exposure 解決 方案的一部份,用以快速評估 web 應用程式,無需繁重的手動操作。

• 交付精準度高的掃描結果,降低誤報及漏報,讓掃描報告的準確度更值得企業和開發人員信賴。

• 不太需要動手的自動化掃描,瞭解 web 應用程式隨環境 變化的安全風險,無需耗費時間和人力。

• 掃描所有應用程式,包括採用現代化 web 框架所建立的 應用程式,例如 JavaScript、AJAX、HTML5 和單一頁面 應用程式。

• 快速進行安全評估 利用快速的應用程式掃描功能,在兩分鐘內找出常見的 安全狀況問題,即刻實現價值。

• 藉助 Tenable Cyber Exposure 平台,更清楚掌握攻擊破 綻中的真實網路風險,降低系統複雜性,擺脫工具不斷 增加、龐雜且低效率的情況。



Tenable.io Container Security 

Tenable.io Container Security 可整合至您的 DevOps 流程來消除資安盲點,且不會拖慢軟體開發進度。Tenable.io Container Security 能提供容器影像的端到端能見度,並在部署前先執行風險評估、惡意軟體偵測和策略強制實施。Tenable.io Container Security 相容於現有的 DevOps 工具鏈,因此能跟上 DevOps 的速度,並實現主動的能見度和安全性以解決容器所帶 來的安全挑戰。

安全地加速 DevOps 只要 30 秒即可從 DevOps 工具鏈內部讀取容器影像,並偵測風險和惡意軟體,以避免拖慢程式碼的速度。

• 降低補救成本 可在應用程式發佈前的開發階段就發現並修復軟體缺陷,此能大幅降低補救成本達 85%。 

• 獲得精準、深入的能見度 瞭解容器影像每一層,準確掌握網路風險資訊,減少誤報,並提供詳細的修復指南。

• 保護執行中的容器 獲得執行中容器的能見度並偵測可能會在部署之後產生的最新弱點和安全問題。

• 執行安全性原則 超出您企業風險限度的新容器將無法建立,此可確保在部署容器前就符合您的安全性原則。


Tenable Lumin

Tenable Lumin 可協助企業透過精準可行的 Cyber Exposure 測量 (包括企業內部或相較於其他同業公司的評分) 將網路風險的重要性提升至與其他類型的風險管理相當的水準。Tenable Lumin 可協助資安團隊擺脫艱澀難懂的技術語言,改以簡單明瞭的方式將技術資料轉換成商業洞見,以制定更完善的商業決策。這些洞見有助於讓資安團隊依據商業風險的高低來規劃需要優先處理的修復工作,並可引導團 隊採取最佳的修復行動,強化與 IT 部門間的協調合作。

• 量化網路風險提供涵蓋企業及營運小組 內部的客觀網路風險衡量方式,以制定 更明智的決策。

• 衡量網路風險改善成效衡量安全計畫在 執行一段時間之後的成效,藉此了解風 險改善的趨勢並溝通成果。

• 與同業比較以進行指標分析了解自身的 網路風險與評估成熟度與其他業界同行 的比較結果,以迅速找出優缺點。

• 提高生產力執行排名最高的建議修復動 作來緩解最危急的 Cyber Exposure 並 提升 IT 效率。

• 控制工具成本從自身的弱點管理資料獲 得更多的洞見,無需在安全架構中另行 安裝單一功能解決方案。


Tenable.ot

Tenable.ot是專門針對工控環境安全的解決方案,透過與各大工控廠商的技術配合,能完整找出生產環境中的資安問題。包含:

涵蓋範圍極廣:Tenable.ot 的威脅情報充分運用與工業網路相關的多種偵測來源, 包括 ICS-CERT、NVD、新興威脅、Tenable 情報以及其他情報。這 些情報為企業提供了防禦 OT 威脅的全面保護力。

抵禦新的威脅:威脅情報一貫的即時性使企業能獲得最新摘要,確保企業能使用最新的保護機制來抵禦新興的 OT 威脅。

獨家情報:獲得來自 Tenable Research 的獨到見解,包括零時差弱點的新入侵指標、獨特的 SCADA 軟體威脅,還有以專家研究為依據的其他指標。

深入瞭解實際情況:有了 Tenable 的多重資料來源,企業將可獲得有因果關係的威脅相關資訊,這些資訊有助於排定威脅的優先順序並加快調查速度和準確度。因果關係包括威脅、執行者、與該威脅相關的活動以及 IoC 威脅嚴重性

搜尋威脅:充分運用多種偵測功能,包含不正確的 IP、可疑網域、惡意雜湊、封包特 徵碼、弱點等