領航觀點

2018.3.13 - 2018.3.15 台北國際會議中心 TICC

企業內部須築起一道防內也防外的資料護城河

精品科技資安顧問 陳伯榆

2018年台灣企業及組織,應該要更特別重視「人」與「資料」的安全關係。在企業,員工研發創新可轉換成企業營運與成長的能量;在政府組織,人員建立利於國安與民生經濟重要核心有價政策,都說明了人與資料之間緊密的安全思維。全球化更加劇烈,人才流動勢不可擋,強化管制核心資料(技術)的安全,勢在必行。

人才的流動與挖角,總有人「劍走偏鋒」的短視取巧途徑,從原公司攜帶有價資料或營業秘密相關前端技術研發成果,促成投靠後佣金加碼效果,這將危及企業經營命脈或重要研發成果,企業可能因此受到重大損失;反觀國家安全亦然。

Insider Threat問題,將是2018年巨變安全議題中,應優先關注的項目。其範疇還蓋了:企業研發資源、政府機敏性資料、民營財務資訊、客戶資料,都是Insider Threat要重視的目標。相關IT部門是否有足夠的視角建立良善的防守環境;或是資訊安全稽核部門,是否在技術上有能力掌握相關風險。來快速阻斷Insider Threat的侵蝕行為,都值得關注。

仔細檢視,端點防護(DLP)特別側重在行為控制與分析,而DRM偏重資料加密或合規性管制,仍有不足的地方。研發Source code管控,如:SVN似乎仍有缺漏,若把Source Code加密可能造成研發人員編輯上的困擾;廠區辦公室總有第三方或惡意外來裝置的存取,屢屢成功竊取資料;人員輕忽而下載惡意程序,是否輕易穿透取到企業組織重要資料,甚至加密破壞。

2018年精品科技提出SVS(虛擬虛擬碟)及SVT(加密通道),是企業與組織在源碼保護及環境「敵我識別」防護的新選擇。搭配DLP使用,將成為企業組織安全防護重要三層防護。

SVS與SVT核心價值是「裝置」與「人」的敵我識別,內部人可以夾帶裝置到內部使用,外來人也可以在難以看守的環境下啟用偷藏的裝置,其功能設計目的就是全面排除這樣的風險,即便是白名單也需要搭配「人」的權限身分,搭建起企業組織分層防護網,就像「防空網」具備高中低層的設計一樣,把外來不友善的裝置行為有效攔阻。

因偌大廠區與辦公室,夾帶個小裝置或微型電腦進入來迴避各項管制並非難事,Insider早就熟習廠區辦公室管制與環境設定,再將攜入媒介略加修改,就成為內部防禦最難防堵的巧門。「敵我識別」機制可辨識哪些裝置或電腦可在內部使用,不論是透過網芳、USB都可將外來裝置與電腦阻擋在外。

這三層的防禦,側重在企業組織實務應用層,精品考量到各產業中常用的竊取手法及入侵迴避模式所研發建構的防禦,就是為了能夠更妥善滿足企業與組織的需求。資訊安全攻守之間本是有進有退,能夠有效阻擋特殊裝置,再搭配端點防禦機制,是大幅減輕企業與組織面對新穎威脅的好方法。

  • 分享這篇文章:
精選講師

呂建鋒 (John Lu)

杜浦數位技術經理

李宜謙

群暉科技股份有限公司資深安全分析師

李柏厚

Micro Focus資深技術顧問

李柏勳

UPAS 優倍司專案經理

李相臣

富邦金控資深副總經理

TCSS partners

指導單位

行政院資通安全處

主辦單位

電週文化

共同主辦

社團法人台灣駭客協會
英國標準協會
趨勢科技

頂級技術夥伴

台灣思科系統股份有限公司

鑽石級

台灣亞馬遜網路服務有限公司
中華電信股份有限公司
中華資安國際股份有限公司 (中華電信關係企業)
精品科技股份有限公司
台灣威瑞特系統科技股份有限公司
合勤科技股份有限公司

白金級

亞利安科技股份有限公司
FORCEPOINT
動信科技股份有限公司
台灣惠頂益股份有限公司
Imperva
漢領國際
瑞擎數位股份有限公司
群暉科技股份有限公司
優倍司有限公司
威雲科技股份有限公司
辰亞科技股份有限公司
零壹科技股份有限公司

黃金級

亞太電信股份有限公司
碩琦科技股份有限公司
組合國際電腦股份有限公司
基點資訊股份有限公司
中華電信股份有限公司電信研究院
台灣思杰系統股份有限公司
力悅資訊股份有限公司
敦新科技股份有限公司
果核數位股份有限公司
達友科技股份有限公司
曜祥網技股份有限公司
ESET (亞太區總代理: 台灣二版有限公司)
中飛科技股份有限公司
金雅拓
叡揚資訊股份有限公司
惠普科技
華電聯網股份有限公司
資拓宏宇國際股份有限公司
鉅晶國際股份有限公司
鎮陞科技股份有限公司
依德科技股份有限公司
瞻博網路有限公司
卡巴斯基實驗室
新加坡商邁克菲有限公司
MobileIron
逸盈科技股份有限公司
柏策科技有限公司
統威網路科技有限公司
網擎資訊軟體股份有限公司
帕洛爾托網路有限公司
聯宏科技股份有限公司
威聯通科技股份有限公司
瑞奇數碼股份有限公司
眾至資訊股份有限公司
中華數位科技股份有限公司
香港商思博軟體有限公司台灣分公司
聚碩科技股份有限公司
精誠資訊股份有限公司
台灣大哥大股份有限公司
商丞科技股份有限公司
台灣二版有限公司 (ESET亞太區總代理)
台灣威睿資訊有限公司
力悅資訊股份有限公司
展碁國際股份有限公司

銀級

愛爾蘭商金士頓數位國際股份有限公司台灣分公司
思訊電腦有限公司

資安共同推廣單位

中華民國資訊安全學會
中華民國電腦稽核協會
台灣雲端安全聯盟
中華民國電腦學會
亥客書院
國家中山科學研究院資訊通信研究所
工業技術研究院
財團法人中華民國國家資訊基本建設產業發展協進會
學生計算機年會
臺灣學術網路危機處理中心
台灣資通產業標準協會
資安應用服務聯盟
財團法人電信技術中心
台灣電腦網路危機處理暨協調中心
國立成功大學資通安全研究與教學中心

設備贊助夥伴

台灣三星電子股份有限公司
維嘉全球科技股份有限公司

臺灣資安館

指導單位

經濟部

主辦單位

經濟部工業局iThome

共同主辦

工業技術研究院HITCON趨勢科技

臺灣資安館

安碁資訊股份有限公司
凌華科技
互聯安睿資通股份有限公司
竣盟科技股份有限公司
碩琦科技股份有限公司
基點資訊股份有限公司
承弘國際股份有限公司
中華資安國際
奧義智慧科技股份有限公司
戴夫寇爾股份有限公司
果核數位股份有限公司
杜浦數位安全有限公司
中華龍網股份有限公司
曜祥網技股份有限公司
精品科技股份有限公司
大宏數創意股份有限公司
鑒真數位有限公司
聯恩電子有限公司
星通資訊股份有限公司
倍力資訊股份有限公司
網擎資訊軟體股份有限公司
瑞擎數位股份有限公司
飛泓科技股份有限公司
精益科技股份有限公司
雷擎先進股份有限公司
睿明知通股份有限公司
資安律技術服務股份有限公司
眾至資訊股份有限公司
立寶科技股份有限公司
中華數位科技股份有限公司
關貿網路股份有限公司
崴遠科技股份有限公司
優倍司有限公司
以柔資訊股份有限公司
擎願科技股份有限公司
合勤科技股份有限公司