最新消息


  • 物聯網資安聯合檢測中心成立 引領台灣物聯網裝置接軌國際標準

    財團法人電信技術中心(TTC)與桃園市政府合作、偕同國內外合作夥伴,於虎頭山創新園區成立「物聯網資安聯合檢測中心」,提供一站式資安檢測服務,引領台灣物聯網軟實力接軌國際資安標準,交通大學研發團隊也在揭牌現場展示智慧農業系統,參與技術交流活動。此外,TTC繼去年四月推出的物聯網資訊分享及分析中心(IoT-ISAC)平台後,今(2/17)日也宣布對一般民眾免費開放,冀望透過國內首座物聯網資安情資資料庫,提供多元內容,提升全民資安防護意識與警覺性;並提供企業線上資安檢測服務,全方位為台灣物聯網資安把關。隨著物聯網的蓬勃發展,也將帶來「萬物皆可駭」的資安隱憂,一般民眾及中小企業所使用的物聯網設備,如Wi-Fi、網路攝影機、印表機、投影機、醫療設備、農業器具等,皆可能遭受駭客攻擊。相關攻擊除影響設備正常操作、財物損失及個人隱私外洩外,也可能淪為駭客工具導致更嚴重攻擊事件;此外,物聯網垂直應用也造成各領域也面臨資安威脅。TTC自107年起執行國家發展委員會『亞洲.矽谷-強化物聯網資安防護裝備』計畫,第一期完成物聯網系統層級資安防護評估機制的建立,包含智慧家庭及智慧交通領域,也成立物聯網資訊分享及分析中心(IoT-ISAC);第二期延續並擴增第一期成果,與桃園市政府經發局合作,偕同國際認證機構UL、中華資安國際股份有限公司及虎頭山創新園區-資安物聯網中心營運團隊(大同世界科技股份有限公司及互聯安睿資通股份有限公司),聯合於虎頭山創新園區成立「物聯網資安聯合檢測中心」,冀望整合多方能量,共同強化智慧產業資安防護能力,提升台灣物聯網產業的國際競爭力。看好台灣企業發展IoT潛力,國際安全科學領導機構UL本次也參與第二期計畫,在「物聯網資安聯合檢測中心」導入ULIoT安全評等(IoTSecurityRating),以國際上的IoT資安設計準則為基,融合產業標準共識,提供連網產品的資訊安全評估,並透由安全評等,在產品上標示所獲得的分級標誌,協助廠商展示產品的資安能力,亦幫助消費者在選購時能有所依據;更冀望國內物聯網廠商能經由公正第三方的國際驗證,取得國際市場的信賴。「物聯網資安聯合檢測中心」提供一站式檢測服務(One-StopService),以物聯網系統端、網、雲等全面性的物聯網資安防護評估流程,提供消費者安全基準(SecurityBaseline)參考,有助廠商生產符合國際資安要求的產品,搶攻國際市場。目前已完成五本物聯網系統層級資安評估指引,應用範圍包含智慧家庭、智慧交通、智慧醫療及智慧農業等領域,導入實際場域進行測試後,發現多項物聯網裝置存在資安漏洞,並揭露於CVE(CommonVulnerabilitiesandExposures)平台且取得編號,有效提出預警,及早發現潛在威脅。為提升人民資安防護意識,物聯網資訊分享及分析中心(IoT-ISAC)自今日起,設置學習專區,免費開放給一般民眾使用,讓全民能夠即時獲得國內外最新物聯網相關資安情資。IoT-ISAC平臺首創物聯網資安情資資料庫,將所蒐集到的IoT設備之IP位置,藉由地理位置資料庫進行交叉比對與分析,透過視覺化的呈現,使民眾對台灣聯網設備的數量及類型等分布狀況有全面性的概觀,進而提升民眾資安防護警覺性,逐步實踐『資安即國安』目標。未來企業會員也可透過IoT-ISAC平臺,主動上傳物聯網裝置清單,檢測是否有存在既有資安弱點情資,達到早期預警目的,降低物聯網設備受駭客攻擊風險機率。IoT-ISAC平臺目前有30餘家企業會員,歡迎更多的企業及政府組織加入,共同維護台灣物聯網資訊安全。

    更多
  • 嘉義市政府推動資安防護有成 奠定發展數位政策穩健基石

    資料來源:iThome2020/01/10嘉義市政府智慧科技處資安聯合防護團隊嘉義市政府智慧科技處資安聯合防護團隊在嘉義市長黃敏惠堅持下,市府各局處都非常重視資訊安全,嘉義市議會亦在預算上全力支援。在引進中華資安國際的資安服務後,嘉義市政府亦共構資安聯合防護機制,與加入雲嘉嘉南資安區域聯防平台,除可支撐各種數位政策的發展外,亦能全方位保護市政府各機關與市民的資料安全。因應資安威脅升級為國安事件,近來行政院積極推動中央與地方政府合作方式,打造多重資安聯防體系,提升政府對資安情資掌握能力,以及落實各項資安防護作為。以嘉義市政府為例,即引進中華資安國際(CHTSecurity)的資安服務,順利完成將市府暨所屬機關進行橫向結合,共構資安聯合防護機制外,亦與雲林縣、嘉義縣、台南市跨域合作,共同建置雲嘉嘉南資安區域聯防平台。此一連串資安措施,不僅可掌握網路駭客攻擊資訊、即時情資分享與共同防護外,還能確保市民的資料安全及提升資安意識。嘉義市智慧科技處處長郭軒志指出,嘉義市政府積極推動智慧整合服務與科技應用等專案,在健全基礎網路架構之外,也從來沒有忘記資安防護的重要性。在嘉義市長黃敏惠堅持下,市府各局處都非常重視資訊安全外,嘉義市議會亦在預算上全力支援,並加入本市資安聯合防護團隊。而引進中華資安國際的資安服務後,讓市府整體資安防護能力獲得大幅提升,更有信心持續推動各種資安專案。串連市府所屬機關打造聯合防禦機制為落實智慧樂活城之施政理念,近幾年嘉義市積極推動各項智慧治理政策,運用資通訊創新科技之應用,強化公共市政服務與政府效能,滿足民眾需求、提升民眾幸福感。另外,嘉義市亦積極推動「經濟5+1」政策,期盼成為台灣西部走廊的消費新都心,讓雲林、嘉義、北台南等近200萬人的生活消費,都能在嘉義市取得相關服務。在推動數位經濟產業時,嘉義市政府也深知有優質安全的網路環境,才有智慧科技的創新應用,讓市民感受數位智能所帶來的便利,因此也積極強化各種資安防護工作。郭軒志說,在駭客攻擊手法持續進化下,現今資安防護工作已非單一機關可完成,在配合行政院前瞻基礎建設強化資安防護、區域聯防計畫下,期盼將市府所屬機關橫向結合成資安聯合防護機制。然在市府人力有限的狀況下,唯有引進民間資安防護能量,才能有效抵禦惡意程式入侵,所以在107、108年透過公開評選作業,評估市面上合適的資安服務廠商,最後由技術、經驗兼具的中華資安國際勝出,成為市府推動資安防護政策的夥伴。嘉義市政府智慧科技處處長郭軒志嘉義市政府智慧科技處處長郭軒志結合中華電信資安團隊資安資源發展多元防護機制台灣有不少相當優異的資安服務業者,更有12家廠商名列在嘉義市府的評選名單中。中華資安國際能連續2年勝出的關鍵,首先是中華電信資安團隊獲行政院資安服務廠商服務項目評鑑皆為「特優」之廠商,其次,則是在行政院推動的資安前瞻案中,已取得15縣市的資安聯防案,無論技術與服務能量均備受肯定。最重要的是該公司具備研發、實務、技術能力,可提供一站式事前檢測、事中監控應變、事後鑑識回復的資安產品及服務,完全滿足嘉義市政府的資安需求。在嘉義市政府全體同仁努力,以及中華電信的資安團隊的協助下,目前嘉義市已發展出SOC、ISAC、教育訓練、雲嘉嘉南區域聯防,以及端點緊急資安回應(EDR)、資安健診、網路流量檢測設備(SecuTex)、企業資安等防護機制。無論資安防護廣度與深度,均比過去有大幅進步,堪為其他縣市建置資安防護機制的參考。「在資安防護機制之外,府內許多同仁也在中華資安團隊協助下,陸續取得資安專業國際證照,包含ECSA、CEH、ISO27001LA、BS10012LA等等。」郭軒志解釋:「另外,我們也為同仁提供資安教育訓練、ISO27001:2013資訊安全管理系統內部稽核員訓練課程等等,有效提升嘉義市政府暨所屬機關的整體資安防護意識。」揪出公文系統漏洞展現聯合防護成效嘉義市政府向來非常注重資安工作,多年來亦已添購各種資安設備,但傳統資安設備只能提供功能防護,無法針對多元蒐集資訊進行分析與識別。當發生資安事件時,無法正確採證或即時通報告警,只能被動處理資安威脅。然隨著前述資安防護機制上線之後,現今嘉義市各單位資安防護已從內部延伸到外部,部分機構除了搭配電信業者採用網路端資安防護服務,更強化資安監控機制的建置,以期能深入進行資安情資分析與數位鑑識。郭軒志表示,當嘉義市與所屬機關的區域聯防建立之後,已展現出相當不錯的效益,如曾發現某公文系統存在資安漏洞。市府在第一時間通知各機關注意之外,也進一步提供自我檢查方式與進行阻擋,亦和多機關進行資安鑑識及後續追蹤處理。此種加強資安防護縱深的區域聯防機制,確實達到行政院資安處期望的資通安全管理效能外,亦實踐市政府打造健全資安防護網的目標。一套完善的資安防護機制,需要仰賴各部門配合與多設備配合,才能發揮預期成效。在嘉義市智慧科技處規畫中,未來將建置核心網路流量管理安全平台(SDN),針對資安設備與應用主機之間的網路流量進行分析,在有效地提升資安設備的效能之餘,也可強化整體安全防護工作,還可即時阻絕各種惡意攻擊,全方位保護市政府各機關與市民的安全。

    更多
  • 參與2019-20全球IT發展趨勢暨CIO大調查發表

    2019/12/13中華資安國際參與CIOIT經理人所主辦之2019-20全球IT發展趨勢暨CIO大調查發表會,並由中華資安國際王信富協理分享「數位轉型下的資安思維與策略」,建議CIO們於中長期需建立以下能力:1.建立企業的資產清單、建立設備與網路的可視性2.建立企業關鍵資產(個資、交易資訊、營業秘密等)的防護、監控、應變、復原能力3.建立企業的資安管理制度與防護能力4.定期執行資安健診、紅、藍、紫隊攻防演練,即時修補缺口若企業有任何資安議題,都歡迎隨時找中華資安國際諮詢。

    更多
  • 參與ATD資安論壇暨資安人才培育成果發表暨就業媒合

    2019/11/5中華資安國際參與11月5舉行之ATD資安論壇暨資安人才培育成果發表暨就業媒合,其中洪進福總經理於資安論壇暢談「數位轉型之資安防護之道」,有以下重點:資安技術不只是保護價值(ProtectValue),更重要的是擴增價值(ExpandValue)威脅是不可控的,企業應該將重心方在企業弱點管理(VulnerabilityManagement),降低資安風險資安要做好須從管理面、技術面、教育面三方下手,建立企業資安防護體系經營者不一定要懂資安,但一定要要求企業主管知彼知己,知道威脅在哪裡?漏洞怎麼管?務實的面對風險企業主管應該掌握企業的IT資產、網路設備的可視性、監控足以動搖企業根本的惡意活動,搭配管理制度,就能有效控制資安風險此外中華資安國際檢測團隊並於會中分享「那些年,我們在滲透測試發現的奇葩案例」,引起熱烈的迴響。

    更多
  • 受邀於國際半導體展分享從系統整合觀點看資安新銳

    2019/9/9中華資安國際游峯鵬副總受邀於108年9月19日於南港展覽館1館舉行之國際半導體展(Semicon)之資安論壇,分享「系統整合x資安-從系統整合觀點看資安新銳」,暢談近期觀察到高科技產業/半導體產業最新的資安市場需求方向,觀察國內近期新興企業產品,從自身經驗分享產品方案合作策略建議。

    更多
  • 資安漏洞恐釀每年百億損失!中華資安國際:數位轉型須具備資安管理意識

    資料來源:關鍵評論網2019/10/21數位轉型議題正熱,搭配上緊接而來的5G時代、AI應用,全球企業都想在這波轉型中抓住機會、過彎超車。尤其是最先實現轉型的商業場景,如工業物聯網、自駕車、虛擬娛樂應用等,更是大家摩拳擦掌等候應戰的新舞台。但是,在網路更加快速、新科技更加智慧、虛擬化更加普遍的趨勢下,仍存在著一個不可忽視的隱憂──那就是「資訊安全」。想像一下,當一間企業的業務有80%以上需要仰賴通網設備,或是如同純網銀這樣全面倚賴網路的商業模式,只要一受到惡意的網路攻擊,就可能產生巨大的損失,甚至影響到整體社會安全。根據知名產業公司FrostSullivan在2018年5月公布的研究報告,光是2017年,台灣因為資安威脅造成的損失即高達新台幣8100億元,幾乎等同全國5%GDP。甚至就連台灣科技龍頭台積電,也曾在2018年時發生產線中毒大當機,短短兩天就蒸發了52億,引發了大家對資安的關注。擁有多年資訊安全防禦經驗的中華資安國際,是台灣目前唯一可以提供一站式整合服務方案,並從網路機房端為企業進行資安防護的企業;總經理洪進福表示,在這波數位轉型下,無論是政府或企業都是希望藉由新科技帶來更智慧、自動化與效率的產出。「在新科技的出現下,伴隨而來的就是駭客與網軍的威脅,只要有需求、就會有缺口。」也因為如此,他強調,資安將是未來企業競爭力的一環,唯有安全的資安管理,才能迎戰數位轉型新時代。不只金錢損失,資安也影響人身安全在多數情形下,資安所造成的損失都與金錢相關,或是營運中斷、導致企業競爭力下降等。例如常見的「阻斷服務攻擊(DDoS)」,可能讓電商網站癱瘓、無法順利運作;或是2017年令人聞風喪膽的勒索病毒「WannaCry」,也可能對工廠產線惡意加密、直接讓生產停擺,進而要求企業支付贖金;又或者是駭客竊取企業智慧財產或營業秘密,導致企業競爭力下降,除此之外,資安的漏洞也可能影響到社會的安全。中華資安國際副總游峯鵬「萬一國家的重要基礎建設,像是通網的醫療設備、無人機、無人車等遭受到惡意攻擊,危害的就不只是金錢或競爭力,而是直接衝擊我們的生命安全。」洪進福說。不可不慎!最常見的5種資安漏洞在我們迎接數位轉型的同時,為了要避免資安漏洞造成企業損失,首先必須了解最容易發生問題的地方在哪裡,才能夠加以防範。根據洪進福的經驗指出,企業最常出現資安漏洞的地方有5處:1.網路缺口:「有接口,就有缺口。」只要連上網路,就讓威脅有機會入侵公司內部。2.系統漏洞:公司使用的系統可能具有漏洞。可以透過紅隊(Redteam)的檢測,對系統進行模擬入侵攻擊、找出需要填補的漏洞。3.網站、應用端漏洞:凡是有對外公開的資訊、或是提供上載服務,甚至是Email,都讓駭客有機會直入家門。4.人員漏洞:有人的地方就會有安全缺口,因此要加強員工的資安思維,不要隨意點開惡意信件或隨意使用隨身碟等。5.供應鏈漏洞:這是許多企業忽略的關鍵。如果公司的上下游沒有做好資安,而讓惡意病毒透過交貨或交流時進入公司內部,就會造成巨大損失。PhotoCredit:TNLBrandStudio建立紅藍紫隊思維,守護企業命脈既然知道常見的資安漏洞,那麼作為企業,究竟應該如何建立起完善的防備、守護企業資產,並且順利迎接數位轉型?洪進福表示,資安可分為「紅、藍、紫」三隊,紅隊是站在「不知攻、焉知防」的角度,以道德駭客的方式找出企業自身漏洞;藍隊是以守備概念,在企業管理制度、技術框架與人員訓練上進行強化;而紫隊則是站在監控的角度,全面改善公司內部的資安管理進程。因此,企業應建立三色檢測思維,以守護企業命脈。不過,中華資安國際副總游峯鵬也提出:目前企業面臨的困境在於企業資源,由於台灣多半是中小型企業,很難在有限資源下建立完整的資安團隊。然而,企業仍可以透過整合外部資安服務與內部人員管理,建立強固的防禦邊界、守護企業珍貴的資產與商業命脈。

    更多
  • 受邀參加資通安全管理法採購指引懶人包推廣說明座談會

    2019/8/8中華資安國際於108年8月8日受邀參加資通安全管理法採購指引懶人包推廣說明座談會,楊士弘資深顧問於會中與眾多公務機關分享關鍵基礎設施資通安全管理法實施重點,依資通安全責任分級規劃管理面、技術面、認知訓練面進行說明。

    更多
  • 中華資安國際發現CVE弱點,國內知名電子郵件系統具有多項漏洞

    中華資安國際RedTeam團隊發現,國內知名電子郵件系統具有多項漏洞(CVE-2019-15071、CVE-2019-15072、CVE-2019-15073),指出國內知名電子郵件系統具有跨網站腳本攻擊(Cross-SiteScripting)與未經驗證的轉址與導向(OpenRedirect)等漏洞,影響範圍包含政府、教育與金融等至少約40個機構,簡述如下:CVE-2019-15071:攻擊者可在不經過任何身分認證情況下,進行跨網站腳本攻擊,郵件系統多個版本都存在此漏洞,弱點發生頁面為/cgi-bin/go,此漏洞可歸類於OWASPTOP102017之A7-Cross-SiteScripting(XSS)類型中。CVE-2019-15072:攻擊者可針對任意參數進行跨網站腳本攻擊,郵件系統多個版本都存在此漏洞,弱點發生頁面為/cgi-bin/portal,此漏洞可歸類於OWASPTOP102017之A7-Cross-SiteScripting(XSS)類型中。CVE-2019-15073:攻擊者可在不經過任何身分認證情況下,進行未經驗證的轉址與導向,郵件系統多個版本都存在此漏洞,弱點發生頁面為/cgi-bin/go,此漏洞可歸類於CWE-601:URLRedirectiontoUntrustedSite(OpenRedirect)類型中。開發廠商接獲通報後已配合儘速釋出相關更新,若機關或企業有使用電子郵件系統者,建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施:1.使用者:聯繫廠商盡速安裝修補更新檔。2.郵件系統開發商:在程式開發過程中應針對輸入參數做檢查。3.郵件系統開發商:建議導入安全程式開發流程(SSDLC)、事前進行安全程式碼開發教育訓練,並定期執行源碼檢測及滲透測試等安全檢測,才能有效地確保產品及用戶安全。

    更多
  • [專訪]工控系統面臨數位轉型 工業物聯網資安風險日增

    資料來源:資安人報導2019/10/30當聽到工控系統遭遇到駭客攻擊時,這類資安威脅感覺似乎離我們非常遙遠,但自從工控資安事件在台灣落地之後,大家才驚覺工控資安的威脅已經兵臨城下,可能產生巨大損失、甚至影響人身安全,是企業必須重視的議題。IT與OT結合 帶入資安威脅?!工業4.0成為製造業追求的方向之後,以往封閉式的工控環境也慢慢開始走向開放式,與網路的連接頻率也提高,這讓工控設備成為駭客覬覦攻擊的目標。中華資安國際副總經理游峯鵬表示,工控環境重視的是生產效率、工安及環安,對資安重視的程度相對比較薄弱,直到台灣發生工控環境遭受勒索病毒威脅的資安事件,導致企業遭受到嚴重金額損失之後,大家才警覺到原來工控資安事件已經在台灣落地,工業控制系統的資訊安全是企業不可忽視的問題。工業控制系統正面臨數位轉型的過渡階段,從用來分析工業控制系統架構的普渡(Purdue)模型可以看到,其中Level0屬於機器手臂、自動車等工控設備,Level1則是由一群PLC、DCS或RTU等控制器組成,也就是控制網路,控制器會接收來自於Level2中工業用人機介面HMI(Human-MachineInterface)的指令,Level3則是工廠機房中的核心路由器、防火牆、工程師工作站(EWS)、歷程資料伺服器(Historian)等設備,Level4-5則是從遠端企業總部連接到工控系統的機器。其中的Level0-3稱之為OT(OperationTechnology),Level4-5一般則稱之為IT(InformationTechnology)。游峯鵬表示,從普渡模型可以看出,當OT與IT相結合之後,Level4-5的IT環境中的ERP、檔案伺服器等系統若遭受網路攻擊,威脅長驅直入也會連帶影響到Level0-3的OT環境,並且在行動裝置普及化、物聯網應用進入工控環境之後,讓駭客入侵的管道更加多元,此外,來自操作人員、供應商所帶進來的資安威脅缺口也不容忽視,OT環境想要降低資安風險,必須更重視SOP的落實,並可參考國際工業控制安全標準(如NISTSP800-82或ISA/IEC62443)建立工控環境安全框架,來確保工控系統的安全性。<imgwidth="554"src="/images/archive/1576548088196.jpeg"alt="一張含有牆,個人,男人,室內的圖片 自動產生的描述"class="fr-ficfr-dii">想要落實工控環境的資安防護,必須先從資產盤點與風險評估著手,游峯鵬誠心的表示建議,現在的工控設備相當多元,加上企業因應工業4.0與數位轉型時工業物聯網裝置的加入,使得工控環境中的資產盤點與評估工作變得更為複雜。企業工控環境要做好資安,應該從管理、技術、訓練三大構面來進行,管理制度是最重要的部分,沒有組織人員、流程、工具是不可能把資安防護做好的,即便有了管理制度,還需檢視能否落實管理?能否有效建立技術防護能力?技術是指組織建立資產設備的可視性,確實掌握資產的所在位置與連線狀態,確保沒有「幽靈資產」存在,定期對工控環境做資安健檢,並建立偵測監控、緊急應變、鑑識復原的技術框架及能力,找出漏洞以及不正常的網路活動,才能夠做好隔離、管控、告警等資安工作。而訓練則是有鑒於『人』經常是組織資安防護的最大缺口,透過定期訓練可以提高資安認知,強化資安技能,有效提高資安防護能力。豐富的政府專案經驗奠定專業資安服務角色中華資安國際提供客戶完整的IT與OT資安解決方案,舉凡事前資安防護與檢測、事中資安監控與管理、事後緊急應變與鑑識,以及資安顧問等服務。對於OT環境資安服務,中華資安國際除提供風險評估顧問服務,也提供資安健檢與監控服務,因為OT環境非常重視可用性,因此在進行資安導入時,為了不能影響其運作,會先以被動方式用「聽」的來進行,也就是利用收集網路活動資料進行分析,包含建立資產、網路連線、正常行為基準線(baseline)的可視性,以進行隔離性檢測、偏離基準異常檢測、網路惡意活動檢視等,並協助建立OT-SOC(SecurityOperationCenter,資訊安全監控中心),對異常行為提出告警,進行實質的7x24監控工作。中華資安國際除了參與政府油、水、電工程專案的資安健檢與風險評估工作,協助政府從公共設施OT場域環境中找出資安風險,也協助智慧醫療、智慧機械環境資安的健檢與監控機制的部署,這種應用牽涉到隱私權與醫療風險,資安議題顯得更為重要。最後,游峯鵬副總經理強調,資安設備、軟體只是工具,最重要的還是專業知識與經驗,中華資安國際對於IT與OT都擁有豐富的領域專業知識,獲得許多資安比賽大獎並且協助客戶面對艱難的資安威脅。對於未來看好的5G網路發展,智慧城市、車聯網、智慧工廠等IoT及IIoT的應用即將起飛,中華資安國際也正在積極布局,將在未來更為嚴峻的網路世界,自我期許可以成為更進一步的專業資安服務廠商的角色。

    更多
  • Digitime報導:中華資安國際助企業抵禦多重威脅

    2019-12-06近年伴隨數位科技與網路應用迅速發展,企業面臨與日俱增的資安威脅,也讓資安防護的重要性不斷攀升,成為數位經濟與產業創新的關鍵基石。展望2020年,中華資安國際總經理洪進福預期,包括法規、威脅、新科技、時間演進等四大驅力,將推動資安產業繼續前進。關於法規,隨著資通安全管理法施行、許多國家的個資法規、金融業資安法規等日趨嚴格,導致企業的資安法遵壓力愈來愈大。關於威脅,近幾年資安事件層出不窮,網路入侵、勒索病毒、資料外洩、DDoS、APT等都對政府與企業造成很大的威脅和危害,預期來年企業仍將與這些風險相伴為伍。關於新科技,隨著5G、工業物聯網IIoT、智慧聯網AIoT、車聯網、自駕車、區塊鏈等新技術、新應用的開展,勢必帶來新的資安缺口。關於時間,多數人都清楚,隨著時間演進,幾乎每天都會發現新的系統、應用或技術的缺口、漏洞。當然,如果企業沒能及時防患於未然,就可能給了駭客可乘之機,造成政府或企業的嚴重損失。表面看來,哪怕資安威脅再大,似乎只有從事資安工作的人會戒慎恐懼,一般人並不太關心。但洪進福認為,企業主並非不在意威脅,而是更在乎資安威脅造成的影響,例如,「營運中斷」、「金錢勒索」、「資料外洩」或「智財權遭竊」,所以討論資安威脅,必須回過頭來扣合這些痛點,才有助於喚醒企業主的資安意識,更願意找方法來面對資安威脅,以及解決問題。洪進福認為,企業要做好資安,應該從管理、技術、訓練三大構面來進行。管理制度是最重要的部分,沒有組織人員、流程、工具是不可能把資安防護做好的,即便有了管理制度,還需檢視能否落實管理?能否有效建立技術防護能力?技術是指組織建立關鍵資產盤點、防護架構、偵測監控、緊急應變、鑑識復原的技術架構及能力;訓練則是有鑒於『人』經常是組織資安防護的最大缺口,透過訓練可以提高資安認知,強化資安技能,有效提高資安防護能力。例如,企業可以參照ISO27001管理制度、NISTIPDRR資安架構,建立企業資安的基線(Baseline),並持續PDCA管理循環,才能有效精進資安防護能力。藉由紅隊演練,釐清所有曝險介面具體做法上,首先企業應自問有什麼東西最珍貴,釐清需嚴加保護的關鍵資產;接著思考如何把它們擺在安全位置,意即建立防護架構、常態性偵測機制,隨時監看有無不明人士擅動這些資產;緊接著萬一出事,企業亦應設法做到快速應變處理。簡言之,欲做好資安防護,必須兼具事前的防禦、事中的監控與應變、事後的鑑識與重建。中華資安國際副總經理游峯鵬說,駭客決定攻擊標的時,會看對方自保能力夠不夠,能力愈強的企業,遭受駭客入侵機率較低;因此建議企業將資安做得更細緻,先把端點、電子郵件、網站等重要出入口盤點清楚,再據此建立防禦與應變措施。洪進福呼籲,企業進行資安布局,須同時看兩大面向,其一是管理面,需要建構完善的管理制度,否則即便有再強的防護設備,也難產生好的防禦效果,另一是技術面,切記「有網路接口、就有資安缺口」,務必盤查所有出入口,釐清企業對外的曝險介面,再推動相應的防禦、檢測等作為。總之,唯有「制度化管理」,才能將資安帶入常軌、成為企業日常營運的一部分,否則日子一久,隨著人員異動、系統上下架或網路架構改變,都可能導致資安退化。「管理是說法,落實要靠做法,我們透過『稽核』來檢視說法和做法是否一致,但要能看清真相,就得仰賴動手執行『檢測』。」洪進福說,舉凡紅隊演練(RedTeaming)和滲透測試(PT),皆是『資安檢測』的服務項目,主要是以駭客觀點,探索或挖掘可能的入侵缺口,藉此提醒企業瞭解自身防護架構的不足,並輔導企業該如何補強防護、彌補資安缺口。如果沿用事前、事中、事後的概念,RedTeaming、PT等檢測服務,算是事前的一環,另外像是事中的SOC監控應變、事後的鑑識復原,從事前到事後都是中華資安國際的服務範疇。與一般系統整合商最大不同,在於中華資安國際擁有豐沛的網路、系統、資安專家,更能綜觀全局,將資安設備部署在最適當的位置,搭配網段上的分艙隔離、管控機制,同時掌握即時ISP網路資安威脅情資,形成最大防禦功效。值得一提,中華資安國際結合母公司中華電信的HiNet網路服務與行動上網服務,在網路局端提供企業上網資安防護服務,以協助企業搭建縱深防禦架構,從源頭將攻擊行為、異常訊務加以攔阻。展望今後著眼於企業雲端化程度攀升,有必要強化雲端防護能力,中華資安國際規劃於2020年1月開始提供雲端WAF服務,協助企業做好網站資安防護;此外,因應企業上雲的產業趨勢明朗,接下來也將推出落實雲端存取安全代理程式(CASB)服務,用來保護企業存放在雲端的資料與商業活動,盡全力協助企業降低資安風險。

    更多

金融機構資安強化

金融機構安全評估辦法、ATM攻防、DDoS演練、因應GDPR法規的資安強化建議。

企業資安強化

大型企業:閘道端防護、端點防護、資料安全、定期資安檢測、導入ISMS資安管理制度、與ISP合作形成縱深防禦網。
中小型企業及工作室:防毒防駭軟體、企業上網資安防護。

政府機關資安強化

資安管理法規範、前瞻計畫資安強化措施(區域聯防、SOC、ISAC、基層機關資安強化),資安服務供應契約下單。