IT-secure

[活動花絮] 2019資安大會

CyberSEC Taiwan 2019

2019 臺灣資安大會

網路攻擊沒有國界,現今面對的威脅已非單一人、單一部門乃至於單一企業可以有效防守,孤軍奮戰難以抗衡全球更複雜、規模更大且有組織的縝密惡意攻擊。2019 臺灣資安大會 (CYBERSEC 2019) 關注國際資安議題、匯集亞太地區資安能量,不論您來自業界、專家學者、法務人士、公部門或企業用戶等,都歡迎與我們一同在此從技術層面與策略層面,探討資安百種面向、交流最新的技術與知識。將資安意識與知識帶回組織中,從上至下凝聚共識與成長,並與資安產業夥伴們合作偕同防禦,藉此在資安攻防戰場更加壯大、更快速反應、更快速處理,形成足以跟攻擊者匹敵的更強力防禦。

2019 臺灣資安大會MAR.19 – 21臺北國際會議中心 & 世貿一館 2樓

活動花絮

資訊安全一直以來是IT環境快速變遷中最重要的議題之一,如何保護好自家企業檔案以及管理所有網路維護情況一直是讓每間企業資訊人員相當頭疼的問題,在日新月異的產業環境下,如何安全地處理檔案傳輸以及透明監控自家資訊環境,在這次的資安大會中,易璽科技 X IPSwitch為大家帶來幾個解套的方案

MOVEit®

檔案傳輸管理軟體

全球數千家公司正使用 MOVEit 檔案傳輸 (MFT)管理軟體,因為這套軟體讓他們得以洞悉檔案傳輸活動,實現完全掌控。MOVEit 不但能保持核心業務流程穩定可靠,更能保證合作夥伴、客戶、使用者及系統之間的敏感資料傳輸安全合規。

WS_FTP® Server

經得起考驗、可靠、安全的 FTP 伺服器

經得起考驗、高效率、使用簡便的檔案傳輸解決方案。保障資料在傳遞過程中的安 全,同時整合可程式化的方法,如此可簡化檔案傳輸任務並提高效率。運用保護機制 來防範資訊洩漏及資料暴露,改善對檔案傳輸活動的控制以及其透明度和安全性。

WhatsUp® Gold

網路監控軟體

無論網路裝置、伺服器、儲存和無線裝置位於雲端或是內部網路中,都可對其上線/離線狀態和效能資訊一目了然。擴展您的管理工具組,為網路傳輸流量、應用程式、虛擬作業環境和裝置組態加入主動監控工具,全部都在同一個直覺式操作的網路介面中執行。

 

駐攤人員現場產品介紹
現場AirPod抽獎活動
在各個展區皆有不同資安課程可以參加
使用安全的檔案傳輸來保護 IT 資產 | Ipswitch大中華區技術總監Ethan Lin每個企業都會在內部的終端用戶之間以及外部的合作夥伴和客戶之間交換資訊。基於速度、效率和安全性的問題,可管理的檔案傳輸解決方案現在被認為是許多企業的必需品。研究顯示,大多數資料外洩事件的起因,就是一般使用者的操作。現在,您可以在安全、法遵、管理及控制等各方面的優勢延伸到一般使用者的協同作業。這個解決方案就像電子郵件或 Dropbox 等消費級雲端服務一樣簡單易用。使用者可以建立自己的安全共用資料夾,以利進行內部或外部協同作業,並自行決定資訊公開程度。管理員可以完全掌握所有資料,還能維護各項活動與稽核記錄。

解決工作場所 BYOD 安全防護風險的 IT 指南

堅持不採用 BYOD 政策已經成了一場在逆境中求勝的戰役。光是在過去五年間,技術和工作場所的習慣模式就出現了一些重大轉變。這些新的轉變暗藏著新的安全風險,我們該如何因應?

雲端運算技術興起後,連帶使得個人智慧型裝置及在家工作模式蔚為盛行,於是,BYOD 政策 (自備個人裝置) 成了相當受歡迎的做法。這類政策允許員工使用自己慣用的行動裝置 (筆記型電腦、智慧型手機等) 工作,不需受限於公司配發的裝置。這類政策當然有很多優點…能讓員工開心,再者,公司往往因為如此而不需要提供 (及採購) 新裝置,尤其是行動電話。但是,凡事都有一體兩面。BYOD 趨勢除了帶來優點,也衍生出一定程度的安全隱憂。以下探討最主要的安全隱憂,以及企業該如何擬定 BYOD 策略才能解決相關問題。

何謂 BYOD?其運作方式是什麼?

BYOD 是一種相當新穎的措施,企業組織透過這項措施允許員工使用自己的個人裝置處理工作。智慧型手機是最常見的例子,不過,BYOD 模式的範圍還包括筆記型電腦、平板電腦,甚至也適用於穿戴裝置。時下流行所謂的「IT 消費化」,也就是在企業環境中使用消費性軟體和硬體,而 BYOD 就是其中一種模式。在 BYOD 模式下,企業組織通常會同時管制員工自備的裝置及公司提供的裝置,不過,也有其他企業選擇採用「影子 IT」這樣的做法。「影子 IT」是指企業開放使用硬體和軟體,但組織的中央 IT 部門並不提供支援。

> 瞭解 MOVEit 何以能夠防範貴公司發生資料外洩事件。

BYOD 有何優點?

對 BYOD 使用者而言,能夠自由運用自己選擇的個人裝置、不分時間地點都能工作,這就是相當大的優勢。而從雇主的立場來看,公司既不需要提供行動裝置給員工,還能讓個人裝置與中央通訊系統保持連線,從而省下不少成本,這些也都是 BYOD 的優點。

BYOD 有何風險?企業該如何因應?

BYOD 政策既有其優點,難免也會導致一些相當棘手的問題。IT 團隊需要設法熟悉隨著 BYOD 而來的各種安全問題。以下舉例說明幾項最嚴重的 BYOD 相關隱憂,以及組織做好自我防護的方式。

管理遺失或遭竊的裝置

您是不是經常因為將手機遺忘在餐廳座位上而必須回頭去拿?假設您回到原地卻找不到手機,這才發現手機被偷了。此時此刻的心情真是焦躁難安,對吧?再想像一下,要是手機中存了機密的業務資料,風險豈不是馬上倍增?由於價值的緣故,行動裝置本來就是容易遭竊的物品,現在,為了盜用並轉售或利用個人資料而偷竊手機的情形更是越來越普遍。一台裝置同時存放了個人資料和非公開的公司資料,資訊外洩的風險真的很大。

為降低遺失 BYOD 裝置可能引發的風險,使用者最好登錄「尋找我的裝置」及遠端清除服務。這類服務不但能夠讓使用者追蹤不小心遺落在某處的裝置,不得已時還能將裝置中的資料清除得一乾二淨。話雖如此,所有企業使用者仍應養成定期備份資料的習慣。擬定備份與復原程序有助於大幅減輕裝置遺失或遭竊引發的餘波。

密碼保護

許多使用者並未運用基本常識保護智慧型裝置。無論是公司裝置或私人裝置,所有裝置都該採用強式密碼保護。許多人不使用密碼保護自己的裝置,但也有許多人用了密碼卻未奉行最佳實務,只為了方便而使用簡易密碼。試想:如果您是小偷,要猜到密碼數字組合是「1-2-3-4」一點也不難,不是嗎?事實上,小偷嘗試輸入的第一個密碼很可能就是這個組合。只要為裝置設定強式密碼/通行碼,組織就等於做好了遏止攻擊活動的第一道防線,這也是一道更重要的屏障。再者,若能運用指紋或臉孔識別之類的生物辨識出入控制技術,安全程度相對更有保障。

網路監控與 BYOD

只要是在設想週到的前提下採行 BYOD,就能給予員工更大的自由。不過,要是實施方式不恰當,對 IT 團隊而言,除了必須努力追趕不斷變化的產能需求、應用程式及網路使用量之外,無疑又多了一層負擔。IT 團隊可以運用網路監控工具完整存取這類資訊,也能存取 BYOD 和位置之類的其他資訊。只要能掌握這類指標,IT 團隊就能實施更好的安全防護措施,還能規劃更完善的 Wi-Fi 及發揮其他功用。

透過管理行動裝置保護裝置安全

實施 BYOD 政策的企業組織應採行完善的行動裝置管理 (MDM) 解決方案,以利保護使用者的裝置。Enterprise Mobility 管理軟體能強制實行特定公司資安原則,保證只允許獲准的裝置存取公司網路。

MDM 軟體也能在裝置下載惡意行動應用程式時發揮防護作用。許多危險的行動應用程式只有一個目的:破壞裝置軟體並存取儲存在裝置中的非公開資訊。若企業組織在辦公室裡採行 BYOD 計畫,由於公司和個人資料全都儲存在同一台裝置中,這類應用程式確實是非常大的隱憂。MDM 解決方案可以保證只能將可信任的應用程式下載至裝置中,讓企業組織安心無虞。值得注意的是,即使是公司內部開發的應用程式,仍有可能出現易遭攻擊的漏洞。企業應確定自己的行動應用程式符合特定安全防護標準,以利防範資料外洩。

加密的重要性

加密絕對是裝置安全防護不可或缺的重要措施。未加密的資料很容易在傳輸中或閒置時遭到攔截。除了能防範攻擊者存取行動裝置上的非公開資訊之外,加密技術還能發揮其他功能。密碼確實能夠阻止攻擊者存取裝置,而加密技術還會將攻擊者仍有能力規避密碼的可能性列入考量。倘若能採行所謂「深度防禦」的多層次安全防護機制,企業組織就能進一步強化 BYOD 裝置的防禦功能。傳輸中的資料往往是最容易遭受攻擊的一環。企業組織若願意投資採購深度夠強的加密工具,就有能力保護自己的網路基礎架構,也能保護所有需經由公用 Wi-Fi 網路傳輸的公司資料。

行動裝置易有助長 DDoS 攻擊之虞

行動裝置 API 鮮少設定適度的速度限制,往往容易遭受 DDoS 攻擊。利用 DDoS 攻擊產生的要求源自網路內部,因此更難以偵測。未來的 DDoS 可能會利用行動裝置入侵特定的應用程式層資源瓶頸。這類攻擊往往採用典型的查詢,比「外來的 DDoS 攻擊」更難防,因此,資安團隊應留意這種手法。

此文章轉載自IPSWITCH中文官方部落格 https://blog.ipswitch.com/tw/the-it-guide-to-handling-byod-security-risks-in-the-workplace

物聯網基礎概念 – 物聯網裝置驗證說明

不管有用無用,萬物都要連線上網,這已經成了時下普遍盛行的情況;看過前幾則文章的讀者都知道我對這種現象持保留態度。但是,這股潮流一定會繼續下去,不會消退,這點倒也不容否認。這樣的情形不免容易造成需要妥善管理的資安風險。

就像軟體業鼓勵在軟體開發階段就開始注重安全設計一樣,物聯網 (Internet of Things, IoT) 需要結合某種檢查機制,力求只有互動雙方能夠收發透過物聯網產生的資料。有這個必要嗎?

絕對有。無論是感應式裝置,或者專用於執行特定功能,除非做好預防措施,否則,所有裝置都是容易遭駭的對象 (我們有必要從設計著手厲行資安原則)。駭客入侵土耳其油管監視器並關閉其功能,對胰島素幫浦及 MRI 機器等醫療器材發動攻擊等等,都是最好的例子。這些攻擊可能有致命風險,也說明某些駭客選擇目標或向其他網路罪犯炫耀時可謂是肆無忌憚。

其他攻擊手法似乎較溫和,但仍然引人深思。某款嬰兒監看器遭駭,駭客還能直接對寶寶說話。對智慧型手槍感興趣?沒錯,這類裝置被一位資安研究人員和他的妻子聯手入侵了。這對駭客夫妻不但遙控更改彈道,還發現了無法變更 Wi-Fi 預設密碼這件事。

連線裝置顯然暗藏著危害生命的風險,也有可能波及人們的工作或家庭生活。要瞭解這類風險,首先必須瞭解裝置通訊概念。

物聯網系統的運作原理是什麼?

物聯網並不只是連線裝置如此單純,最理想的情況是採用有系統的物聯網專用基礎架構,這類架構通常能夠反映出資料從物聯網裝置傳送到最終分析裝置的四個階段。這四個階段當中的每一個階段都可以進行資料處理。以下介紹這四個階段:

  • 感應器或致動器 – 比方說,感應器可以收集用於監測水溫的資料,而致動器則可執行實際功能,例如達到預定溫度時關閉或打開水閥。
  • 網際網路閘道– 收集類比式的感應器資料後,先轉為數位資料,再透過您選擇的通訊協定 (Wi-Fi、有線區域網路或網際網路) 進行串流傳送。資料量十分可觀,可能會拖慢速度,所以,以這種方式送出所有資料後即可進行即時分析。這就像是在所有物聯網裝置進行的預處理彙整階段。將裝置資料傳送至雲端的 Azure 物聯網中樞 (Azure IoT hub) 就是其中一例。
  • 邊緣 IT (Edge IT) – 先進一步分析再將資料傳送到資料中心的過渡階段。這個階段一樣是為了減少傳到資料中心的流量,避免資料中心的網路頻寬爆量。例如,您不需要所有裝置的所有資料,只需進一步處理符合既定條件的資料。
  • 資料中心或雲端– 可以深入分析篩選之後剩下的資料,並且可將產生的報告傳送至內部網路。如果能在外部空間進行資料量龐大的處理與分析作業,IT 團隊就不需要擔心內部網路頻寬不足。

以上四個階段的執行方式取決於物聯網感應器和裝置的數量、產生的資料量,以及這些資料的處理方式。能發揮效益的物聯網生態系統必須顧及資安,無論是工業網際網路或單純運用物聯網裝置能與作業流程相輔相成的優點,都可以透過驗證達到保障資訊安全的目的。

別讓業務資料落入有心人士之手。下載這份免費電子書。

何謂物聯網驗證?

保障資料安全及運用權限限制存取其實並不是什麼新概念,而是許多產業普遍採行的方式。為何不從一開始就規定連線裝置遵行同樣的資安準則,這點就令人想不透了。

物聯網裝置種類繁多,短短一則貼文很難盡述,不過,這些裝置的安全防護層級卻有非常大的差異。有些裝置運用藍牙、RFID (無線射頻辨識)或 Wi-Fi 技術等近端通訊協定進行連線,有些則運用 GPS、4G 或有線連線技術。物聯網裝置的連線方式相當簡單,例如掃描鄰近裝置、輸入簡碼 (包括不能變更的預設密碼,以及改掉預設密碼後的代碼),或者使用多重因素驗證機制檢驗裝置與接收端的權限。

危險邊緣好戲上場了!「何謂物聯網驗證?」當然,答案很難一言以蔽之,但可以試著簡單扼要地解釋。

物聯網使用情形因這類技術所採用的物聯網產品而異,不過,從現階段的趨勢看來,這方面即將出現變革,只不過還需要一段時間,等所有裝置製造商接納。大多數的人對網路購物都不陌生。如果有一家店不採用 SSL 加密技術 (也就是瀏覽器會出現一個鎖頭符號或網址開頭是 https),您會買這家店的東西嗎?物聯網裝置也可以採行一種類似的方法,稱為「公開金鑰基礎架構」(Public Key Infrastructure, KPI),這種技術是利用數位憑證證明網站的真實性,而當運用於物聯網時,驗證的對象則是物聯網裝置。

數位憑證可以保障物聯網裝置可能欠缺的可信程度,此外,如結合物聯網應用程式用於監控基礎架構,就能識別並防範人們使用未經認證且安全機制偏弱的裝置。

我的看法是,區塊鏈與 PKI 孰優孰劣並沒有定論,但卻是個值得探討的議題。區塊鏈採用分散式分類帳,有助於強化 PKI 並落實稽核數位憑證管理的可能性,當然,只要進行任何變更,一律無法逆轉。若非採用分散式分類帳,物聯網所用的 PKI 會被視為數位憑證供應商為財務考量而推出的計畫。即便如此,主要考量仍在於如何管理驗證。

實施 IoT 驗證方法

每一種驗證方法的目的都在於物聯網安全防護雙重因素驗證是否夠用?要求 SSO (單一登入) 是否較為便利?決定操之在您。您可能會想運用 Azure 物聯網管理所有裝置。您可能必須達到具體的服務品質規定,因此有必要使用 MQTT 用戶端。訊息序列遙測傳輸 (Message Queuing Telemetry Transport, MQTT) 是一種傳訊通訊協定,也是物聯網裝置能夠採用的通訊協定之一。

不過,物聯網裝置採用各式各樣的通訊協定和標準,因此您的驗證方法必須顧及各種版本之間的差異。所以,要確認每一台裝置都能透過安全的管道進行驗證,一定得熟悉各類不同版本,購買物聯網裝置後,也要熟知相關知識。有些裝置需要手動更新 (沒有 OTA 功能),有些裝置可能會鎖住設定,只能使用預設值。物聯網平台也許能自動處理您大多數的需求?

結論是,運用物聯網驗證方法防護物聯網裝置安全確實有其必要性,有幾種不同方法可以達到這個目標。有些方法可能會指定物聯網專用網路,但這麼做會為了安全而犧牲一些有益的功能。請記住,您還是可以透過安全的方法整合一切,但您必須確認裝置本身的設計就已經兼顧安全防護。因此,您可能需要停止使用某些裝置,不過,如果能夠因此高枕無憂,讓基礎架構安全無虞,付出一點代價又何妨?
轉載自IPSwitch中文官方部落格