IPSWITCH|資訊科技|技術服務|軟體代理
在此宣佈幾個好消息!我們要告訴大家,Ipswitch MOVEit 已經篤定成為 2019 年 Software Reviews 資料象限管理檔案傳輸 (MFT) 類領導廠商,對此我們深感自豪。
「資料象限」由世界級研究顧問公司 Info-Tech Group Inc. 的 Software Reviews 部門設計,宗旨在於表揚科技市場上廠商實力與產品特色滿意度均深受使用者肯定的一流廠商。
我們相信,榮登「領導廠商」象限證明了 Ipswitch 致力於讓網路世界成為更安全的資料分享空間。
同時,如欲參閱 MFT 資料象限報告,請按一下這裡。
若想深入瞭解 Ipswitch MOVEit Suite 如何因應貴組織的具體需求,請觀看我們的 90 秒影片。
新聞稿詳細資料
網路攻擊沒有國界,現今面對的威脅已非單一人、單一部門乃至於單一企業可以有效防守,孤軍奮戰難以抗衡全球更複雜、規模更大且有組織的縝密惡意攻擊。2019 臺灣資安大會 (CYBERSEC 2019) 關注國際資安議題、匯集亞太地區資安能量,不論您來自業界、專家學者、法務人士、公部門或企業用戶等,都歡迎與我們一同在此從技術層面與策略層面,探討資安百種面向、交流最新的技術與知識。將資安意識與知識帶回組織中,從上至下凝聚共識與成長,並與資安產業夥伴們合作偕同防禦,藉此在資安攻防戰場更加壯大、更快速反應、更快速處理,形成足以跟攻擊者匹敵的更強力防禦。
資訊安全一直以來是IT環境快速變遷中最重要的議題之一,如何保護好自家企業檔案以及管理所有網路維護情況一直是讓每間企業資訊人員相當頭疼的問題,在日新月異的產業環境下,如何安全地處理檔案傳輸以及透明監控自家資訊環境,在這次的資安大會中,易璽科技 X IPSwitch為大家帶來幾個解套的方案
全球數千家公司正使用 MOVEit 檔案傳輸 (MFT)管理軟體,因為這套軟體讓他們得以洞悉檔案傳輸活動,實現完全掌控。MOVEit 不但能保持核心業務流程穩定可靠,更能保證合作夥伴、客戶、使用者及系統之間的敏感資料傳輸安全合規。
經得起考驗、可靠、安全的 FTP 伺服器
無論網路裝置、伺服器、儲存和無線裝置位於雲端或是內部網路中,都可對其上線/離線狀態和效能資訊一目了然。擴展您的管理工具組,為網路傳輸流量、應用程式、虛擬作業環境和裝置組態加入主動監控工具,全部都在同一個直覺式操作的網路介面中執行。
Ipswitch 於 2019 年 3 月 19 日發表 MOVEit 更新版,名稱是 MOVEit 2019。這個版本有多項增強功能,以改良易用性與發揮更多安全與擴充功能為主,其中包括:
在時下全球科技環境中,駭客入侵風險始終居高不下,這一點眾人皆知,也早就習以為常。
這類入侵行為越來複雜,但只要排除人為疏失、進行資料加密,或者實施有效的安全意識訓練,就能遏止其中諸多攻勢。在許多情況下,消除有風險的漏洞十分合理,而檔案傳輸流程就是可能存在漏洞的一個環節。我們不需再多說傳輸中資料與閒置資料、影子 IT 或社交工程的危險之處,姑且假設公司行號想要保護自己以及客戶、供應商與其他聯絡人的敏感資訊。
如果您採用信用卡作業,就必須遵守 PCI-DSS,如果您處理病歷之類的臨床資料,則必須遵守 HIPAA,另外可能也要遵守 PCI-DSS。視管轄法/州法而定,另有其他規定要求遵守身分防盜或資料隱私權法規。美國北卡羅來納大學 (University of North Carolina) 提供了一份非常棒的敏感資料範例清單。
無論是個人身分識別資訊 (Personally Identifiable Information, PII)、受保護健康資訊 (Protected Health Information, PHI) 或員工資料,這些全都屬於敏感資料,一旦落入有心人士之手,就可能用在受害對象身上,成為盜用身分或金融詐騙的工具。
不需編寫指令碼就能實現進階的工作流程自動化功能。
主要問題在於資料通常具有共用性質,只不過共用過程不見得有效率。在銀行、金融服務和保險 (BFSI) 產業中,必須基於業務所需共用各式各樣的資料。比方說,銀行進行信用調查時就必須共用資料;正因如此,Equifax 在 2017 年成為駭客的攻擊目標 (造成 1.43 億美國人的敏感資料外洩) 也就不足為奇了。
銀行之間會共用財務報表、客戶對帳單、帳戶更新資訊等各類資料,或者會將此類資料儲存在中央伺服器中。隨著金融科技、智慧支付以及其他金融服務的興起,資料共用情形越來越普遍。資料分析、大數據以及因此衍生的鎖定行銷,這些全都必須透過共用方式進行。
醫療保健業是另一個主要目標,因為儲存及共用臨床與財務資料在這個產業中早已成為慣例,共用資料者可能包括保險公司,也可能包括必須提供諮詢意見或者提升醫療照護水準的專業醫療人員。若醫療業者並未參與患者照護過程,不需經過患者同意即可共用臨床資訊 (但須去除 PII)。目標如此顯著,莫怪 2018 年發生了多起醫療保健業遭駭風波。
以上所述是和駭客一樣以金融業和醫療保健業為主,但凡需儲存敏感資料者都會面臨一樣的問題,而在這個時代,有誰不需要儲存敏感資料?您會與他人共用敏感資料嗎?如果會,那麼您就需要好好思考自己的檔案傳輸流程。法規並未要求組織採用制式資料安全防護措施,但希望組織善盡盡職調查責任,同時也會懲處不遵守規定的組織。各行各業都出現了資料外洩問題,眾所皆知的駭客入侵事件也不在少數,因此,組織不能拿不知道當擋箭牌。
公司行號必須尋找保護敏感資料的方式,不過,必須兼顧效率以及注意能否強化業務運作與流程。一定要遵守管理標準和規章,這一點無庸置疑,但不同的產業和地理位置仍然有別。有效的檔案傳輸解決方案能顧全大局,即便是老舊的舊版基礎架構 (這是銀行業普遍抱怨的問題) 也沒問題,更不分平台類型或企業規模。
為何不自動處理這些流程,排除需要反覆執行的作業及所謂的「忙碌作業」,讓人們有時間專心處理需要人工處理的事情?至少我覺得這樣很合理。自動處理檔案傳輸作業 (不是雜亂無章地透過電子郵件、雲端共用技術或 VoIP 聊天視窗附件傳送) 包括但不限於以下優點:
1.集中控制
可由專職 (仔細選擇而非隨意指定的) 員工負責建構、排程及管理檔案傳輸作業,降低反覆輸入資料可能導致的人為疏失。也可以建立批次作業,按照一定的時間間隔定期傳輸。
2.一種解決方案適用於所有傳輸作業
使用者只需要專心處理一個問題,不需要同時兼顧多種檔案傳輸選項。減少混亂情形,也能盡量避免檔案傳輸過程中發生重複傳輸或漏傳的情形。
3.提升資料安全
在檔案傳輸全程各階段當中,資料一律經過加密,能夠確認最終收到檔案的是獲得權限的接收方,每次傳輸作業還有完整的記錄。
4.即時掌握傳輸狀態
檔案傳輸狀態一覽無遺,一旦收到 (因連線中斷或其他干擾導致) 傳送失敗等問題的警示,即可立即採行對策。
5.提升效率
自動傳輸能節省時間,讓管理員得以花更多時間建立其他觸發條件和警示,與既有的檔案傳輸流程相輔相成。並非每一項傳輸作業均採自動傳輸模式,需要傳輸大型檔案或只需要安排一次定期傳輸時,您仍然可以微調手動傳輸作業。
6.多使用者自動化選項
管理員很容易就能依使用者建立觸發條件。進行資料庫更新,或是在每日尾聲將資料備份到中央伺服器時,這項功能特別實用。
7.更容易遵守法規
由於記錄檔會追蹤並記錄每一項資訊 (而且記錄檔是不能編輯的),您可以輕鬆遵守各式各樣的法規。
8.稽核記錄
管理式檔案傳輸有一項主要特色,那就是每一次的檔案傳輸作業均可接受完整稽核,因為稽核資料會記錄傳送者、傳送時間以及接收方。一旦資料外洩,這類證據就能發揮事半功倍之效,這是傳統檔案傳輸方式做不到的。稽核記錄也能避免遭駭客入侵得手的企業因資料外洩而蒙受罰金與聲譽受損等損失。
結論是,除非您想挑戰管理 FTP 伺服器蔓生及指令碼造成的夢魘,否則就不能忽視管理式檔案傳輸解決方案是檔案傳輸自動化的唯一法則。法遵規定越來越嚴苛,各企業不得不思考資料外洩會給客戶留下什麼樣的印象。信任是企業無法忽視的商品,一旦失去信任,重新爭取信任感的機會往往微乎其微。我本身也是各種服務的消費者,當然期望所有公司行號都能妥善保護我的 PII。萬一我的 PII 出現風險,事後我發現自己所選的公司竟然沒有做好基本的安全防護預防措施,我自然會另選其他公司…也許還會找個律師。
忘了 FTP 吧!開始透過安全又遵守法規的方式傳輸資料。
您意下如何?企業是否有義務保護資料庫中的所有資料 (即使存在虛擬資料庫也一樣),如需存取或共用,只能限於業務用途?或者,您認為企業有資格運用資料深入挖掘更多資訊,並因為行銷用途隨意共用資料嗎?
轉自IPSWITCH中文官方部落格
(本文為2018網路資訊「無邊界網路安全研討會」新竹場之會後報導)
「一提到Ipswitch公司大家第一個想到的是知名網路監控軟體WhatsUp Gold,但我們今天要談的是另一個軟體MOVEit,它是檔案傳輸管理軟體。」為避免誤解Ipswitch 亞太區技術總監Ethan Lin在開場言明今日主題。不可免俗的Ethan Lin簡單介紹了Ipswitch公司,Ipswitch在全球116國設有據點並擁有超過42,000家企業客戶,除少數如格陵蘭、馬達加斯加外幾乎都有Ipswitch的足跡。
今日所談的資安觀念,除了一直建立防禦避免被攻擊外,企業也當從另一層面想,企業要保護的是什麼?關於此在歐盟正式實施嚴格的GDPR後,個資與資訊被視為有價資產已很明顯。因此當以「要保護何種資產?」為中心來建立資安政策,從源頭開始落實防護,主動保護資產而非一味被動抵禦攻擊,企業資安才算完整。
既然企業資訊為有價資產,但這些資訊以各種檔案形式存在於企業中,企業內的成員相互間要分享傳遞檔案,也要與外部的客戶、商業夥伴分享傳遞檔案。而分享傳遞有各種管道與手法,如信件附檔、雲端檔案共享(如Dropbox、Google Drive等)、FTP協定傳送等,甚或是USB隨身碟、NAS。然這些方式均有其風險,稍有不慎即會讓企業的有價資產外洩,因而必須有效地控管但又不失原有的便利性。
針對此一痛點Ipswitch的MOVEit可帶來控管的檔案傳輸,例如對資料進行加密、以自動化排程方式傳遞資料、查核資料的完整性(是否遭竄改)、對內容進行掃描偵測、對檔案傳遞運送進行追蹤記錄,並在出現違規動作時即時發出警訊,或進行分享存取等行為分析。另外MOVEit也支援法遵合規,除前述的歐盟GDPR外,金融業要求的PCI DSS,醫療業要求的HIPPA等均已到位。
除檔案動作行為外MOVEit也提供Secure Folder Sharing功能,可簡單快速地實現安全協同作業,管理上也很簡易,分享的建立既可在企業自有機房亦可在雲端,更重要的是檔案分享傳遞過程均完整記錄,有助於稽核追蹤。
而談及資料夾分享即會有人提及EFSS(Enterprise File Sync and Sharing,泛指企業檔案同步與共享軟體),但Secure Folder Sharing遠比一般EFSS強大,包含內外使用者數目不受限制、告知哪些資料夾可分享、對竄改留下證據記錄等,EFSS除了與Secure Folder Sharing一樣易用外各方面均不若Secure Folder Sharing。
既然MOVEit的目標是在企業檔案的安全防護與傳遞,則必須合乎更多資安標準與技術,如MOVEit合乎FIPS 140-2標準,且MOVEit Transfer(MOVEit成員軟體之一)是以AES 256-bit對稱加密後傳送。
此外MOVEit也有優異的控管功能,包含即時追蹤檔案上傳、下載動向,或透過MOVEit Transfer Live View以掌握檔案傳輸的效能表現與傳遞狀態,如傳遞中、塞車中、傳遞失敗、傳遞完成等。
最後Ethan Lin也透露一個小秘密,整個MOVEit方案最初是為金融業所打造設計,合乎銀行業各種嚴格的安全控管規範,在歷經多年實際歷練考驗後,而今也適合各產業、各種規模的企業導入運用,企業唯有效率運用(傳遞分享)資訊資產同時妥善保護資訊資產,才能讓企業更具競爭力,因應未來機會與挑戰。
轉載自網路資訊http://www.netmag.tw/2018/12/07/ipswitch%E6%9E%97%E9%80%B8%E8%BB%92%EF%BC%9A%E9%81%B5%E5%BE%AAgdpr%E5%8D%B3%E6%98%AF%E4%BF%9D%E8%AD%B7%E4%BC%81%E6%A5%AD%E6%9C%89%E5%83%B9%E8%B3%87%E7%94%A2
協作是現代職場中最重要的特質,不過,實施方式如有不當,協作環境也可能出現安全隱憂。以下說明如何在不降低安全防護程度的前提下增強職場協作能力。
怎麼樣算是健全的職場?隨便問任何一位主管或任何一位工作者,對方的回答或多或少會出現協作這個字眼,或者是「團結合作」這個同義字。
理所當然,不是嗎?要讓辦公室保持氣氛愉快並發揮正常機能,團隊合作是不可或缺的要素,無論如何,一定要優先促進協作。再者,雲端運算技術及能夠協作的文字處理器不斷進步,在日常作業中發揮協作精神越來越簡單。
即便如此,協作模式仍有其缺點,這是非常可惜的事。若未備妥預防措施,開放的協作環境也可能出現安全隱憂—若涉及敏感資料更是如此。
此外請務必留意,敏感資料已經不再限於信用卡號碼及醫療資料這類資訊。我們生活在必須遵守 GDPR 的時代,現在,即使只是一份註明了電話號碼和電子郵件地址的銷售試算表,倘若處理不當,也有可能引發嚴重的法遵及安全問題,招致大額罰金。
如前所述,協作主要的疑慮在於安全資料處理不當,這種情況不但有可能引發安全疑慮,也可能讓人為了法遵問題而焦頭爛額。
現在的人普遍知道安全環境中最弱的一環並不在於防火牆、防毒軟體,也不在於 SIEM。最弱的一環是人。大規模的資料外洩事件總是源自於非常簡單的人為錯誤,人們卻總是重蹈覆轍。有人忘記鎖住儲存了大批敏感資訊的 S3 貯體,有人透過 Google 磁碟分享患者資料,也有人誤入網路釣魚陷阱。事實上,根據Verizon 的 2018 年資料外洩調查報告,相較於因為實際漏洞而遭攻擊,公司行號遭社交攻擊法 (以人為主要目標) 攻擊的機率高三倍以上。
所以,有一點是真實無誤的:只要允許越多人存取及使用敏感資訊,資料外洩的風險就會因越多威脅的存在而成倍增高。
在協作模式普及的時代,BYOD 和雲端運算、影子 IT 已經成為大小型組織共同的困擾。公司防火牆不再如以往是既定的防禦疆界,使用者能運用自己的裝置工作,或是在家工作,因此,除了公司提供的工具之外,使用者難免會尋求其他技術。免費的雲端儲存工具無所不在,更助長了問題的嚴重程度。若有兩名不在公司內部工作的使用者需要分享眾多大型檔案,他們很有可能會先選擇處理私人檔案時所用的工具:Dropbox 或 Google 硬碟。遺憾的是,倘若設定不當,這類工具會成為非常大的安全漏洞,何況,免費版本當然不會遵守嚴格的法遵標準。那麼,該如何避免使用者利用影子 IT 呢?要提供使用者需要的工具。找到能協助使用者完成工作的解決方案,而且要越簡單易用越好,這樣才有助於避免在過程當中出現任何瓶頸。
讓員工透過…安全又符合法律規範的方式協作。歡迎參閱這份免費電子書,深入瞭解相關資訊。
舉例來說,如果使用者需要傳輸大量敏感資料,像 MOVEit 這樣的管理式檔案傳輸解決方案就能讓使用者實現全面掌控,同時又能透過端對端加密和稽核記錄等功能保障安全。
我們已經瞭解了使用者在欠缺資安預防措施的情況下進行協作可能會引發哪些資安風險,不過,這並不表示我們應該徹底杜絕協作模式。那麼,既然不想用限制重重的原則讓員工綁手綁腳,您該如何培養安全的文化呢?
答案就是員工培訓加上根據工作內容找到合適的工具。先談談培訓。
理想情況下,從執行長開始,企業組織中的每一位員工都該接受資安與法遵意識相關培訓。不妨將這類培訓視為預防維護措施。使用者接受的培訓越多、對威脅情資的認識越深,鑄成大錯的可能性就越低。因此,請安排員工培訓課程,讓員工瞭解網路釣魚電子郵件相關知識,同時也讓他們懂得辨別敏感資料,以免透過不安全的管道傳送這類資料。若讓員工瞭解資安與法遵風險,就能降低員工使公司經營陷入困境的可能性。您甚至可以設定假的網路釣魚電子郵件,然後將郵件發給您的員工,再要求最容易輕易點擊這類郵件的員工接受進一步的資安意識培訓。
如果您有充足的資源,就可以自行提供培訓,如果沒有,也可以外包給外部公司行號。使用者對網路安全的認識越深,他們害怕網路安全問題或感到手足無措的可能性就越低。
如果您希望員工能夠透過安全的模式進行協作,一定要提供正確的工具。
只要攸關敏感資料,消費級的檔案共用解決方案就不夠安全。您需要像MOVEit 這樣的管理式檔案傳輸工具,這項工具能夠運用端對端加密技術保障資料在傳輸中及閒置中的安全程度,同時也能讓您運用存取控制和稽核記錄,確實管理能夠存取及傳輸敏感資料的人員。
MOVEit 的共用安全資料夾是一項新功能,可以讓使用者自行建立安全共用資料夾並與網路內外的任何人共用,管理員則能全權控管權限與稽核記錄,因此能夠發揮消除瓶頸的功用。無論用於 Windows 或 MacOS,只要使用共用安全資料夾,輕輕鬆鬆就能透過拖放方式設定靈活的部署選項,除了有助於促進您與內部及外部使用者 (數量不拘) 之間的協作,還兼具 MOVEit 的一切標準安全防護功能,包括防竄改的稽核記錄以及精細的檔案開放權限
–轉載自IPSWITCH 中文官方BLOG
能存取 MFT 解決方案的使用者就有使用權,也清楚知道能將該解決方案運用於哪些用途,這是必然的。不過,這樣的模式未必正確。
由於內部組織發展及 GDPR 等外界規範新制的緣故,安全政策會定期出現變化。照字義解釋,經過核准的使用者就有權管理敏感資訊傳輸作業,不過,安全規定經常更動,若因此認為所有使用者都能隨時清楚最新規定,顯然不切實際。話雖如此,您仍需要找到好的做法,一方面讓所有使用者掌握最新資訊,一方面也要讓他們同意遵守新的安全政策。沒有人希望聽到無意間引發安全漏洞的使用者說:「我不知道這樣做不對!」
想確定使用者都清楚安全政策,在登入時強制要求遵守規定是個有效的方法。使用者必須先勾選核取方塊,表示已經閱畢並同意某項特定的安全政策,之後才能通行無阻。最新版的 MOVEit 2018 就包含這項功能:現在,Ipswitch 客戶可以提醒一般使用者和管理員同意安全 (或任何其他) 政策,也能保留使用者和管理員同意接受政策的證明。
請記住,凡未勾選核取方塊的人,一律不得通行;使用者必須先閱讀政策內容才能登入。使用者只需要進行這個步驟一次,因此,這項措施並不會加重系統負擔。另請注意,除了安全政策外,這種方式也能適用於其他政策 – 管理員可以在這個區塊寫下任何內容。
無論貴組織有哪些具體需求,您都可以擬定一套明確的政策,並且要求使用者同意該項政策。這種方式不但能夠強制實施您自己的資料安全標準(DSS),也能徹底遵循 GDPR 和 HIPAA 之類的規範。此外,您也能夠因此隨時掌握經常更動的規定,因為,只要您更改安全政策,使用者下次登入時就必須同意該項政策。最重要的是,管理員因此能夠確切記錄每位使用者同意的政策,以及使用者同意該項政策的時間,以備因應稽核之需。
無論採行哪一項政策,再也不會出現使用者宣稱「我不知道!」這樣的情況了。您可以出示確切證據,證明使用者確實知情,而且同意遵守。
如需深入瞭解 MOVEit 2018,請在這裡參閱產品專頁這裡。
協作在現代工作場所中至關重要,但如果做得不正確,協作環境也可能是不安全的。以下是如何在不降低安全性的情況下增加工作場所協作的方法。
詢問任何經理或任何工人,他們認為這是健康工作場所的一個要點,你肯定會聽到合作這個詞,或者它是同義詞,團隊合作。
團隊合作對於快樂,實用的辦公室至關重要,增加協作應始終是優先考慮的事項。而且,隨著雲端計算和協作文字處理器的出現,每天進行協作變得更加容易。
但不幸的是,這一切都有不利因素。如果沒有適當的預防措施,開放的協作環境也可能是不安全的 – 特別是在涉及敏感數據的情況下。
值得注意的是,敏感數據不僅僅意味著信用卡號碼和醫療數據等訊息。我們生活在GDPR時代,現在,如果處理不當,即使是包含電話號碼和電子郵件地址的銷售電子表單也會導致大規模的合規性問題,罰款和安全問題。
如上所述,在協作方面,主要關注的是安全數據的不當處理,這可能導致安全問題和合規性問題。
到目前為止,眾所周知,任何安全環境中最薄弱的環節都不是防火牆,防毒或SIEM。這是人民。一次又一次,大數據洩露是由簡單的人為錯誤引起的。人們忘記鎖定充滿敏感信息的S3存儲裝置,人們通過Google雲端硬碟分享患者數據,人們陷入網路釣魚計劃。事實上,根據Verizon公司2018年數據洩露調查報告,企業也超過三倍,可能被成功的社會攻擊(那些以人),比實際的漏洞被擊中。
所以這是一個事實:當您允許更多人訪問和使用敏感訊息時,您將增加數據洩漏的風險,以指數方式抵禦所有這些威脅。
在協作時代,BYOD和雲端計算,Shadow IT對於大大小小的組織來說,這已成為一個長期存在 由於企業防火牆變得不那麼明確,並允許用戶使用自己的設備進行工作或在家工作,他們也可能希望在提供給他們的工具之外使用技術。無處不在的免費云存儲工具只會加劇這個問題。如果兩個在異地工作的用戶需要共享大量大文件,他們的第一選擇可能是轉向他們在私人生活中使用的工具之一:Dropbox或Google Drive。不幸的是,如果設置不當,這些工具可能會非常不安全,而免費版本肯定不符合嚴格的合規標準。那麼如何讓您的用戶遠離Shadow IT?通過為他們提供他們需要的工具。找到一個能夠完成他們需要做的事情的解決方案,
讓員工協作……安全合規的方式。閱讀這本免費電子書以了解如何。
例如,如果您的用戶需要傳輸大量敏感數據,那麼像MOVEit這樣的檔案傳輸管理解決方案可以讓他們掌握自己的功能,同時通過端到端加密和審計跟踪來保持安全性。
因此,我們已經確定了用戶在沒有適當安全預防措施的情況下進行協作時所產生的安全風險,但這並不意味著我們希望徹底遏制協作。那麼,如何在不用限制性政策束縛員工的情況下創造安全文化?
答案是員工培訓和為工作找到合適工具的組合。讓我們從訓練開始吧。
理想情況下,您所在組織的每位員工,即首席執行官,都應該接受一些安全和合規意識培訓。將其視為預防性維護。您使用威脅情報訓練和教育用戶的次數越多,他們犯下代價高昂的錯誤的可能性就越小。因此,培訓您的員工識別網路釣魚電子郵件,並在通過不安全的渠道發送敏感數據之前對其進行識別。如果您讓員工意識到安全性和合規性風險,那麼他們將您的業務置於危險之中的可能性就大大降低。您甚至可以設置虛假的網絡釣魚電子郵件來定位您的員工,並發送最快點擊的員工,以進行進一步的安全意識培訓。
如果您擁有資源,或者在外部公司的幫助下,您可以自己做這件事。您越熟悉用戶的網路安全,他們就越不可能被它們嚇倒或淹沒。
如果您希望您的員工能夠以安全的方式進行協作,那麼您必須為他們提供相應的工具。
在敏感數據方面,消費者級文件共享解決方案根本不會這樣做。您需要一個檔案傳輸管理工具,如MOVEit,它可以保護您的數據,在傳輸和靜止時使用端到端加密,以及訪問控制和審計跟踪,使您可以準確管理允許訪問和傳輸的人員敏感數據。
MOVEit的新安全資料夾共享功能通過讓用戶建立自己的安全共享資料夾來與網路內外的任何人進行協作來消除瓶頸,同時管理員可以完全控制權限和審核日誌。靈活的部署選項可以使安全資料夾共享與在Windows和MacOS上拖放文件夾傳輸一樣簡單,允許與無限的內部和外部用戶進行更多協作,具有MOVEit的所有標準安全功能,包括防篡改審計文件可見性的日誌和細化權限。
在BFSI(銀行,金融服務和保險)行業,選擇管理檔案傳輸解決方案相當簡單,因為單憑FTP不足以滿足必要的法規和合規性要求。
管理檔案傳輸(MFT)軟體是唯一的解決方案,允許在數據傳輸過程的所有節點進行審計跟蹤,無論數據是靜止還是傳輸。當然BFSI公司使用MFT還有其他好處。
消費者需求如何推動數據安全要求?消費者信任在全球市場中是否必要?
涉及銀行,金融和保險的公司必須證明他們能夠以保護所有敏感數據的方式處理個人身份訊息(PII),尤其是金融交易,並允許跨國界的完全可追溯性(鑑於金融處理系統的全球性質) 。
使用MFT,安全性是必須的。在BFSI行業,由於參與組織之間共享財務數據和其他訊息,因此預計會進行文件共享。例如,如果進行信用卡付款,則付款人的銀行,收款人的銀行和信用卡公司都參與其中。實際上,在典型的國際轉移中,可能有幾個額外的銀行涉及電匯。這一切都取決於所涉銀行的工作流程。一家銀行可能有一個區域總部或合作夥伴銀行來處理特定國家的外國轉帳,而這些轉帳又被發送到收件人的當地分支機構。在這一過程中的所有方面,財務數據都受到保護,因此,以防止網路犯罪分子,他們認為BFSI行業是一個有吸引力的目標。
在BFSI中,消費者信任是企業成功的關鍵,如果失去信任,客戶將尋求替代服務提供商。MFT解決方案提供完整的審計跟蹤,並且在數據洩露(通常涉及通知公眾)的情況下,允許組織輕鬆證明他們不對事件負責。使用非託管解決方案無法進行此級別的分析。由於發件人和收件人之間的授權是MFT解決方案的一部分,因此組織可以自信地聲明其流程按預期工作。
無論所涉及的BFSI細分市場如何,在全球市場中,所需的合規性都可以改變銀行業務流程。合規不僅是必不可少的,在許多情況下它是強制性的。這種合規性有所改善,特別是在可能會延遲技術改進直到絕對必要的小型組織中。
有處理PII(數據保護),信用卡交易(PCI-DSS)和其他財務數據的規定。如果一家銀行的交易僅限於該銀行,那會有多容易?不幸的是,金融交易遍布全球,跨越國界和銀行傳輸文件。每家銀行的責任在於遵守其轄區內的標準和法規,通常是他們自己的國家。當交易成為國際交易時,每個國家都有管理其BFSI細分市場的法規,而美國公司則不必擔心其他區域標準。當然,有一個明顯的例外是歐盟的GPDR(一般數據保護條例)保護歐盟居民的權利,包括“被遺忘的權利”和對發生後三天內未通知數據洩露的公司的罰款。所有在歐盟實體存在或與歐盟居民打交道的公司(全球)必須遵守GPDR。
通過託管文件傳輸可以簡化合規性挑戰,因為審計跟踪和報告功能可以立即驗證是否符合法規和標準。
銀行,金融服務提供商和保險公司都需要高度的安全性,因為他們習慣性地受到有財務目標的網路犯罪分子的攻擊。普遍接受的是,在這樣的環境中,單純的FTP是不夠的,因為它無法明確規範組織中數據的完整性從發送者和接收者之間的安全。管理解決方案可以做到甚至更多。
忘了過去的FTP!開始以安全且合規的方式傳輸數據。立即嘗試MOVEit。
銀行(或BFSI部門成員)還需要MFT解決方案嗎?
保持客戶信任的解決方案顯而易見,但有效的MFT解決方案必須包含其他功能。這些包括但不限於:
雖然MFT是銀行和金融領域唯一有效的檔案傳輸解決方案,但最佳實踐表明,FTP流程和工作流程的管理需要IT團隊的指定責任方。這對於確保當前的操作工作流程得到優化並且反過來由MFT準確反映是必要的。可以通過涉及從較低級別員工移除權限來實現優化,例如,通過改善服務中斷的反應時間或通過監視多個站點上的檔案傳輸模式。
總之,所有MFT解決方案都不同,您選擇的解決方案必須補充現有的工作流程,並滿足未來的業務目標。欺詐檢測是此環境中的另一個考慮因素。您的組織是否收集或計劃收集數據集以識別欺詐活動?是否正確處理了所有敏感數據或由第三方處理?考慮所有這些活動,並使用您的結論,為您的組織選擇理想的MFT包。
「內賊難防…」這是 1979 年電影「奪命電話」(When a Stranger Calls) 裡的一句台詞,這部電影的劇情構想是「最可怕的或許就在我們以為最安全的地方」;當時,這句台詞嚇壞了不少觀眾。換個場景來到企業環境,這個說法竟然一點也不違和;資安團隊將重點放在防範外部威脅,包括惡意軟體、網路釣魚詐騙行為,以及勒索軟體攻擊等,卻往往對潛伏於週遭的危機視而不見。
內部資安威脅的普遍程度超乎許多人的想像。根據估計,在所有網路攻擊中,具存取權限者所發動的攻擊就佔了 60%。再者,內部威脅經常是引發外部威脅的禍首。沒有仔細檢查、員工疏失,甚或是惡意行為,這些全都會讓組織暴露在極大的資安風險中。讓員工犯下惡意行為的理由不勝枚舉,箇中緣故可能是對同事或雇主懷恨在心,因而發起攻擊。惡意行為難以預測,解決內部威脅問題自然不容易,而且,稍有不慎便容易擦槍走火。該如何處理這個問題,其實並沒有定論,只能斟酌各種因素,設法找出恰當的解決方式。為協助 IT 團隊防範惡意 (或單純能力不足的) 內部威脅引發安全危機,我們將探討幾項最切實可行的建議。
自家員工列在組織的「威脅記錄」上,這種情況似乎頗不尋常。再者,奉行監控文化的公司容易令員工反感。若過度追蹤往返電子郵件、搜尋瀏覽記錄及裝置記錄,有時充其量不過遭嫌「疑神疑鬼」,但在最糟糕的情況下,有可能因此將成功企業視若磐石的信任基礎消磨殆盡。即便如此,要讓組織免受內部威脅之苦,往往仍需在適度的前提下主動對使用者進行活動監控,以利密切留意任何奇怪或不尋常的行為。
然而,主動監控不見得就得窺伺員工的郵件。反之,您可以運用既有的網路及效能監控工具,妥善維持正常行為及資源使用情形的基準,一旦事情可能出現差錯的時候,您也能夠收到通知。
IT 資安團隊應隨時注意任何不尋常的下載與檔案傳輸活動 (下文會深入討論這一點)。監控對象若是有權存取敏感企業資訊的使用者,這一點更是格外重要。使用者的活動或資源使用量若出現顯著激增的情形,也有可能是惡意活動正在發生的警訊。使用者活動之所以會增加,有時確實有合理的理由,但也可能象徵著更需要留意的問題。有些使用者可能會在家中完成專案,在這種情況下,不應貿然認定這是可疑行為,而有些使用者的工作確實也需要大量使用 GPU 或 CPU。儘管如此,若有員工的活動及資源使用量驟然激增,再加上出現可疑活動,就有密切注意的必要了。
舉例來說,若行銷團隊的某位成員平常負責處理社交媒體相關事務以及安排活動時間,然而,此人所處理的工作突然間佔用了 100% 的 GPU,而且一週七天,每天 24 小時持續如此,其舉動就有可疑之處,也可能代表此人所用的電腦已經遭到入侵了。若使用網路監控工具設定資源使用量基準,就能密切留意異常使用情形,甚至能夠針對超過特定使用量臨界值的情形設定自動警示功能。
免費監控內部資源與雲端資源。下載 WhatsUp Gold!
可靠的活動監控方法能夠適時協調監控功能與迅速反應能力,讓 IT 團隊能夠快速輕鬆地終止 IP 連線、關閉帳戶,以及停止檔案傳輸,以利偵測及預防內部安全漏洞。NetFlow 監控功能也能提醒您留意異常活動。其他重要的活動監控措施包括:一旦發現員工確實在圖謀內部攻擊行為,審慎錄影/錄音以及記錄相關事件。倘若沒有對員工不利的證據,組織就無法向法院提告。
另一點也十分重要:即使員工已經離職,他們所持有的認證仍有可能對公司造成嚴重威脅。資安團隊一定要記得凍結舊帳戶並刪除舊認證,避免讓任何惡意活動找到得逞的機會。遭到資遣或解雇的員工有可能會懷恨在心,因而利用自己的認證攻擊公司系統,此外,也有可能單純只是這類員工的認證遭有心人盜用,如果離職員工曾經將同一組密碼用於多個地方,尤其容易發生這種情形。
設定基準並監控使用情形能幫助您揪出內部威脅或遭到入侵的電腦,但最常發生的內部威脅類型其實純粹是懶惰和疏忽。
在時下的企業環境中,許多業務是在公司以外進行的,不受公司防火牆的束縛,而且,員工往往必須將大量敏感資料傳輸給不受制於公司防火牆的第三方。若未提供安全簡易的管道讓員工傳輸這類資料,員工通常會自己想辦法解決,而他們的解決之道往往就是不安全的電子郵件,更糟的則是使用未經批准的檔案共用應用程式。DropBox 和 Google Drive 就是使用頻率非常高的工具。
若採用安全可靠的管理式檔案傳輸 (Managed File Transfer, MFT) 解決方案,組織就有把握確定收到敏感資料的一定是經過授權的收受方,同時也能讓 IT 團隊發揮監控及擷取所有檔案傳輸活動的能力。選擇對外分享資料所用的 MFT 解決方案時,資安團隊必須斟酌其他任何功能需求,包括帳戶存取權限、報告和警示、防毒整合以及任何其他安全機制。
前文說明得十分清楚,內部威脅是現代企業資安團隊必須正視的重要課題。若能充分理解內部威脅可能引發的風險,IT 團隊就能運用可大幅減輕風險的解決方案做好防備。Ipswitch 的安全檔案傳輸解決方案可以提供簡單易用的傳輸方式,讓使用者能夠捨棄風險較高的傳輸方法,也能在傳輸受保護資料的過程中保障安全及遵循法規。共用安全資料夾是相當方便易用的工具,能夠取代消費級的檔案共用服務。MOVEit Client可供使用者透過 Mac 和 Windows 桌上型電腦進行安全傳輸。MOVEit Ad-Hoc 讓使用者能夠運用 Microsoft Outlook 或網頁瀏覽器安全又輕鬆地傳輸檔案。MOVEit Mobile 適用於在 iOS 或 Android 裝置上進行存取。