MOVEit

如何在不降低安全防護程度的前提下增強協作能力

協作是現代職場中最重要的特質,不過,實施方式如有不當,協作環境也可能出現安全隱憂。以下說明如何在不降低安全防護程度的前提下增強職場協作能力。

怎麼樣算是健全的職場?隨便問任何一位主管或任何一位工作者,對方的回答或多或少會出現協作這個字眼,或者是「團結合作」這個同義字。

理所當然,不是嗎?要讓辦公室保持氣氛愉快並發揮正常機能,團隊合作是不可或缺的要素,無論如何,一定要優先促進協作。再者,雲端運算技術及能夠協作的文字處理器不斷進步,在日常作業中發揮協作精神越來越簡單。

即便如此,協作模式仍有其缺點,這是非常可惜的事。若未備妥預防措施,開放的協作環境也可能出現安全隱憂—若涉及敏感資料更是如此。

此外請務必留意,敏感資料已經不再限於信用卡號碼及醫療資料這類資訊。我們生活在必須遵守 GDPR 的時代,現在,即使只是一份註明了電話號碼和電子郵件地址的銷售試算表,倘若處理不當,也有可能引發嚴重的法遵及安全問題,招致大額罰金。

協作會出現那些安全風險?

如前所述,協作主要的疑慮在於安全資料處理不當,這種情況不但有可能引發安全疑慮,也可能讓人為了法遵問題而焦頭爛額。

現在的人普遍知道安全環境中最弱的一環並不在於防火牆、防毒軟體,也不在於 SIEM。最弱的一環是人。大規模的資料外洩事件總是源自於非常簡單的人為錯誤,人們卻總是重蹈覆轍。有人忘記鎖住儲存了大批敏感資訊的 S3 貯體,有人透過 Google 磁碟分享患者資料,也有人誤入網路釣魚陷阱。事實上,根據Verizon 的 2018 年資料外洩調查報告,相較於因為實際漏洞而遭攻擊,公司行號遭社交攻擊法 (以人為主要目標) 攻擊的機率高三倍以上

所以,有一點是真實無誤的:只要允許越多人存取及使用敏感資訊,資料外洩的風險就會因越多威脅的存在而成倍增高。

避免使用者利用影子 IT

在協作模式普及的時代,BYOD 和雲端運算、影子 IT 已經成為大小型組織共同的困擾。公司防火牆不再如以往是既定的防禦疆界,使用者能運用自己的裝置工作,或是在家工作,因此,除了公司提供的工具之外,使用者難免會尋求其他技術。免費的雲端儲存工具無所不在,更助長了問題的嚴重程度。若有兩名不在公司內部工作的使用者需要分享眾多大型檔案,他們很有可能會先選擇處理私人檔案時所用的工具:Dropbox 或 Google 硬碟。遺憾的是,倘若設定不當,這類工具會成為非常大的安全漏洞,何況,免費版本當然不會遵守嚴格的法遵標準。那麼,該如何避免使用者利用影子 IT 呢?要提供使用者需要的工具。找到能協助使用者完成工作的解決方案,而且要越簡單易用越好,這樣才有助於避免在過程當中出現任何瓶頸。

讓員工透過…安全又符合法律規範的方式協作。歡迎參閱這份免費電子書,深入瞭解相關資訊

舉例來說,如果使用者需要傳輸大量敏感資料,像 MOVEit 這樣的管理式檔案傳輸解決方案就能讓使用者實現全面掌控,同時又能透過端對端加密和稽核記錄等功能保障安全。

主管如何培養安全的協作文化?

我們已經瞭解了使用者在欠缺資安預防措施的情況下進行協作可能會引發哪些資安風險,不過,這並不表示我們應該徹底杜絕協作模式。那麼,既然不想用限制重重的原則讓員工綁手綁腳,您該如何培養安全的文化呢?

答案就是員工培訓加上根據工作內容找到合適的工具。先談談培訓。

理想情況下,從執行長開始,企業組織中的每一位員工都該接受資安與法遵意識相關培訓。不妨將這類培訓視為預防維護措施。使用者接受的培訓越多、對威脅情資的認識越深,鑄成大錯的可能性就越低。因此,請安排員工培訓課程,讓員工瞭解網路釣魚電子郵件相關知識,同時也讓他們懂得辨別敏感資料,以免透過不安全的管道傳送這類資料。若讓員工瞭解資安與法遵風險,就能降低員工使公司經營陷入困境的可能性。您甚至可以設定假的網路釣魚電子郵件,然後將郵件發給您的員工,再要求最容易輕易點擊這類郵件的員工接受進一步的資安意識培訓。

如果您有充足的資源,就可以自行提供培訓,如果沒有,也可以外包給外部公司行號。使用者對網路安全的認識越深,他們害怕網路安全問題或感到手足無措的可能性就越低。

共用安全資料夾簡化檔案共用程序

如果您希望員工能夠透過安全的模式進行協作,一定要提供正確的工具。

只要攸關敏感資料,消費級的檔案共用解決方案就不夠安全。您需要像MOVEit 這樣的管理式檔案傳輸工具,這項工具能夠運用端對端加密技術保障資料在傳輸中及閒置中的安全程度,同時也能讓您運用存取控制和稽核記錄,確實管理能夠存取及傳輸敏感資料的人員。

MOVEit 的共用安全資料夾是一項新功能,可以讓使用者自行建立安全共用資料夾並與網路內外的任何人共用,管理員則能全權控管權限與稽核記錄,因此能夠發揮消除瓶頸的功用。無論用於 Windows 或 MacOS,只要使用共用安全資料夾,輕輕鬆鬆就能透過拖放方式設定靈活的部署選項,除了有助於促進您與內部及外部使用者 (數量不拘) 之間的協作,還兼具 MOVEit 的一切標準安全防護功能,包括防竄改的稽核記錄以及精細的檔案開放權限
–轉載自IPSWITCH 中文官方BLOG

MOVEit 登入作業強制實施安全政策協議

能存取 MFT 解決方案的使用者就有使用權,也清楚知道能將該解決方案運用於哪些用途,這是必然的。不過,這樣的模式未必正確。

由於內部組織發展及 GDPR 等外界規範新制的緣故,安全政策會定期出現變化。照字義解釋,經過核准的使用者就有權管理敏感資訊傳輸作業,不過,安全規定經常更動,若因此認為所有使用者都能隨時清楚最新規定,顯然不切實際。話雖如此,您仍需要找到好的做法,一方面讓所有使用者掌握最新資訊,一方面也要讓他們同意遵守新的安全政策。沒有人希望聽到無意間引發安全漏洞的使用者說:「我不知道這樣做不對!」

可供稽核的管理式檔案傳輸登入免責聲明

想確定使用者都清楚安全政策,在登入時強制要求遵守規定是個有效的方法。使用者必須先勾選核取方塊,表示已經閱畢並同意某項特定的安全政策,之後才能通行無阻。最新版的 MOVEit 2018 就包含這項功能:現在,Ipswitch 客戶可以提醒一般使用者和管理員同意安全 (或任何其他) 政策,也能保留使用者和管理員同意接受政策的證明。

看過新的安全聲明後再登入
看過新的安全聲明後再登入

請記住,凡未勾選核取方塊的人,一律不得通行;使用者必須先閱讀政策內容才能登入。使用者只需要進行這個步驟一次,因此,這項措施並不會加重系統負擔。另請注意,除了安全政策外,這種方式也能適用於其他政策 – 管理員可以在這個區塊寫下任何內容。

自訂安全聲明
自訂安全聲明

無論貴組織有哪些具體需求,您都可以擬定一套明確的政策,並且要求使用者同意該項政策。這種方式不但能夠強制實施您自己的資料安全標準(DSS),也能徹底遵循 GDPR 和 HIPAA 之類的規範。此外,您也能夠因此隨時掌握經常更動的規定,因為,只要您更改安全政策,使用者下次登入時就必須同意該項政策。最重要的是,管理員因此能夠確切記錄每位使用者同意的政策,以及使用者同意該項政策的時間,以備因應稽核之需。

先同意再登入報告
先同意再登入報告

無論採行哪一項政策,再也不會出現使用者宣稱「我不知道!」這樣的情況了。您可以出示確切證據,證明使用者確實知情,而且同意遵守。

如需深入瞭解 MOVEit 2018,請在這裡參閱產品專頁這裡

本文轉載自Ipswitch 中文網站部落格

如何在不降低安全性的情況下增加協同作業

協作在現代工作場所中至關重要,但如果做得不正確,協作環境也可能是不安全的。以下是如何在不降低安全性的情況下增加工作場所協作的方法。

詢問任何經理或任何工人,他們認為這是健康工作場所的一個要點,你肯定會聽到合作這個詞,或者它是同義詞,團隊合作。

團隊合作對於快樂,實用的辦公室至關重要,增加協作應始終是優先考慮的事項。而且,隨著雲端計算和協作文字處理器的出現,每天進行協作變得更加容易。

但不幸的是,這一切都有不利因素。如果沒有適當的預防措施,開放的協作環境也可能是不安全的 – 特別是在涉及敏感數據的情況下。

值得注意的是,敏感數據不僅僅意味著信用卡號碼和醫療數據等訊息。我們生活在GDPR時代,現在,如果處理不當,即使是包含電話號碼和電子郵件地址的銷售電子表單也會導致大規模的合規性問題,罰款和安全問題。

協作會帶來哪些安全風險?

如上所述,在協作方面,主要關注的是安全數據的不當處理,這可能導致安全問題和合規性問題。

到目前為止,眾所周知,任何安全環境中最薄弱的環節都不是防火牆,防毒或SIEM。這是人民。一次又一次,大數據洩露是由簡單的人為錯誤引起的。人們忘記鎖定充滿敏感信息的S3存儲裝置,人們通過Google雲端硬碟分享患者數據,人們陷入網路釣魚計劃。事實上,根據Verizon公司2018年數據洩露調查報告,企業也超過三倍,可能被成功的社會攻擊(那些以人),比實際的漏洞被擊中。

所以這是一個事實:當您允許更多人訪問和使用敏感訊息時,您將增加數據洩漏的風險,以指數方式抵禦所有這些威脅。

讓用戶遠離影子IT

在協作時代,BYOD和雲端計算,Shadow IT對於大大小小的組織來說,這已成為一個長期存在 由於企業防火牆變得不那麼明確,並允許用戶使用自己的設備進行工作或在家工作,他們也可能希望在提供給他們的工具之外使用技術。無處不在的免費云存儲工具只會加劇這個問題。如果兩個在異地工作的用戶需要共享大量大文件,他們的第一選擇可能是轉向他們在私人生活中使用的工具之一:Dropbox或Google Drive。不幸的是,如果設置不當,這些工具可能會非常不安全,而免費版本肯定不符合嚴格的合規標準。那麼如何讓您的用戶遠離Shadow IT?通過為他們提供他們需要的工具。找到一個能夠完成他們需要做的事情的解決方案,

讓員工協作……安全合規的方式。閱讀這本免費電子書以了解如何。

例如,如果您的用戶需要傳輸大量敏感數據,那麼像MOVEit這樣的檔案傳輸管理解決方案可以讓他們掌握自己的功能,同時通過端到端加密和審計跟踪來保持安全性。

管理者如何建立安全的協作文化?

因此,我們已經確定了用戶在沒有適當安全預防措施的情況下進行協作時所產生的安全風險,但這並不意味著我們希望徹底遏制協作。那麼,如何在不用限制性政策束縛員工的情況下創造安全文化?

答案是員工培訓和為工作找到合適工具的組合。讓我們從訓練開始吧。

理想情況下,您所在組織的每位員工,即首席執行官,都應該接受一些安全和合規意識培訓。將其視為預防性維護。您使用威脅情報訓練和教育用戶的次數越多,他們犯下代價高昂的錯誤的可能性就越小。因此,培訓您的員工識別網路釣魚電子郵件,並在通過不安全的渠道發送敏感數據之前對其進行識別。如果您讓員工意識到安全性和合規性風險,那麼他們將您的業務置於危險之中的可能性就大大降低。您甚至可以設置虛假的網絡釣魚電子郵件來定位您的員工,並發送最快點擊的員工,以進行進一步的安全意識培訓。

如果您擁有資源,或者在外部公司的幫助下,您可以自己做這件事。您越熟悉用戶的網路安全,他們就越不可能被它們嚇倒或淹沒。

安全資料夾共享允許輕鬆檔案共享

如果您希望您的員工能夠以安全的方式進行協作,那麼您必須為他們提供相應的工具。

在敏感數據方面,消費者級文件共享解決方案根本不會這樣做。您需要一個檔案傳輸管理工具,如MOVEit,它可以保護您的數據,在傳輸和靜止時使用端到端加密,以及訪問控制和審計跟踪,使您可以準確管理允許訪問和傳輸的人員敏感數據。

MOVEit的新安全資料夾共享功能通過讓用戶建立自己的安全共享資料夾來與網路內外的任何人進行協作來消除瓶頸,同時管理員可以完全控制權限和審核日誌。靈活的部署選項可以使安全資料夾共享與在Windows和MacOS上拖放文件夾傳輸一樣簡單,允許與無限的內部和外部用戶進行更多協作,具有MOVEit的所有標準安全功能,包括防篡改審計文件可見性的日誌和細化權限。

銀行和金融使用(MFT)管理檔案傳輸的好處

在BFSI(銀行,金融服務和保險)行業,選擇管理檔案傳輸解決方案相當簡單,因為單憑FTP不足以滿足必要的法規和合規性要求。

管理檔案傳輸(MFT)軟體是唯一的解決方案,允許在數據傳輸過程的所有節點進行審計跟蹤,無論數據是靜止還是傳輸。當然BFSI公司使用MFT還有其他好處。

消費者需求如何推動數據安全要求?消費者信任在全球市場中是否必要?

涉及銀行,金融和保險的公司必須證明他們能夠以保護所有敏感數據的方式處理個人身份訊息(PII),尤其是金融交易,並允許跨國界的完全可追溯性(鑑於金融處理系統的全球性質) 。

通過託管文件傳輸提高安全性

使用MFT,安全性是必須的。在BFSI行業,由於參與組織之間共享財務數據和其他訊息,因此預計會進行文件共享。例如,如果進行信用卡付款,則付款人的銀行,收款人的銀行和信用卡公司都參與其中。實際上,在典型的國際轉移中,可能有幾個額外的銀行涉及電匯。這一切都取決於所涉銀行的工作流程。一家銀行可能有一個區域總部或合作夥伴銀行來處理特定國家的外國轉帳,而這些轉帳又被發送到收件人的當地分支機構。在這一過程中的所有方面,財務數據都受到保護,因此,以防止網路犯罪分子,他們認為BFSI行業是一個有吸引力的目標

在BFSI中,消費者信任是企業成功的關鍵,如果失去信任,客戶將尋求替代服務提供商。MFT解決方案提供完整的審計跟蹤,並且在數據洩露(通常涉及通知公眾)的情況下,允許組織輕鬆證明他們不對事件負責。使用非託管解決方案無法進行此級別的分析。由於發件人和收件人之間的授權是MFT解決方案的一部分,因此組織可以自信地聲明其流程按預期工作。

全球市場,全球合規

無論所涉及的BFSI細分市場如何,在全球市場中,所需的合規性都可以改變銀行業務流程。合規不僅是必不可少的,在許多情況下它是強制性的。這種合規性有所改善,特別是在可能會延遲技術改進直到絕對必要的小型組織中。

有處理PII(數據保護),信用卡交易(PCI-DSS)和其他財務數據的規定。如果一家銀行的交易僅限於該銀行,那會有多容易?不幸的是,金融交易遍布全球,跨越國界和銀行傳輸文件。每家銀行的責任在於遵守其轄區內的標準和法規,通常是他們自己的國家。當交易成為國際交易時,每個國家都有管理其BFSI細分市場的法規,而美國公司則不必擔心其他區域標準。當然,有一個明顯的例外是歐盟的GPDR(一般數據保護條例)保護歐盟居民的權利,包括“被遺忘的權利”和對發生後三天內未通知數據洩露的公司的罰款。所有在歐盟實體存在或與歐盟居民打交道的公司(全球)必須遵守GPDR。

通過託管文件傳輸可以簡化合規性挑戰,因為審計跟踪和報告功能可以立即驗證是否符合法規和標準。

安全文件傳輸:銀行和金融的挑戰和解決方案

銀行,金融服務提供商和保險公司都需要高度的安全性,因為他們習慣性地受到有財務目標的網路犯罪分子的攻擊。普遍接受的是,在這樣的環境中,單純的FTP是不夠的,因為它無法明確規範組織中數據的完整性從發送者和接收者之間的安全。管理解決方案可以做到甚至更多。

忘了過去的FTP!開始以安全且合規的方式傳輸數據。立即嘗試MOVEit。

銀行(或BFSI部門成員)還需要MFT解決方案嗎?

保持客戶信任的解決方案顯而易見,但有效的MFT解決方案必須包含其他功能。這些包括但不限於:

  • 易於使用 – 儀表板必須是用戶友好介面的,不僅針對IT專業人員。銀行家是銀行業等專家
  • 自定義 -較大的組織需要自定義儀表板和工作流以適應其獨特的環境。
  • 不可否認性 – 證明從來源到目的地的數據完整性的能力。
  • 日誌 -例如,何時訪問數據。
  • 平台和供應商無關 – 無論平台類型如何(iOS,Windows,Unix,Linux等),MFT解決方案都可以部署在任何地方。由於大多數大型組織的IT供應商列表中都有各種品牌/製造商,鎖定單一供應商是要避免的。
  • 正常運行時間(SLA) – 這應至少為99.999%(五個9),但當然取決於周圍的基礎設施和服務提供商。需要較多支援服務的解決方案並不合適
  • 可靠性 – 保證交付,在BFSI設置中尤為重要。
  • 可擴展性 – MFT解決方案處理增加文件大小?該解決方案可以輕鬆推廣到多個用戶和位置嗎?
  • 自動化 -降低運營成本。

雖然MFT是銀行和金融領域唯一有效的檔案傳輸解決方案,但最佳實踐表明,FTP流程和工作流程的管理需要IT團隊的指定責任方。這對於確保當前的操作工作流程得到優化並且反過來由MFT準確反映是必要的。可以通過涉及從較低級別員工移除權限來實現優化,例如,通過改善服務中斷的反應時間或通過監視多個站點上的檔案傳輸模式。

總之,所有MFT解決方案都不同,您選擇的解決方案必須補充現有的工作流程,並滿足未來的業務目標。欺詐檢測是此環境中的另一個考慮因素。您的組織是否收集或計劃收集數據集以識別欺詐活動?是否正確處理了所有敏感數據或由第三方處理?考慮所有這些活動,並使用您的結論,為您的組織選擇理想的MFT包。

用戶使用未經授權的文件傳輸解決方案?立即嘗試MOVEit。

防範內部威脅攻擊您的網路

「內賊難防這是 1979 年電影「奪命電話」(When a Stranger Calls) 裡的一句台詞,這部電影的劇情構想是「最可怕的或許就在我們以為最安全的地方」;當時,這句台詞嚇壞了不少觀眾。換個場景來到企業環境,這個說法竟然一點也不違和;資安團隊將重點放在防範外部威脅,包括惡意軟體、網路釣魚詐騙行為,以及勒索軟體攻擊等,卻往往對潛伏於週遭的危機視而不見。

內部資安威脅的普遍程度超乎許多人的想像。根據估計,在所有網路攻擊中,具存取權限者所發動的攻擊就佔了 60%。再者,內部威脅經常是引發外部威脅的禍首。沒有仔細檢查、員工疏失,甚或是惡意行為,這些全都會讓組織暴露在極大的資安風險中。讓員工犯下惡意行為的理由不勝枚舉,箇中緣故可能是對同事或雇主懷恨在心,因而發起攻擊。惡意行為難以預測,解決內部威脅問題自然不容易,而且,稍有不慎便容易擦槍走火。該如何處理這個問題,其實並沒有定論,只能斟酌各種因素,設法找出恰當的解決方式。為協助 IT 團隊防範惡意 (或單純能力不足的) 內部威脅引發安全危機,我們將探討幾項最切實可行的建議。

主動監控有助防範

自家員工列在組織的「威脅記錄」上,這種情況似乎頗不尋常。再者,奉行監控文化的公司容易令員工反感。若過度追蹤往返電子郵件、搜尋瀏覽記錄及裝置記錄,有時充其量不過遭嫌「疑神疑鬼」,但在最糟糕的情況下,有可能因此將成功企業視若磐石的信任基礎消磨殆盡。即便如此,要讓組織免受內部威脅之苦,往往仍需在適度的前提下主動對使用者進行活動監控,以利密切留意任何奇怪或不尋常的行為。

然而,主動監控不見得就得窺伺員工的郵件。反之,您可以運用既有的網路及效能監控工具,妥善維持正常行為及資源使用情形的基準,一旦事情可能出現差錯的時候,您也能夠收到通知。

別讓業務資料落入有心人之手。下載這份免費電子書。

IT 團隊該留意什麼?

IT 資安團隊應隨時注意任何不尋常的下載與檔案傳輸活動 (下文會深入討論這一點)。監控對象若是有權存取敏感企業資訊的使用者,這一點更是格外重要。使用者的活動或資源使用量若出現顯著激增的情形,也有可能是惡意活動正在發生的警訊。使用者活動之所以會增加,有時確實有合理的理由,但也可能象徵著更需要留意的問題。有些使用者可能會在家中完成專案,在這種情況下,不應貿然認定這是可疑行為,而有些使用者的工作確實也需要大量使用 GPU 或 CPU。儘管如此,若有員工的活動及資源使用量驟然激增,再加上出現可疑活動,就有密切注意的必要了。

舉例來說,若行銷團隊的某位成員平常負責處理社交媒體相關事務以及安排活動時間,然而,此人所處理的工作突然間佔用了 100% 的 GPU,而且一週七天,每天 24 小時持續如此,其舉動就有可疑之處,也可能代表此人所用的電腦已經遭到入侵了。若使用網路監控工具設定資源使用量基準,就能密切留意異常使用情形,甚至能夠針對超過特定使用量臨界值的情形設定自動警示功能。

免費監控內部資源與雲端資源。下載 WhatsUp Gold

可靠的活動監控方法能夠適時協調監控功能與迅速反應能力,讓 IT 團隊能夠快速輕鬆地終止 IP 連線、關閉帳戶,以及停止檔案傳輸,以利偵測及預防內部安全漏洞。NetFlow 監控功能也能提醒您留意異常活動。其他重要的活動監控措施包括:一旦發現員工確實在圖謀內部攻擊行為,審慎錄影/錄音以及記錄相關事件。倘若沒有對員工不利的證據,組織就無法向法院提告。

另一點也十分重要:即使員工已經離職,他們所持有的認證仍有可能對公司造成嚴重威脅。資安團隊一定要記得凍結舊帳戶並刪除舊認證,避免讓任何惡意活動找到得逞的機會。遭到資遣或解雇的員工有可能會懷恨在心,因而利用自己的認證攻擊公司系統,此外,也有可能單純只是這類員工的認證遭有心人盜用,如果離職員工曾經將同一組密碼用於多個地方,尤其容易發生這種情形。

管理式檔案傳輸、電子郵件以及安全資料傳輸

設定基準並監控使用情形能幫助您揪出內部威脅或遭到入侵的電腦,但最常發生的內部威脅類型其實純粹是懶惰和疏忽。

在時下的企業環境中,許多業務是在公司以外進行的,不受公司防火牆的束縛,而且,員工往往必須將大量敏感資料傳輸給不受制於公司防火牆的第三方。若未提供安全簡易的管道讓員工傳輸這類資料,員工通常會自己想辦法解決,而他們的解決之道往往就是不安全的電子郵件,更糟的則是使用未經批准的檔案共用應用程式。DropBox 和 Google Drive 就是使用頻率非常高的工具。

若採用安全可靠的管理式檔案傳輸 (Managed File Transfer, MFT) 解決方案,組織就有把握確定收到敏感資料的一定是經過授權的收受方,同時也能讓 IT 團隊發揮監控及擷取所有檔案傳輸活動的能力。選擇對外分享資料所用的 MFT 解決方案時,資安團隊必須斟酌其他任何功能需求,包括帳戶存取權限、報告和警示、防毒整合以及任何其他安全機制。

Ipswitch 的安全管理式檔案傳輸有何助益

前文說明得十分清楚,內部威脅是現代企業資安團隊必須正視的重要課題。若能充分理解內部威脅可能引發的風險,IT 團隊就能運用可大幅減輕風險的解決方案做好防備。Ipswitch 的安全檔案傳輸解決方案可以提供簡單易用的傳輸方式,讓使用者能夠捨棄風險較高的傳輸方法,也能在傳輸受保護資料的過程中保障安全及遵循法規。共用安全資料夾是相當方便易用的工具,能夠取代消費級的檔案共用服務。MOVEit Client可供使用者透過 Mac 和 Windows 桌上型電腦進行安全傳輸。MOVEit Ad-Hoc 讓使用者能夠運用 Microsoft Outlook 或網頁瀏覽器安全又輕鬆地傳輸檔案。MOVEit Mobile 適用於在 iOS 或 Android 裝置上進行存取。

Microsoft + Ipswitch 我們的聯合價值主張

Ipswitch 和 Microsoft 將延續彼此在歐洲、中東、非洲地區成功的合作經 驗,積極擴大雙方的共同銷售 ISV 合作業務,以利進一步提升 MOVEit® 安 全檔案傳輸與 Microsoft 的商機。

若您同時身兼 Microsoft 合作夥伴及 Ipswitch 合作夥伴兩種身分,這項 聯盟措施將協助您為客戶提供最優秀的解決方案組合,您也可望因此提 高經銷規模,進一步提升事業價值。

以下概述 Microsoft 與 Ipswitch 聯合價值主張:

• MOVEit® 能夠傳輸大量檔案,甚至超越最嚴格的資安標準。

• 密切整合 Microsoft 0365,帶給使用者熟悉的業務工作流程 與使用者介面。

• 部署選項十分靈活,包括可在 Azure 部署 SaaS 和 IaaS, 能發揮高可用性、備援能力以及永續發展能力。

• MOVEit® 配合以下 Microsoft 上市主題:GDPR、安全與法 遵、智慧桌面 (Modern Desktop)、數位轉型,以及協同 作業。

如需詳細資訊,請參閱以下資源:

Ipswitch 與 Microsoft 聯合協作資料

通訊檔案傳輸與資料安全電子書 (Microsoft MVP 提供)

英國航空違反 GDPR 了嗎?

全球公司都在焦急等待,想知道誰會成為 GDPR 監管規定新制殺雞儆猴的對象。按照 GDPR 規定,凡違反監管規定的事業體,除須繳納巨額罰金外,也難逃民事訴訟。

GDPR 自 2018 年 5 月 25 日起開始實施,而在此數月甚至數年之前,許多公司行號早已開始準備因應各項新規定的施行。目前甚至仍有許多企業努力迎頭趕上,以免因資料外洩或未通過稽核而受罰。然而,目前仍有許多攸關 GDPR 的細節懸而未決。即便如此,如有任何事業體需要操作及處理歐盟居民的個人資料,仍有義務遵守 GDPR 法規。

哪一家公司將成為 GDPR 規定殺雞儆猴的對象?

眾所皆知,出現第一批違反 GDPR 規定的公司行號並進行相關調查及法律訴訟之後,才能斷定 GDPR 的施行成效。現在似乎已經出現了第一間違反 GDPR 規定的知名公司:英國航空公司 (British Airways)。

第一間違反 GDPR 規定並成為媒體關注焦點的知名公司出自航空業,這一點不足為奇。多年來,航空業的網路資安始終為人詬病。眾所皆知,航空業多半靠微薄的淨利率苦苦經營,因此,資料安全防護向來不是高階主管在乎的第一要務。

據航空業前員工及資安專業人員所述,有些航空公司直到現在仍在使用已經用了 30 多年的系統,也運用這些系統連上更新穎的網路服務。航空業的問題癥結仍然在於舊型系統 (尤其是用於處理客戶個人資料的系統)。

航空業最重視的始終是盈虧,但現在這個產業也不得不迫於時勢所趨,必須更加重視資安相關議題。

力求遵循 GDPR 規定。下載這份免費指南。

歐盟會制裁違反 GDPR 規定的英國航空嗎?

就在這個月,英國航空發生了大規模資料外洩事故,波及 380,000 筆交易。外洩的資料包括在 2018 年 8 月至 9 月間曾經與該航空公司交易之客戶的詳細財務資訊。

施行 GDPR 的理由正是要厲行資料外洩罰則。舉凡經營據點設於歐盟境內的公司,現在無不面臨艱難處境,一旦個人資料出現漏洞,一切作為 (或無作為) 都將接受調查。倘若公司違反 GDPR 規定,最高罰金可能高達年營業額的 4%,代價可謂慘重,甚至可能令公司陷入財務危機。對 BA 這樣的大型公司而言,這樣的懲處也許不算高,但中小型企業一旦違反規定,恐怕就在劫難逃了。

由於 BA 在發生外洩事故後即刻通報,甚至在報紙上刊登廣告,設法提高這個問題的曝光率。企業能採取這樣的反應措施相當值得稱許,而這著棋或許能夠阻止政府官員依據 GDPR 展開調查。不過,事實證明 BA 確實清楚自家公司的網頁應用程式早在多年前就出現了漏洞。光憑這一點,確實就有必要展開徹底調查,也應該這麼做。最起碼,應該要趁著這個機會證明 GDPR 的施行成效

相關文章:詳細解讀 GDPR 的資料保護原則,第二部分:目的限制與資料最小化

英國航空能躲過嚴格審查嗎?

大多數公司行號所能做的,就是密切關注 BA 是否會成為 GDPR 殺雞儆猴的對象。截至目前為止,是否會發生此事、會發生什麼情況,一切仍是未知數。

重點在於 BA 並不是唯一一家發生這類資料外洩事故的企業。達美航空 (Delta Airlines) 在今年 4 月份就發生過類似的資料外洩事故。TicketMaster UK 也一樣。若 GDPR 在當時已經生效,達美航空和 TicketMaster UK 或許早已因為違反 GDPR 而受罰。

原來,之所以會發生這類資料外洩事故,往往是因為使用第三方指令碼執行收集付款資訊的網站電子商務活動。依據過去調查網頁盜刷讀卡機類似案件所掌握的證據,這種情況的罪魁禍首似乎指向 Magecart 集團的駭客。

過去一段時間,RiskIQ 經常針對這類供應鏈攻擊手法的使用情形提出相關報告。您可以參閱他們所做的 BA 事故完整分析

公司行號應不應該在自家網站使用第三方指令碼?

在網站上使用第三方程式碼、指令碼、工具或外掛程式有助於提升開發速度。這是很普遍的做法,也能發揮許多優點,不過,若要實作任何第三方程式碼 (尤其是用於需要處理及操作個人資料的網站時),公司行號應格外謹慎。使用第三方程式碼讓網頁開發人員不需要自行編寫及測試程式碼,因此大大減輕其工作負擔。但是,許多公司會使用久未更新 (甚至不再受到支援) 的第三方指令碼和外掛程式。

您該不該全面避用第三方指令碼?該怎麼做才好,其實取決於應用方式,不過,由於這類工具和指令碼引發的供應鏈攻擊事件越來越多,自然有必要額外確認這類指令碼的安全程度。具體而言,免費的開放原始碼工具雖然很好,也有助於控制預算,但倘若您要開發需處理個人資料的網站,最好還是改與會定期更新程式碼及外掛程式的廠商合作。

目前我們只能觀察主管機關會如何處理 BA 資料外洩事故,但那並不表示我們不能趁著此時此刻做好安全防護措施。

銀行與金融服務在安全與法規遵循方面的注意事項

安全的檔案傳輸管理

安全的檔案傳輸管理 (Secure Managed File Transfer) 系統能夠以安全、準確、精密 控管並詳實記錄的方式進行外部資料傳輸,因此有助於因應現階段及未來可能會 採行的各種法律及規管措施。此類系統讓金融機構得以在傳送資料時收到回條, 還能運用廣泛的追蹤與稽核功能遵守 GLB、PCI DSS、SOX、GDPR 及其他州、 省或全國法規。

評估安全的檔案傳輸管理系統或替代方案時,您應該從機密性、完整性、可用性 以及稽核這四種類別的功來深入瞭解這些服務的效能優劣。

  1. 機密性能夠確保唯有獲得授權的人員能夠在經過核准的前提下使用資訊。確保機 密性的基礎在於驗證登入認證資訊,以及運用定期失效的帳戶及密碼管理等功能 來施行有力的密碼政策。存取控制包括要求所有連線一律支援採用 256 位元 AES SSL 加密與 TLS。而這種存取控制等級應強制套用於所有連上貴組織網路基礎架 構的用戶端。
  2. 完整性是指確保能夠運用完整的 SHA 支援來持續提供所有正確的資料,避免出 現漏洞。安全的加密資料傳輸是確保業務永續發展的重要關鍵。安全雜湊演算法 能夠確保檔案不會在傳輸過程中出現漏洞,也能確保原始檔案和目的地檔案完全 一致。不可否認性技術利用加入數位憑證管理的方式進行安全傳輸與資料加密, 讓資料安全性達到現階段最高的等級。
  3. 可用性可以透過負載平衡和叢集架構達成,這種方式支援自動容錯移轉及集中儲 存組態資料,因此能夠將資料出現漏洞的機率降到最低。這種方式也有助於防範 分散式的拒絕服務攻擊。若在解決方案中加入檢查點重新啟動及加強功能,藉以 克服硬體故障或網際網路連線中斷等問題,將同樣有助於確保可用性。
  4. 稽核能夠提供完整的記錄功能及防竄改證據安全措施,因此能夠保障記錄檔的完整性。基於技術、安全及其他稽核目的,應將所有用戶端/伺服器的互動與管理 措施完整記錄下來。

Ipswitch® MOVEit 的法規遵循功能

MOVEit® 是一種安全的檔案傳輸管理系統,能夠讓您在與外界交換敏感性資料時進行管 理、檢視、保護以及控制,徹底遵守資料保護方面的規範。下表說明 MOVEit 如何一一因應遵守資料保護法規的七項核心最佳實務。

安全規定

MOVEit 控制

法規遵循

MOVEit 有助於保障檔案傳輸安全、全程保護資料,以及將傳輸記錄 妥善保存在防竄改的稽核記錄中,直到法律規定的期限結束之後再進行安全銷毀。

通訊安全

MOVEit 可用於集中查看、控制以及事先授權所有檔案傳輸,還能確 保傳輸方面的加密、記錄追蹤與不可否認性,包括重大事件的安全稽 核記錄。MOVEit 的架構基礎是整合現有的安全性基礎架構、政策與 應用程式,確保 DMZ 中沒有任何未加密的資料,並且完全不需要透過外部存取。

資訊安全政策

MOVEit 無時無刻不加密檔案,因此具有不可否認性,而且能夠進行 檔案完整性檢查。Ipswitch 提供電子郵件、網路、行動存取以及桌上 型用戶端,只要搭配 MOVEit 就能讓所有使用者進行符合規範的檔案傳輸。

存取控制

MOVEit 提供多樣化的驗證機制 (包括整合現有系統),還有豐富的使 用者存取管理支援功能 (包括黑名單和白名單),同時也提供許多工具,能夠協助管理員根據安全政策選擇最適當的設定。

密碼演算法

MOVEit 採用強大的密碼演算法機制和安全選項、加密和解密金鑰散 佈與保護措施,和國際法規的要求一致。

實體與環境安全

MOVEit 能夠在實行方面發揮彈性,有助於確保遵守當地的實體安全 規定。

業務永續發展安全

MOVEit 能夠在發生故障、災難或中斷問題時全程保障檔案傳輸各階 段的機密性、完整性以及可用性。Ipswitch Failover 能夠確保檔案傳 輸處理不中斷。

本文完整內容請參閱 WP_FT_Security-and-Compliance-Finance_TW.pdf

Ipswitch 本季發佈多項產品的更新程式2018Q4

Ipswitch 發佈多項產品的更新程式,更新的產品如下包括:

MOVEit 2018 Service Pack 2 – 2018 年 10 月 30 日發佈:

  • 增加新的 MOVEit 傳輸即時檢視監控工具 (MOVEit Transfer Live View Monitor),能即時顯示進行中以及最近完成的檔案傳輸活動與指標
  • 增加新的 MOVEit 自動作業資訊主頁 (MOVEit Automation Dashboard),能顯示最近的活動與系統指標
  • 支援 Azure SQL 資料庫
  • 可供稽核的免責聲明,內容記錄由客戶界定的原則 (需勾選核取方塊並簽名同意)
  • 增加 REST API 端點,以及其他錯誤與安全性修正程式

WhatsUp Gold 2018 Service Pack 3 – 2018 年 10 月 26 日發佈:

  • 增加新的應用程式效能監控 (Application Performance Monitoring, APM) 重疊顯示功能,看一眼就能清楚掌握監控中應用程式的狀態
  • 增加新的裝置卡 APM 介面,按一下就能進入 APM 資訊主頁及使用控制功能
  • 增加新的裝置卡 (Device Card),能顯示網路流量監控 (Network Traffic Monitoring, NTA) 資訊,其中包括流量最大的 5 項程式與對話,另外也提供按一下就能使用 NTA 的功能
  • 加強控制功能,更有助於在探索階段指定每一個裝置介面/連接埠的監控程式
  • 重新設計裝置群組迷你狀態 (Device Group Mini Status) 的顯示功能,以利增進使用便利性
  • 支援 Cisco Meraki 防火牆與 Cisco Meraki Security Appliance
  • 能直接在管理主控台中執行可執行檔
  • 支援建立 OpsGenie 事件

WS_FTP Pro 12.7 – 2018 年 11 月 16 日發佈:

  • 更新 Visual Studio 2017
  • 支援 OpenSSL 1.0.2n
  • Zlib 取代 Info-Zip
  • 其他錯誤與安全性修正程式

凡持有效服務協議的客戶,皆可自 Ipswitch 社群下載以上所有更新程式進行免費升級。

如對於以上任何發佈資訊或升級方式有任何疑問,請與我們聯絡,我們十分樂意提供協助。