國家資通安全會報技術服務中心
資安人科技網
2018台灣資安大會
行動應用資安聯盟
趨勢科技白帽菁英養成計畫- 資安學習與交流、活動贊助
安碁資訊股份有限公司
駭客書院
物聯網資安
互聯安睿資通股份有限公司
阿瑪證點
關貿網路股份有限公司
盧氪賽忒
檢查資安威脅五步驟建議:
1.制定基本安全使用規範,包含使用角色、裝置、地點和環境。2.從應用程式、裝置到網路,為敏感性資訊提供強制規定。
3.衡量與監控使用者行為。
4.員工訓練。
5.採取服務層級協議(SLA)來管理員工意見和需求,改善安全政策的效益。
Google從5個面向控管員工的資訊安全:
- 首先是用戶端的安全更新,張善政表示,Google員工全部不用微軟的作業系統,只允許使用Linux和Mac OS等兩種,「而且每一種作業系統要升級或進行程式修補時,都必須先經過Google內部認證後才能進行。」至於主機端的作業系統和應用程式都是Google自家開發的產品,無涉員工資安。
- 第二點便是落實網路監控。張善政認為,企業監控自家公司和員工的網路,是一種負責任的行為,唯有落實網路監控,才知道哪些現象是屬於網路異常現象,才能加以改善或阻擋。
- 第三點則是,預防DDoS(分散式阻斷式服務)攻擊。他說,Google是網路服務提供業者,對外的網站就是Google首頁,為了避免Google的網站和搜尋服務遭到駭客發動DDoS攻擊,該公司不斷擴充網路的頻寬與流量。張善政表示,截至目前為止,駭客若要對Google發動DDoS攻擊,難度頗高。
- 第四點,善用App控管員工手機。張善政表示,Google有配發公務手機給公司主管,為了避免手機遺失後造成的機敏資料外洩,Google要求使用公務手機的員工,都必須安裝手機裝置管理App(如:Device Policy),公司則建立相關控管伺服器,手機一旦遺失,便可以透過伺服器遠端鎖定或刪除手機中的資料。
- 第五點則是控管員工筆記型電腦的作業系統版本。張善政指出,除了使用的作業系統版本外,Google還限制員工在筆記型電腦上可以安裝的應用程式與版本控管,以確保其安全性
攻擊方式
IBM則認為勒索軟體會朝大量攻擊發展,而以IoT設備為目標,用低於重新購買聯網設備的較少贖金對受害者進行勒索。Fortinet甚至提到雲端服務商可能成為勒索病毒的攻擊對像,因為其雲端服務的特性將會造成大量企業與客戶的營運中斷,而藉此讓駭客獲得巨額的報酬。
案例
- 2016年底Dropbox爆發高達6800 萬用戶帳密被盜
- 2017年Yahoo坦承有30億用戶資料遭竊,而全球最大共享圖片網站
- Imgur,亦發生遭駭客入侵事件,導致高達近170萬用戶資料外流。
- 聯想電腦(Lenovo)曾經替剛出廠的筆電偷偷安裝Superfish。Superfish是一個惡名昭彰的廣告軟體,會綁架用戶的瀏覽器。更糟的是Superfish有安全性漏洞,能夠冒充合法網站的SSL憑證,駭客便可藉此入侵用戶裝置,危險至極。聯想電腦(Lenovo)曾經替剛出廠的筆電偷偷安裝Superfish。Superfish是一個惡名昭彰的廣告軟體,會綁架用戶的瀏覽器。更糟的是Superfish有安全性漏洞,能夠冒充合法網站的SSL憑證,駭客便可藉此入侵用戶裝置,危險至極。
20080502
台灣的資安公司以技術面來說分成兩類:
第一類為擁有自有品牌,並具有研發技術,例如威播。
第二類為系統整合廠商,提供各類資安服務與產品代理,例如數聯資安,敦陽等。
數聯、敦陽的資安是顧問服務為主,產品代理跟顧問服務分開,非同部門,會去做像公家機關"攻防演練"外包案,或去把客戶資料庫資料挖出來證明系統有漏洞,有能力研究應用層以上的系統弱點,包括系統面或程式面。
精誠比較偏產品代理。
數聯基礎是從台灣ISS來,不過那票人大多自立門戶去了,目前敦新領先。
若以管理類來說,過去熱的資訊安全管理系統(ISMS)主要把持在四大會計師事務所。
台灣的資安公司之研發主要在Anti-SPAM/accesscontrol/IDS等,大多數是應用層上的防護,網路層以下的都被網通業者做掉(D-Link/Zyxel),網路層像文佳、新軟、居易、俠諾,差別是國外的廠商有ASIC加持(晶片研發),台灣的產品大多只在刻software。D-Link是找代工來貼牌,ZyXEL有可能是投資其它新創公司取得技術。
從供給面來看,資安產品這兩年並沒有太大的突破,這兩年web security是比較熱門,而管理面也由於前幾年的過熱,而在這兩年轉淡,而對於政府與企業主來說,近來並沒有重大的資安事件激勵大規模的採購,因此台灣的資安市場無法有爆炸性的成長,而國外的市場台灣也很難打入在這樣的環境下,資安人員的薪資也不會有令人太高的期待,如果到一個level,像是資安顧問業,那麼這不是問題,不需聘業務,案子自己會來,如果是當SI的設備技術工程師,賺得就比較辛苦,web security炒很熱,其實也是為了賣設備,但設備畢竟只可遠觀(價格問題),而資安顧問合約已經是大企業的基本支出。最後,過去許多產品或口號喊的震天響,能生存的屈指可數,例如PKI,SOC等。
簡報下載
No comments:
Post a Comment