資訊安全相關網站

國家資通安全會報技術服務中心

資安人科技網

2018台灣資安大會

行動應用資安聯盟

趨勢科技白帽菁英養成計畫- 資安學習與交流、活動贊助
安碁資訊股份有限公司

駭客書院

物聯網資安
互聯安睿資通股份有限公司
阿瑪證點
關貿網路股份有限公司
盧氪賽忒

檢查資安威脅五步驟建議：

1.制定基本安全使用規範，包含使用角色、裝置、地點和環境。

2.從應用程式、裝置到網路，為敏感性資訊提供強制規定。

3.衡量與監控使用者行為。

4.員工訓練。

5.採取服務層級協議(SLA)來管理員工意見和需求，改善安全政策的效益。

Google從5個面向控管員工的資訊安全：

• 首先是用戶端的安全更新，張善政表示，Google員工全部不用微軟的作業系統，只允許使用Linux和Mac OS等兩種，「而且每一種作業系統要升級或進行程式修補時，都必須先經過Google內部認證後才能進行。」至於主機端的作業系統和應用程式都是Google自家開發的產品，無涉員工資安。
• 第二點便是落實網路監控。張善政認為，企業監控自家公司和員工的網路，是一種負責任的行為，唯有落實網路監控，才知道哪些現象是屬於網路異常現象，才能加以改善或阻擋。
• 第三點則是，預防DDoS（分散式阻斷式服務）攻擊。他說，Google是網路服務提供業者，對外的網站就是Google首頁，為了避免Google的網站和搜尋服務遭到駭客發動DDoS攻擊，該公司不斷擴充網路的頻寬與流量。張善政表示，截至目前為止，駭客若要對Google發動DDoS攻擊，難度頗高。
• 第四點，善用App控管員工手機。張善政表示，Google有配發公務手機給公司主管，為了避免手機遺失後造成的機敏資料外洩，Google要求使用公務手機的員工，都必須安裝手機裝置管理App（如：Device Policy），公司則建立相關控管伺服器，手機一旦遺失，便可以透過伺服器遠端鎖定或刪除手機中的資料。
• 第五點則是控管員工筆記型電腦的作業系統版本。張善政指出，除了使用的作業系統版本外，Google還限制員工在筆記型電腦上可以安裝的應用程式與版本控管，以確保其安全性

攻擊方式

IBM則認為勒索軟體會朝大量攻擊發展，而以IoT設備為目標，用低於重新購買聯網設備的較少贖金對受害者進行勒索。
Fortinet甚至提到雲端服務商可能成為勒索病毒的攻擊對像，因為其雲端服務的特性將會造成大量企業與客戶的營運中斷，而藉此讓駭客獲得巨額的報酬。

案例

• 2016年底Dropbox爆發高達6800 萬用戶帳密被盜
• 2017年Yahoo坦承有30億用戶資料遭竊，而全球最大共享圖片網站
• Imgur，亦發生遭駭客入侵事件，導致高達近170萬用戶資料外流。
• 聯想電腦（Lenovo）曾經替剛出廠的筆電偷偷安裝Superfish。Superfish是一個惡名昭彰的廣告軟體，會綁架用戶的瀏覽器。更糟的是Superfish有安全性漏洞，能夠冒充合法網站的SSL憑證，駭客便可藉此入侵用戶裝置，危險至極。聯想電腦（Lenovo）曾經替剛出廠的筆電偷偷安裝Superfish。Superfish是一個惡名昭彰的廣告軟體，會綁架用戶的瀏覽器。更糟的是Superfish有安全性漏洞，能夠冒充合法網站的SSL憑證，駭客便可藉此入侵用戶裝置，危險至極。

20080502
台灣的資安公司以技術面來說分成兩類：
第一類為擁有自有品牌，並具有研發技術，例如威播。
第二類為系統整合廠商，提供各類資安服務與產品代理，例如數聯資安，敦陽等。

數聯、敦陽的資安是顧問服務為主，產品代理跟顧問服務分開，非同部門，會去做像公家機關"攻防演練"外包案，或去把客戶資料庫資料挖出來證明系統有漏洞，有能力研究應用層以上的系統弱點，包括系統面或程式面。
精誠比較偏產品代理。

數聯基礎是從台灣ISS來，不過那票人大多自立門戶去了，目前敦新領先。

若以管理類來說，過去熱的資訊安全管理系統(ISMS)主要把持在四大會計師事務所。

台灣的資安公司之研發主要在Anti-SPAM/accesscontrol/IDS等，大多數是應用層上的防護，網路層以下的都被網通業者做掉(D-Link/Zyxel)，網路層像文佳、新軟、居易、俠諾，差別是國外的廠商有ASIC加持(晶片研發)，台灣的產品大多只在刻software。D-Link是找代工來貼牌，ZyXEL有可能是投資其它新創公司取得技術。

從供給面來看，資安產品這兩年並沒有太大的突破，這兩年web security是比較熱門，而管理面也由於前幾年的過熱，而在這兩年轉淡，而對於政府與企業主來說，近來並沒有重大的資安事件激勵大規模的採購，因此台灣的資安市場無法有爆炸性的成長，而國外的市場台灣也很難打入在這樣的環境下，資安人員的薪資也不會有令人太高的期待，如果到一個level，像是資安顧問業，那麼這不是問題，不需聘業務，案子自己會來，如果是當SI的設備技術工程師，賺得就比較辛苦，web security炒很熱，其實也是為了賣設備，但設備畢竟只可遠觀(價格問題)，而資安顧問合約已經是大企業的基本支出。最後，過去許多產品或口號喊的震天響，能生存的屈指可數，例如PKI，SOC等。

簡報下載