重視弱點管理 強化系統安全

主講人：陳惠群博士日　期： 2015/4/21

CISM® CISSP® CSSLP®CEH™ ECSA ™ LPT ™

2

善攻者 敵不知其所守

3

APT 駭客的計劃和技術駭客或滲透測試專家不一樣 !– 滲透測試專家通

常受到很多限制– 技術駭客通常很

快放棄現有目標，移至下個目標

善攻者 -APT 駭客

攻擊手法

社交工程

利用系統漏洞

植入惡意程式

實體入侵

攻擊行動裝置

攻擊儲存媒介

4

社交工程

鎖定目標攻擊防禦難度提高

5

系統漏洞與惡意程式

系統漏洞來不及補惡意程式防不勝防

6

81% 的機構不知被駭 ( 趨勢科技 APT 白皮書 -2013)

–54% 由外部單位告知， 27% 透過檢測– 平均入侵時間

• 高科技業： 346 天• 金融業： 275 天• 政府機關： 264 天

– 最長入侵時間高達 1,019 天–13% 在 ( 社交工程 ) 開始攻擊時發現問題–10% 在 ( 惡意程式 ) 潛伏活動時發現問題

只有已被駭和不知被駭 ?

7

減少社交工程攻擊成功的機會– 明確的政策和程序– 加強資安意識訓練– 加強社交工程演練

主動發現惡意程式活動– 端點惡意程式檢測– 網路惡意活動檢視

至少要及時知道被駭

8

知己知彼 百戰不殆

9

弱點 補救攻擊Prediction/Prevention Reaction/Remediation

Risk Management, Compliance Management,

Vulnerability Management, Configuration Management

Log Management, SIEM, Incident Management

Network & Application Anomaly Detection.

有那些內部和外部的威脅？

目前配置，是否可以防止這些威脅？

目前發現了那些安全事件？

該事件會造成什麼影響？

可視化管理

事件管理

配置管理

弱點管理

風險管理

積極的資安管理

積極的資安管理

10

善守者 - 對症下藥

威脅惡意

科技

實體

環境

運作

天災

弱點人員

技術

程序

設備

資料

防禦身份驗證存取控制組態管理人員保護媒體保護實體保護事件回應持續計劃

資訊完整性安全認知訓練

…

資產

員工

資訊

財產

商譽

依照風險程度 ( 資產 x 威脅 x 弱點 ) ，評估及加強防禦強度

找出弱點

修補弱點

確認修復

弱點掃描滲透測試社交工程合規檢視

11

弱點管理反映資安現況

金融機構辦理電腦系統資訊安全評估辦法

弱點人員技術程序設備資料

弱點

對策

威脅

資產

12

定期弱點掃描的問題

掃描 修補 掃描

未知弱點空窗期

已知弱點空窗期

2014 年前五名的 Zero-Days ，直到原廠提供修補平均 59 天Symantec, 2015

13

持續掃描與監控

實體安全

網路及主機安全：持續監控

應用系統安全：持續檢測

資料安全

14

資訊安全防禦架構

程序

政策

稽核

15

安全發展應用系統

Design

AgileMethodolog

y

Requirement

Management

Domain Driven

Build

Test Driven

Code Inspection

Continuous Integration

Test

Functional Testing

Security Testing

Performance Testing

Operate

Configuration

Management

Vulnerability Managemen

t

Continuous Monitoring

Application Lifecycle Management

16

DevOps 平台

高度自動化的持續整合、測試、布署、監控的發展平台

程式庫

源碼審查工具

測試工具

組態管理

測試環境

建置環境

持續整合平台

營運環境

持續監控

1. check in

2. pull

3. inspect

4. build

6. test

5. deploy

7. release8. monitor

問題管理 知識庫

17

最終防線 - 資料加密

終端系統

應用系統 應用系統

Token

金鑰管理及加密平台

硬體加密設備

金鑰管理及加密平台

硬體加密設備

金鑰自動同步

終端系統

Token

資料中心 異地備援

資料全程加密傳遞

金鑰集中管理、高強度、全資料生命週期的加密機制

18

Q&A

IT Governance by IT

1) 帳密管理 2) 側錄軟體 3) 權限管理4) 服務管理5) 資產／合約／

廠商

1) 專案管理平台2) 軟體開發平台3) 軟體品質管理4) 端對端行為分析

1) 操作自動化2) 批次自動化3) 資料 / 檔案交換平台4) 平台監控軟體5) 資料庫管理工具6) 網路軟體與管理

1) 防資料洩露2) APT3) 虛擬機安全4) 資料庫監控防護5) 資料 加密 / 變造6) 加密 / 金鑰管理

People Management

InfrastructureManagement

Information Managemen

t

AP Management

歷史紀錄 / 報表 / 稽核SFGSI

z PlatformBYOD/APP. SaaS/Cloud

健檢 / 訓練1) 資安檢測2) 教育訓練3) E-Learning 課

程

1) 顧問2) 健檢3) 訓練4) 專案

文管 /SOP/KM

服務

從人員管理開始 做好 IT 治理

管理應用系統邁向品質卓越化

智慧 IT 架構提供穩定服務 機密保全攻防

消彌衝擊與傷害

掌握科技與趨勢

管理 IT 知識有效協同合作

呈現資安現況確保即時回應