重視弱點管理 強化系統安全
TRANSCRIPT
重視弱點管理 強化系統安全
主講人:陳惠群博士日 期: 2015/4/21
CISM® CISSP® CSSLP®CEH™ ECSA ™ LPT ™
3
APT 駭客的計劃和技術駭客或滲透測試專家不一樣 !– 滲透測試專家通
常受到很多限制– 技術駭客通常很
快放棄現有目標,移至下個目標
善攻者 -APT 駭客
攻擊手法
社交工程
利用系統漏洞
植入惡意程式
實體入侵
攻擊行動裝置
攻擊儲存媒介
4
社交工程
鎖定目標攻擊防禦難度提高
6
81% 的機構不知被駭 ( 趨勢科技 APT 白皮書 -2013)
–54% 由外部單位告知, 27% 透過檢測– 平均入侵時間
• 高科技業: 346 天• 金融業: 275 天• 政府機關: 264 天
– 最長入侵時間高達 1,019 天–13% 在 ( 社交工程 ) 開始攻擊時發現問題–10% 在 ( 惡意程式 ) 潛伏活動時發現問題
只有已被駭和不知被駭 ?
7
減少社交工程攻擊成功的機會– 明確的政策和程序– 加強資安意識訓練– 加強社交工程演練
主動發現惡意程式活動– 端點惡意程式檢測– 網路惡意活動檢視
至少要及時知道被駭
9
弱點 補救攻擊Prediction/Prevention Reaction/Remediation
Risk Management, Compliance Management,
Vulnerability Management, Configuration Management
Log Management, SIEM, Incident Management
Network & Application Anomaly Detection.
有那些內部和外部的威脅?
目前配置,是否可以防止這些威脅?
目前發現了那些安全事件?
該事件會造成什麼影響?
可視化管理
事件管理
配置管理
弱點管理
風險管理
積極的資安管理
積極的資安管理
10
善守者 - 對症下藥
威脅惡意
科技
實體
環境
運作
天災
弱點人員
技術
程序
設備
資料
防禦身份驗證存取控制組態管理人員保護媒體保護實體保護事件回應持續計劃
資訊完整性安全認知訓練
…
資產
員工
資訊
財產
商譽
依照風險程度 ( 資產 x 威脅 x 弱點 ) ,評估及加強防禦強度
找出弱點
修補弱點
確認修復
弱點掃描滲透測試社交工程合規檢視
11
弱點管理反映資安現況
金融機構辦理電腦系統資訊安全評估辦法
弱點人員技術程序設備資料
弱點
對策
威脅
資產
12
定期弱點掃描的問題
掃描 修補 掃描
未知弱點空窗期
已知弱點空窗期
2014 年前五名的 Zero-Days ,直到原廠提供修補平均 59 天Symantec, 2015
實體安全
網路及主機安全:持續監控
應用系統安全:持續檢測
資料安全
14
資訊安全防禦架構
程序
政策
稽核
15
安全發展應用系統
Design
AgileMethodolog
y
Requirement
Management
Domain Driven
Build
Test Driven
Code Inspection
Continuous Integration
Test
Functional Testing
Security Testing
Performance Testing
Operate
Configuration
Management
Vulnerability Managemen
t
Continuous Monitoring
Application Lifecycle Management
16
DevOps 平台
高度自動化的持續整合、測試、布署、監控的發展平台
程式庫
源碼審查工具
測試工具
組態管理
測試環境
建置環境
持續整合平台
營運環境
持續監控
1. check in
2. pull
3. inspect
4. build
6. test
5. deploy
7. release8. monitor
問題管理 知識庫
17
最終防線 - 資料加密
終端系統
應用系統 應用系統
Token
金鑰管理及加密平台
硬體加密設備
金鑰管理及加密平台
硬體加密設備
金鑰自動同步
終端系統
Token
資料中心 異地備援
資料全程加密傳遞
金鑰集中管理、高強度、全資料生命週期的加密機制
IT Governance by IT
1) 帳密管理 2) 側錄軟體 3) 權限管理4) 服務管理5) 資產/合約/
廠商
1) 專案管理平台2) 軟體開發平台3) 軟體品質管理4) 端對端行為分析
1) 操作自動化2) 批次自動化3) 資料 / 檔案交換平台4) 平台監控軟體5) 資料庫管理工具6) 網路軟體與管理
1) 防資料洩露2) APT3) 虛擬機安全4) 資料庫監控防護5) 資料 加密 / 變造6) 加密 / 金鑰管理
People Management
InfrastructureManagement
Information Managemen
t
AP Management
歷史紀錄 / 報表 / 稽核SFGSI
z PlatformBYOD/APP. SaaS/Cloud
健檢 / 訓練1) 資安檢測2) 教育訓練3) E-Learning 課
程
1) 顧問2) 健檢3) 訓練4) 專案
文管 /SOP/KM
服務
從人員管理開始 做好 IT 治理
管理應用系統邁向品質卓越化
智慧 IT 架構提供穩定服務 機密保全攻防
消彌衝擊與傷害
掌握科技與趨勢
管理 IT 知識有效協同合作
呈現資安現況確保即時回應