加密將成為資料保護新趨勢

加密將成為資料保護新趨勢

根據 2018 Thales 資料威脅報告 (Data Threat Report) 顯示,隨著 Cloud、Big Data、IoT 物聯網、行動支付等科技的廣泛應用,資料的儲存範圍也日益擴大,94% 的數位傳輸過程中都包含了機敏資料;而高達 67% 的企業曾被入侵,資料遭竊的企業比例也從 2016 年的 21% 攀升到 2018 年的 36%。

諷刺的是,即使企業IT預算支出比例也逐年增加,卻依然阻止不了資料外洩的趨勢。

依據近年來的觀察,企業龐大的IT支出,大多用在IT環境的維運、架構擴充,真正用在保護資料的比例其實普遍偏低,多數企業對資料保護的執行重點依然是”盡可能不讓壞人進來”,但隨著駭客、有心人士的技術能量不斷加強,入侵方式也一再推陳出新,企業思考重點應該轉為”萬一壞人突破城牆,入侵到企業內部核心時該怎麼辦?”

在勒索軟體出現後,不難發現”加密”其實是真正能保護資料的方式,若企業能善加利用,自行先將資料加密保存,便能防止勒索軟體肆虐,即便遭竊,資料也能在加密狀態下而免於外洩或受到濫用。

談到加密,一般都會擔心效能及資料存取、使用上的不便,但其實現今的加密技術已經可以克服這方面的問題,對效能的影響相當有限。另一個關於”加密是否就不會被破解?”的顧慮,時間就是金錢,駭客與其花功夫破解加密演算法,不如設法取得加密金鑰,因此,金鑰管理反而是加密方案選擇時的重點。提供加密方案的廠家越來越多,金鑰管理勢必成為考驗,若加密方案能同時支援第三方廠家加密金鑰的管理與保護,才能有效減緩企業面臨的金鑰管理難題。

 

資料來源:iThome

亞利安科技成為TaiPay經銷夥伴

亞利安科技成為TaiPay經銷夥伴

TaiPay 是台灣本土唯一自主研發「代碼化技術(Tokenization)」的 FinTech 金融資安公司,並以「化碼化技術」為核心技術,分別投入「金融資訊安全」、「交易資訊安全」、「支付資訊安全」及「機敏資訊安全」等領域,將逐步為兩岸三地、大中華地區、亞洲各國地區及全球市場提供「代碼化技術」解決方案,為銀行、商店及消費者,打造最高等級交易資訊安全環境。

2017年TaiPay也已獲得 PCI SSC(Payment Card Industry Security Standard Council,支付卡產業安全標準協會) 訂定的 PCI-DSS Level 1(PCI-DSS,Payment Card Industry Data Security Standard 支付卡產業資料安全標準)證書。

亞利安科技在資安防護的規劃建置上,已累積10年以上的產業經驗,此次與TaiPay的合作,主要是希望透過Tokenization資安防護服務的共同推廣,協助國內金融、電商、保險,甚至是政府單位加速達成合規及機敏資料防護,並進一步為國內企業強化資安防護。藉由雙方的共同開拓市場,創造雙方及消費者三贏的局面。

更多 TaiPay 服務相關資訊,請見官網:https://www.taipay.com.tw/

亞利安科技與TaiPay於2018年8月正式成為合作夥伴

經濟部工業局軟體標-107年

經濟部工業局軟體標-107年

經濟部工業局107年第一次電腦軟體共同供應契約採購 1070201已於107年5月3日完成品項之決標作業,並於5月10日於政府電子採購網上架決標品項供各適用機關進行採購,相關決標資訊請參考政府電子採購網。

  • 經濟部工業局107年第一次電腦軟體共同供應契約_亞利安科技品項  檔案下載

組別 項次 品項名稱 廠牌 產地
6 123 Bloombase KeyCastle金鑰管理系統軟體授權 Bloombase,Inc. 美國
6 124 Bloombase StoreSafe儲存設備加密系挑軟體授權 Bloombase,Inc. 美國
6 393 IMPERVA Camouflage 靜態資料遮罩系統0.5T IMPERVA 美國
6 394 IMPERVA CounterBreach 資料庫AI智能防護系統 IMPERVA 美國
6 395 IMPERVA CounterBreach 資料庫AI智能防護系統 IMPERVA 美國
6 396 IMPERVA中央集中管理及報表軟體 IMPERVA 美國
6 397 IMPERVA中央集中管理及報表軟體更新(一年授權) IMPERVA 美國
6 398 IMPERVA網頁應用程式防火牆軟體100M IMPERVA 美國
6 399 IMPERVA網頁應用程式防火牆軟體100M更新(一年授權) IMPERVA 美國
6 400 IMPERVA資料庫監控既記錄軟體100M更新(一年授權) IMPERVA 美國
6 401 IMPERVA資料庫監控暨記錄軟體100M IMPERVA 美國
6 402 IMPERVA資料庫稽核系統(100M throughput) IMPERVA 美國
6 403 IMPERVA資料庫稽核系統(100M throughput)更新 (一年授權) IMPERVA 美國
6 404 IMPERVA資料庫防火牆軟體100M IMPERVA 美國
6 405 IMPERVA資料庫防火牆軟體100M更新(一年授權) IMPERVA 美國
6 674 DS-Vormetric 透明加密或遮罩或符記化 THALES 法國
6 675 Vormetric DSM金鑰集中管理系統 THALES 法國
6 713 CyberScanner端點威脅偵測軟體-企業版/256U/ 壹年更新與支援/附授權書與光碟 中華龍網 臺灣
6 714 CyberScanner端點威脅偵測軟體-專業版/128U/ 壹年更新與支援/附授權書與光碟 中華龍網 臺灣
6 715 CyberScanner端點威脅偵測軟體-旗艦版/512U/ 壹年更新與支援/附授權書與光碟 中華龍網 臺灣
6 716 DragonSoft GCB 政府資安組態稽核軟體-企業升級版/ 256U/壹年更新與支援 中華龍網 臺灣
6 717 DragonSoft GCB 政府資安組態稽核軟體-企業版/256U/ 壹年更新與支援/附授權書與光碟 中華龍網 臺灣
6 718 DragonSoft GCB 政府資安組態稽核軟體-專業升級版/ 128U/壹年更新與支援 中華龍網 臺灣
6 719 DragonSoft GCB 政府資安組態稽核軟體-專業版/128U/ 壹年更新與支援/附授權書與光碟 中華龍網 臺灣
6 720 DragonSoft GCB 政府資安組態稽核軟體-旗艦升級版/ 512U/壹年更新與支援 中華龍網 臺灣
6 721 DragonSoft GCB 政府資安組態稽核軟體-旗艦版/512U/ 壹年更新與支援/附授權書與光碟 中華龍網 臺灣
6 722 DragonSoft RAMP資安風險評估管理平台-企業版/256U/壹年更新與支援/附授權書與光碟 中華龍網 臺灣
6 723 DragonSoft RAMP資安風險評估管理平台-專業版/128U/壹年更新與支援/附授權書與光碟 中華龍網 臺灣
6 724 DragonSoft RAMP資安風險評估管理平台-旗艦版/512U/壹年更新與支援/附授權書與光碟 中華龍網 臺灣
6 725 DragonSoft Vulnerability Management全中文弱點掃描軟體-企業升級版/256U/壹年更新與支援 中華龍網 臺灣
6 727 DragonSoft Vulnerability Management全中文弱點掃描軟體-專業升級版/128U/壹年更新與支援 中華龍網 臺灣
6 728 DragonSoft Vulnerability Management全中文弱點掃描軟體-專業版7.5/128U/壹年更新與支援/附授權書與光碟 中華龍網 臺灣
6 729 DragonSoft Vulnerability Management全中文弱點掃描軟體-旗艦升級版/512U/壹年更新與支援 中華龍網 臺灣
6 730 DragonSoft Vulnerability Management全中文弱點掃描軟體-旗艦版7.5/512U/壹年更新與支援/附授權書與光碟 中華龍網 臺灣
6 842 Privacy ID 【檔案型】個資盤點工具 – 1年版本更新維護授權 (不含基本安裝與教育訓練 ) 安資捷 臺灣
6 843 Privacy ID 【檔案型】個資盤點工具 – 1年版本更新維護授權 (不含基本安裝與教育訓練 ) 安資捷 臺灣
6 844 Privacy ID 【檔案型】個資盤點工具 ,不含基本安裝與教育訓練 ( 1台 PC授權 ) 安資捷 臺灣
6 845 Privacy ID 【檔案型】個資盤點工具 ,不含基本安裝與教育訓練 ( 1台 PC授權 ) 安資捷 臺灣
6 846 Privacy ID 【資料庫型】個資盤點工具,不含基本安裝與教育訓練 ( 1 個 DB 或 instance 授權) 安資捷 臺灣
6 847 Privacy ID 【資料庫型】個資盤點工具,不含基本安裝與教育訓練 ( 1 個 DB 或 instance 授權) 安資捷 臺灣
6 848 Privacy ID 【資料庫型】個資盤點工具( 1 個 DB 或 instance 授權) – 1年版本更新維護授權(不含基本安裝與教育訓練 ) 安資捷 臺灣
6 849 Privacy ID 【資料庫型】個資盤點工具( 1 個 DB 或 instance 授權) – 1年版本更新維護授權(不含基本安裝與教育訓練 ) 安資捷 臺灣
6 850 Privacy ID 個資盤點【集中管理平台】- 1年版本更新維護授權(不含基本安裝與教育訓練 ) 安資捷 臺灣
6 851 Privacy ID 個資盤點【集中管理平台】,不含基本安裝與教育訓練 安資捷 臺灣
6 882 CPS Systems UAP 新一代維運稽核與風險控制系統 最新進階功能版-保護主機1台授權使用 希比思系統 臺灣
6 883 CPS Systems UAP新一代維運稽核與風險控制系統 最新進階功能版-協定代理模組10台主機授權使用 希比思系統 臺灣
6 884 CPS Systems UAP新一代維運稽核與風險控制系統 最新進階功能版-應用發佈模組10台主機授權使用 希比思系統 臺灣
6 885 CPS Systems UAP新一代維運稽核與風險控制系統 最新進階功能版-系統主程式10台主機授權使用 希比思系統 臺灣
6 886 CPS Systems 維運稽核與風險控制系統 最新進階功能版-維護更新模組 希比思系統 臺灣
6 887 CPS Systems 維運稽核與風險控制系統 最新進階功能版-認證模組 希比思系統 臺灣
17 120 NETSCOUT nGeniusPULSE Server – Virtual Appliance (OVA) 主動式網路效能管理系統軟體(一年軟體更新) NETSCOUT 美國
17 121 NETSCOUT Virtual Pulse (10-Pack) and Licenses 10 個測試節點授權數 NETSCOUT 美國
17 122 NETSCOUT VMware環境網路封包收集分析軟體 NETSCOUT 美國
17 123 NETSCOUT中央集中管理及報表軟體(1 Link) NETSCOUT 美國
17 124 NETSCOUT主動式網路效能管理系統(nGenius Pulse) NETSCOUT 美國
17 125 NETSCOUT網路封包收集分析軟體100M NETSCOUT 美國
17 126 NETSCOUT網路效能分析診斷監控管理軟體(1 Link) NETSCOUT 美國

 

Imperva 偕同亞利安科技,助企業打造高規格資料防護機制

Imperva 偕同亞利安科技,助企業打造高規格資料防護機制

Imperva 資深技術顧問 范鴻志 與 亞利安科技總經理 范梓芳(左)

近年來企業資安人員責任重大,既要應付外來惡意攻擊行為,亦須防範內部威脅、全力阻止關鍵資料外洩,挑戰之艱鉅可見一斑。展望2018年,資安人員依然不得閒,所需面對的考驗有增無減。

Imperva 資深技術顧問范鴻志分析,綜觀近幾年,駭客染指企業機敏資料的行徑從未間斷,但礙於企業不斷補強防禦工事,讓駭客愈來愈難將毒手直接伸進企業組織,因而將攻擊矛頭轉向 Web,預期2018年網站攻擊勢必愈演愈烈,成為企業必須提防的首要威脅。此外,由於攻擊成本走低,使分散式阻斷服務攻擊(DDoS)的氣焰高漲,2015~2017年期間相關攻擊事件層出不窮,流量一次比一次巨大,對企業的傷害性持續攀高,此發展態勢仍延續至2018年,企業亦須嚴加戒備。

內外威脅不斷,企業亟需填補防禦缺口

企業除需留意外部風險,更應積極強化內部威脅防禦。過往資料外洩事件斑斑可考,許多洩露點都出自於內部,但偏偏多數企業「防外重於防內」,以致缺乏內部威脅偵測工具,難以遏阻員工不小心或蓄意外洩資料的行為,終至蒙受形象上、營運上的多重損害,連帶在法規遵循上留下汙點,這道內部防禦的大缺口,實需儘速填補。 范鴻志表示,Imperva 創立於2002年,一路走來所有產品與技術的佈局,不論在網站應用程式防火牆(WAF)、資料庫安控、檔案安控,或近年力推的 DDoS 雲端防禦服務,始終圍繞一個中心思想,就是保護企業核心資料,幫助企業戰勝各種威脅紛擾而維續營運。

面對2018年乃至更長遠的威脅趨勢,Imperva 一方面本於保護企業機敏資料的一貫初衷,繼續推廣 SecureSphere WAF、DAM 及 Incapsula Cloud DDoS 防禦服務等主力產品;另一方面,為了幫助客戶強化資料保護,Imperva 近一年來也開發了 CounterBreach 和 Camouflage 二項解決方案,並將之列為2018年推動重心,希冀與亞利安一齊努力,幫助更多企業導入這些新方案,藉由資料庫行為的智能化分析及靜態資料遮罩等防護能量,進一步提升組織內部威脅的防禦力。 范鴻志說,儘管臺灣企業已普遍對 WAF 與 DAM 有所認知,並實際投入建置,但整體市場的普及度仍有成長空間。以 WAF 而言,以往中大型企業建置的比例相對較高,其餘企業則多呈現觀望態勢,但全球資料外洩案件頻傳,許多倚重電子商務的業者也明顯感受壓力,自知不能繼續忽視網站防護,故紛紛評估導入 WAF,預期2018年市場將更趨活絡。

至於 DAM,市場普及度始終不及 WAF,只因多數企業認為資料庫位在組織內部,加上有權限控管機制從旁守護,外人並不易碰觸,所以風險指數遠低於Web伺服器,殊不知一些不當存取或惡意竊資的行為可能已悄然滋生,企業卻渾然不覺,直到事發後才急忙做災害控管,但往往都事倍功半,難以阻止損害發生。因此,愈來愈多企業開始意識到資料庫稽核機制的重要,深知唯有借助此類系統,才足以掌控資料庫活動細節(5W),留存完整的行為軌跡記錄,並持續監測高權限者的操作行為有無異常之處。

關於DDoS防禦議題,Incapsula則掌握更多天時地利,一來由於近年DDoS攻勢兇猛,證明企業無力憑一己之力阻絕 DDoS,唯有借助 DDoS 雲端防禦才是正解;二來 Incapsula 也於2017年10月1 日正式啟動臺灣雲端 DDoS 防禦中心,為台灣客戶提供近距雲端 DDoS 防禦服務,確保Web服務的可用性、安全性與即時性。

兩項新品入列,資料保護力道再升級

一向極為重視用戶體驗的 Imperva,始終不忘收集用戶的反饋意見,從中找尋產品補強的線索,CounterBreach 與 Camouflage 便是在此脈絡下誕生。

范鴻志表示,CounterBreach 是一套資料庫AI智能防護方案,搭配 SecureSphere DAM 運用,能透過進階的智能化分析,從數以十萬、百萬筆計算的大量資料庫行為記錄中,自動找出異常的資料存取事件。亞利安總經理范梓芳補充,以往用戶最大的困擾,在於無法靠人力判讀海量的稽核報告,所以即使靠 DAM 收集了大量資料庫活動資料,卻仍如大海撈針,無法從中找出關鍵事件。如今透過 CounterBreach 截長補短,快速找出可疑事跡,予以警示或阻斷,可將 DAM 防護價值拉升到極致。

Camouflage 則為靜態遮罩方案,當企業有意委託第三方開發應用程式,或協助客戶進行消費行為分析以創造更大的經濟效益時,卻擔心提供具客戶機敏資訊的原始資料時,會違反法令規定及客戶權益。此時即可借助 Camouflage 進行遮罩,在保持原有資料邏輯下,滿足各種加值服務開發目的。范梓芳認為,Camouflage 為獨立性產品,不需要搭配SecureSphere DAM,加上個資法規嚴格要求去識別化,因此市場需求十分鮮明,故推廣力道理當更為強勁。

范鴻志總結,任何企業欲求永續營運,皆需仰賴資金、人才、資料等三大關鍵元素,缺一不可,而 Imperva 的使命,即是協助企業保護資料,避免遭惡意竊取或損毀,進而在資金與人才等其他要素無虞下,持續擴張事業版圖。

資料來源:iThome 第858期 專訪內容

延伸閱讀:

企業面對新興技術導入與IT環境變化的因應之道

企業面對新興技術導入與IT環境變化的因應之道

過去兩年企業面臨許多資安的大事記,如DDoS攻擊、勒索軟體等,而檯面下的攻擊事件也未曾少過,加上個資保護意識及法規的要求也越來越嚴謹,讓企業的合規成本也隨之增加,像是今年即將實施的GDPR便讓不少企業耗費不少心思。

以2017年來說,企業漸漸意識到過去將資安重點放在IT環境保護的模式,在面對如勒索軟體、APT等攻擊時,並無法真正保護到資料,等到駭客真的侵入到企業內部,大筆的明碼資料毫無防護,任君取用。受害產業也從政府、電商、金融,逐漸擴散到醫療、旅遊、製造、零售等產業。因此2018的資安議題應轉為對「資料」本身的保護,包括資料加密、Tokenize、靜態遮罩等解決方案都將越來越受到重視與關注。

而在IoT、Blockchain、工業4.0、AI、車載系統、自動駕駛、智慧城市等新興議題上,資安著眼點應在於device間如何相互驗證?自動化、雲端化的運作基礎架構下,如何確保數據、資料、指令傳送來源與目的端的真實性、正確性?雖不涉及個資,但若不重視將嚴重影響新技術或設備的導入,錯誤的數據亦無法為企業帶來節省成本、改善製程良率等預期效益。

在產官學的共同努力之下,目前已知有區塊鏈應用先驅率先導入以硬體HSM強化其平台對於加密金鑰的運算與安全; 不少廠房自動化設計廠商亦規劃在資安上多做加值,以符合市場對資安的要求。2018年勢必將有更多關於HSM、憑證使用與保護的解決方案廣泛應用於不同產業。

資料來源:iThome

亞利安科技E.A.M保護資料庫安全無懈可擊

亞利安科技E.A.M保護資料庫安全無懈可擊

在全球消費者意識抬頭下,企業為迎合政府法規要求與維護公司商譽,近年添購資安設備預算持續不斷增加,期望提高整體資安防護等級,但似乎仍無助於避免資料庫被駭客入侵的事件發生,如Dropbox、Yahoo等知名業者,便爆發大量電子郵件帳號被竊取的事件。而在2016年美國大選期間亦傳出有部分州政府選民資料庫被入侵的事件,顯見企業資安防護架構存在眾多盲點,才會導致資料庫被駭事件頻傳。

亞利安科技資安技術支援部經理王添龍說,多數公司資安防護架構仍著重在閘道端防護,在駭客入侵管道日益增多的狀況下,無力察覺隱藏於公司內部的惡意程式,使得資料庫被入侵事件不斷發生。其次,部分公司為省下資料庫昂貴的授權費用,習慣採取多人或多個程式共用帳號的存取模式,無形中也增加維護資料庫安全的難度,很難查出駭客入侵的管道,因此資安人員有必要調整資安防護思維。

亞利安科技總經理范梓芳表示,亞利安一直非常關注全球資安趨勢發展,並致力解決台灣企業用戶需求,所以在原有 IMPERVA SecureSphere 資料庫稽核方案之外,也引進在國際市場受到好評的 Thales Vormetric 資料庫加密解決方案,期望藉由兩者之間的完美搭配,協助資安人員完整保護資料庫安全。

 

三大面向著手 杜絕資料外洩

身為台灣專業資安設備代理商的亞利安科技認為,要達成資料庫安全防護應該要從E(加密)、A(稽核)、M(遮罩)等三大面向著手,才能將資料庫被駭風險降至最低。市面上採取欄位加密技術的資料庫加密產品,不僅影響資料庫效能甚巨,且在共用數量有限的資料庫帳號狀況下,難以辨識真正的使用者,並容易因密碼被駭客竊取,導致失去引進資料庫加密產品的意義。

相較之下,Thales Vormetric 則是在作業系統層上直接對資料庫進行加密,除支援多種作業系統、Agent效能高、不需改程式、免停機即可加密資料等特性外,也因管理員無法看到明碼資料,所以即便駭客組織透過APT攻擊取得資料庫帳號,亦無法取得資料內容,可說是效果最好的資料庫加密方案。

王添龍指出,市面上雖然部分產品號稱有類似功能,不過由於資料加密工作仰賴單一設備,所以很容易影響到資料庫伺服器的效能。而 Thales Vormetric 則是採取加解密運算分散處理的概念,所以幾乎不會發生效能瓶頸問題,能將保護機制延伸到公有雲端平台上的資料庫,有效保護商業機密與客戶個資安全。

至於 IMPERVA SecureSphere 平台,則能在不改變既有網站應用程式或網路架構下,提供監控、阻擋異常存取行為功能,達成留存資料庫存取紀錄稽核軌跡的目的。另外,產品也能夠針對特定欄位提供遮罩功能,確保前端用戶看不到完整資料 ,將資料外洩管道降至最低,協助企業維護辛苦建立的商譽。

范梓芳認為,在駭客攻擊手法快速進步衝擊下,企業不可能只靠一套軟體或設備杜絕資安威脅事件,而是需要透過各種資安產品之間的相互搭配,將駭客入侵之後造成的損失降至最低。而亞利安科技所推出的 IMPERVA SecureSphere資料庫稽核Thales Vormetric 資料庫加密解決方案的搭配,正好可提供加密、稽核、遮罩等三大功能,堪稱是市面上保護資料庫安全的最佳解決方案。 

 

資料來源:資安人雜誌

 

延伸閱讀