資通安全管理法對應解決方案

資通安全管理法對應解決方案

「資通安全管理法」在2019年正式施行。舉凡公務機關、公營機構、八大關鍵基礎設施提供者或政府捐助之財團法人,都需警覺到資安防護的要求已提升至法令層級,若不合規,恐面臨懲處或罰鍰。

但「資通安全管理法」內含系統與資訊完整性、系統與通訊保護、識別與鑑別、稽核與可歸責性、資通安全防護等要求,各級單位須做大量功課,研究 IDS/IPS、WAF、資料庫稽核、金鑰與資料保護等技術,並儘速擇優導入,實屬不易。

亞利安科技以深入淺出的方式,將法規內容濃縮至以下簡報中,並提供資通安全管理法合規對應解決方案,滿足各單位所需滿足的合規要求。

經濟部工業局軟體標-108年

經濟部工業局軟體標-108年

經濟部工業局「108年第一次電腦軟體共同供應契約採購1080201」已於108年3月14日完成品項之決標作業,並於3月29日於政府電子採購網上架決標品項供各適用機關進行採購,相關決標資訊請參考政府電子採購網。 

 

  • 經濟部工業局108年第一次電腦軟體共同供應契約_亞利安科技品項 檔案下載

 

加密將成為資料保護新趨勢

加密將成為資料保護新趨勢

根據 2018 Thales 資料威脅報告 (Data Threat Report) 顯示,隨著 Cloud、Big Data、IoT 物聯網、行動支付等科技的廣泛應用,資料的儲存範圍也日益擴大,94% 的數位傳輸過程中都包含了機敏資料;而高達 67% 的企業曾被入侵,資料遭竊的企業比例也從 2016 年的 21% 攀升到 2018 年的 36%。

諷刺的是,即使企業IT預算支出比例也逐年增加,卻依然阻止不了資料外洩的趨勢。

依據近年來的觀察,企業龐大的IT支出,大多用在IT環境的維運、架構擴充,真正用在保護資料的比例其實普遍偏低,多數企業對資料保護的執行重點依然是”盡可能不讓壞人進來”,但隨著駭客、有心人士的技術能量不斷加強,入侵方式也一再推陳出新,企業思考重點應該轉為”萬一壞人突破城牆,入侵到企業內部核心時該怎麼辦?”

在勒索軟體出現後,不難發現”加密”其實是真正能保護資料的方式,若企業能善加利用,自行先將資料加密保存,便能防止勒索軟體肆虐,即便遭竊,資料也能在加密狀態下而免於外洩或受到濫用。

談到加密,一般都會擔心效能及資料存取、使用上的不便,但其實現今的加密技術已經可以克服這方面的問題,對效能的影響相當有限。另一個關於”加密是否就不會被破解?”的顧慮,時間就是金錢,駭客與其花功夫破解加密演算法,不如設法取得加密金鑰,因此,金鑰管理反而是加密方案選擇時的重點。提供加密方案的廠家越來越多,金鑰管理勢必成為考驗,若加密方案能同時支援第三方廠家加密金鑰的管理與保護,才能有效減緩企業面臨的金鑰管理難題。

 

資料來源:iThome

亞利安科技成為TaiPay經銷夥伴

亞利安科技成為TaiPay經銷夥伴

TaiPay 是台灣本土唯一自主研發「代碼化技術(Tokenization)」的 FinTech 金融資安公司,並以「化碼化技術」為核心技術,分別投入「金融資訊安全」、「交易資訊安全」、「支付資訊安全」及「機敏資訊安全」等領域,將逐步為兩岸三地、大中華地區、亞洲各國地區及全球市場提供「代碼化技術」解決方案,為銀行、商店及消費者,打造最高等級交易資訊安全環境。

2017年TaiPay也已獲得 PCI SSC(Payment Card Industry Security Standard Council,支付卡產業安全標準協會) 訂定的 PCI-DSS Level 1(PCI-DSS,Payment Card Industry Data Security Standard 支付卡產業資料安全標準)證書。

亞利安科技在資安防護的規劃建置上,已累積10年以上的產業經驗,此次與TaiPay的合作,主要是希望透過Tokenization資安防護服務的共同推廣,協助國內金融、電商、保險,甚至是政府單位加速達成合規及機敏資料防護,並進一步為國內企業強化資安防護。藉由雙方的共同開拓市場,創造雙方及消費者三贏的局面。

 

更多 TaiPay 服務相關資訊,請見官網:https://www.taipay.com.tw/

 

亞利安科技與TaiPay於2018年8月正式成為合作夥伴

Imperva 偕同亞利安科技,助企業打造高規格資料防護機制

Imperva 偕同亞利安科技,助企業打造高規格資料防護機制

Imperva 資深技術顧問 范鴻志 與 亞利安科技總經理 范梓芳(左)

近年來企業資安人員責任重大,既要應付外來惡意攻擊行為,亦須防範內部威脅、全力阻止關鍵資料外洩,挑戰之艱鉅可見一斑。展望2018年,資安人員依然不得閒,所需面對的考驗有增無減。

Imperva 資深技術顧問范鴻志分析,綜觀近幾年,駭客染指企業機敏資料的行徑從未間斷,但礙於企業不斷補強防禦工事,讓駭客愈來愈難將毒手直接伸進企業組織,因而將攻擊矛頭轉向 Web,預期2018年網站攻擊勢必愈演愈烈,成為企業必須提防的首要威脅。此外,由於攻擊成本走低,使分散式阻斷服務攻擊(DDoS)的氣焰高漲,2015~2017年期間相關攻擊事件層出不窮,流量一次比一次巨大,對企業的傷害性持續攀高,此發展態勢仍延續至2018年,企業亦須嚴加戒備。

內外威脅不斷,企業亟需填補防禦缺口

企業除需留意外部風險,更應積極強化內部威脅防禦。過往資料外洩事件斑斑可考,許多洩露點都出自於內部,但偏偏多數企業「防外重於防內」,以致缺乏內部威脅偵測工具,難以遏阻員工不小心或蓄意外洩資料的行為,終至蒙受形象上、營運上的多重損害,連帶在法規遵循上留下汙點,這道內部防禦的大缺口,實需儘速填補。 范鴻志表示,Imperva 創立於2002年,一路走來所有產品與技術的佈局,不論在網站應用程式防火牆(WAF)、資料庫安控、檔案安控,或近年力推的 DDoS 雲端防禦服務,始終圍繞一個中心思想,就是保護企業核心資料,幫助企業戰勝各種威脅紛擾而維續營運。

面對2018年乃至更長遠的威脅趨勢,Imperva 一方面本於保護企業機敏資料的一貫初衷,繼續推廣 SecureSphere WAF、DAM 及 Incapsula Cloud DDoS 防禦服務等主力產品;另一方面,為了幫助客戶強化資料保護,Imperva 近一年來也開發了 CounterBreach 和 Camouflage 二項解決方案,並將之列為2018年推動重心,希冀與亞利安一齊努力,幫助更多企業導入這些新方案,藉由資料庫行為的智能化分析及靜態資料遮罩等防護能量,進一步提升組織內部威脅的防禦力。 范鴻志說,儘管臺灣企業已普遍對 WAF 與 DAM 有所認知,並實際投入建置,但整體市場的普及度仍有成長空間。以 WAF 而言,以往中大型企業建置的比例相對較高,其餘企業則多呈現觀望態勢,但全球資料外洩案件頻傳,許多倚重電子商務的業者也明顯感受壓力,自知不能繼續忽視網站防護,故紛紛評估導入 WAF,預期2018年市場將更趨活絡。

至於 DAM,市場普及度始終不及 WAF,只因多數企業認為資料庫位在組織內部,加上有權限控管機制從旁守護,外人並不易碰觸,所以風險指數遠低於Web伺服器,殊不知一些不當存取或惡意竊資的行為可能已悄然滋生,企業卻渾然不覺,直到事發後才急忙做災害控管,但往往都事倍功半,難以阻止損害發生。因此,愈來愈多企業開始意識到資料庫稽核機制的重要,深知唯有借助此類系統,才足以掌控資料庫活動細節(5W),留存完整的行為軌跡記錄,並持續監測高權限者的操作行為有無異常之處。

關於DDoS防禦議題,Incapsula則掌握更多天時地利,一來由於近年DDoS攻勢兇猛,證明企業無力憑一己之力阻絕 DDoS,唯有借助 DDoS 雲端防禦才是正解;二來 Incapsula 也於2017年10月1 日正式啟動臺灣雲端 DDoS 防禦中心,為台灣客戶提供近距雲端 DDoS 防禦服務,確保Web服務的可用性、安全性與即時性。

兩項新品入列,資料保護力道再升級

一向極為重視用戶體驗的 Imperva,始終不忘收集用戶的反饋意見,從中找尋產品補強的線索,CounterBreach 與 Camouflage 便是在此脈絡下誕生。

范鴻志表示,CounterBreach 是一套資料庫AI智能防護方案,搭配 SecureSphere DAM 運用,能透過進階的智能化分析,從數以十萬、百萬筆計算的大量資料庫行為記錄中,自動找出異常的資料存取事件。亞利安總經理范梓芳補充,以往用戶最大的困擾,在於無法靠人力判讀海量的稽核報告,所以即使靠 DAM 收集了大量資料庫活動資料,卻仍如大海撈針,無法從中找出關鍵事件。如今透過 CounterBreach 截長補短,快速找出可疑事跡,予以警示或阻斷,可將 DAM 防護價值拉升到極致。

Camouflage 則為靜態遮罩方案,當企業有意委託第三方開發應用程式,或協助客戶進行消費行為分析以創造更大的經濟效益時,卻擔心提供具客戶機敏資訊的原始資料時,會違反法令規定及客戶權益。此時即可借助 Camouflage 進行遮罩,在保持原有資料邏輯下,滿足各種加值服務開發目的。范梓芳認為,Camouflage 為獨立性產品,不需要搭配SecureSphere DAM,加上個資法規嚴格要求去識別化,因此市場需求十分鮮明,故推廣力道理當更為強勁。

范鴻志總結,任何企業欲求永續營運,皆需仰賴資金、人才、資料等三大關鍵元素,缺一不可,而 Imperva 的使命,即是協助企業保護資料,避免遭惡意竊取或損毀,進而在資金與人才等其他要素無虞下,持續擴張事業版圖。

資料來源:iThome 第858期 專訪內容

延伸閱讀:

企業面對新興技術導入與IT環境變化的因應之道

企業面對新興技術導入與IT環境變化的因應之道

過去兩年企業面臨許多資安的大事記,如DDoS攻擊、勒索軟體等,而檯面下的攻擊事件也未曾少過,加上個資保護意識及法規的要求也越來越嚴謹,讓企業的合規成本也隨之增加,像是今年即將實施的GDPR便讓不少企業耗費不少心思。

以2017年來說,企業漸漸意識到過去將資安重點放在IT環境保護的模式,在面對如勒索軟體、APT等攻擊時,並無法真正保護到資料,等到駭客真的侵入到企業內部,大筆的明碼資料毫無防護,任君取用。受害產業也從政府、電商、金融,逐漸擴散到醫療、旅遊、製造、零售等產業。因此2018的資安議題應轉為對「資料」本身的保護,包括資料加密、Tokenize、靜態遮罩等解決方案都將越來越受到重視與關注。

而在IoT、Blockchain、工業4.0、AI、車載系統、自動駕駛、智慧城市等新興議題上,資安著眼點應在於device間如何相互驗證?自動化、雲端化的運作基礎架構下,如何確保數據、資料、指令傳送來源與目的端的真實性、正確性?雖不涉及個資,但若不重視將嚴重影響新技術或設備的導入,錯誤的數據亦無法為企業帶來節省成本、改善製程良率等預期效益。

在產官學的共同努力之下,目前已知有區塊鏈應用先驅率先導入以硬體HSM強化其平台對於加密金鑰的運算與安全; 不少廠房自動化設計廠商亦規劃在資安上多做加值,以符合市場對資安的要求。2018年勢必將有更多關於HSM、憑證使用與保護的解決方案廣泛應用於不同產業。

資料來源:iThome