「資通安全管理法」在2019年正式施行。舉凡公務機關、公營機構、八大關鍵基礎設施提供者或政府捐助之財團法人,都需警覺到資安防護的要求已提升至法令層級,若不合規,恐面臨懲處或罰鍰。
但「資通安全管理法」內含系統與資訊完整性、系統與通訊保護、識別與鑑別、稽核與可歸責性、資通安全防護等要求,各級單位須做大量功課,研究 IDS/IPS、WAF、資料庫稽核、金鑰與資料保護等技術,並儘速擇優導入,實屬不易。
亞利安科技以深入淺出的方式,將法規內容濃縮至以下簡報中,並提供資通安全管理法合規對應解決方案,滿足各單位所需滿足的合規要求。
| 組別 | 項次 | 品項名稱 | 廠牌 | 產地 |
|---|---|---|---|---|
| 15 | 144 | CPS Systems UAP 新一代維運稽核與風險控制系統最新進階功能版- 保護主機1台授權使用 | 希比思系統股份有限公司 | 臺灣 |
| 15 | 145 | CPS Systems UAP 新一代維運稽核與風險控制系統最新進階功能版- 協定代理模組10台主機授權使用 | 希比思系統股份有限公司 | 臺灣 |
| 15 | 146 | CPS Systems UAP 新一代維運稽核與風險控制系統最新進階功能版- 應用發佈模組10台主機授權使用 | 希比思系統股份有限公司 | 臺灣 |
| 15 | 147 | CPS Systems UAP 新一代維運稽核與風險控制系統最新進階功能版- 系統主程式10台主機授權使用 | 希比思系統股份有限公司 | 臺灣 |
| 15 | 148 | CPS Systems 維運稽核與風險控制系統最新進階功能版-維護更新模組 | 希比思系統股份有限公司 | 臺灣 |
| 15 | 149 | CPS Systems 維運稽核與風險控制系統最新進階功能版-認證模組 | 希比思系統股份有限公司 | 臺灣 |
| 19 | 35 | IMPERVA Camouflage 靜態資料遮罩系統0.5T | IMPERVA | 美國 |
| 19 | 36 | IMPERVA CounterBreach 資料庫AI智能防護系統 | IMPERVA | 美國 |
| 19 | 37 | IMPERVA CounterBreach 資料庫AI智能防護系統 | IMPERVA | 美國 |
| 19 | 38 | IMPERVA中央集中管理及報表軟體 | IMPERVA | 美國 |
| 19 | 39 | IMPERVA中央集中管理及報表軟體更新(一年授權) | IMPERVA | 美國 |
| 19 | 40 | IMPERVA網頁應用程式防火牆軟體100M | IMPERVA | 美國 |
| 19 | 41 | IMPERVA網頁應用程式防火牆軟體100M更新(一年授權) | IMPERVA | 美國 |
| 19 | 42 | IMPERVA資料庫監控既記錄軟體100M更新(一年授權) | IMPERVA | 美國 |
| 19 | 43 | IMPERVA資料庫監控暨記錄軟體100M | IMPERVA | 美國 |
| 19 | 44 | IMPERVA資料庫稽核系統(100M throughput) | IMPERVA | 美國 |
| 19 | 45 | IMPERVA資料庫稽核系統(100M throughput)更新(一年授權) | IMPERVA | 美國 |
| 19 | 46 | IMPERVA資料庫防火牆軟體100M | IMPERVA | 美國 |
| 19 | 47 | IMPERVA資料庫防火牆軟體100M更新(一年授權) | IMPERVA | 美國 |
| 21 | 37 | DS-Vormetric 透明加密或遮罩或符記化 | THALES | 法國 |
| 21 | 38 | DS-Vormetric 透明加密或遮罩或符記化更新(一年授權) | THALES | 法國 |
| 21 | 39 | Vormetric DSM金鑰集中管理系統 | THALES | 法國 |
| 21 | 40 | Vormetric DSM金鑰集中管理系統更新(一年授權) | THALES | 法國 |
| 21 | 41 | Vormetric 線上更新加密金鑰(LDT)功能授權 | THALES | 法國 |
| 21 | 42 | Vormetric 金鑰管理(VKM) agent/授權 | THALES | 法國 |
| 14 | 246 | NETSCOUT nGeniusPULSE Server - Virtual Appliance (OVA) 主動式網路效能管理系統軟體(一年軟體更新) | NETSCOUT | 美國 |
| 14 | 247 | NETSCOUT Virtual Pulse (10-Pack) and Licenses 10 個測試節點授權數 | NETSCOUT | 美國 |
| 14 | 248 | NETSCOUT VMware環境網路封包收集分析軟體 | NETSCOUT | 美國 |
| 14 | 249 | NETSCOUT中央集中管理及報表軟體(1 Link) | NETSCOUT | 美國 |
| 14 | 250 | NETSCOUT主動式網路效能管理系統(nGenius Pulse) | NETSCOUT | 美國 |
| 14 | 251 | NETSCOUT網路封包收集分析軟體100M | NETSCOUT | 美國 |
| 14 | 252 | NETSCOUT網路效能分析診斷監控管理軟體(1 Link) | NETSCOUT | 美國 |
| 16 | 52 | Darktrace人工智慧網路阻擋模組-需搭配 企業免疫系統購買 (1平台/1年授權) - 300 Mbps | Darktrace | 英國 |
| 16 | 53 | Darktrace企業免疫系統-視覺化安全分析平台(1平台/1年授權)- 300 Mbps | Darktrace | 英國 |
| 17 | 151 | DragonSoft Hyper EDR 人工智慧端點防護軟體-基本版/32U/ 壹年授權與更新 | 中華龍網股份有限公司 | 臺灣 |
| 17 | 152 | DragonSoft Hyper EDR 人工智慧端點防護軟體-專業版 | 中華龍網股份有限公司 | 臺灣 |
| 17 | 153 | DragonSoft Hyper EDR 人工智慧端點防護軟體-白金版/32U 壹年授權與更新 | 中華龍網股份有限公司 | 臺灣 |
| 20 | 96 | DragonSoft GCB 政府資安組態稽核軟體-專業升級版/128U/ 壹年更新與支援 | 中華龍網股份有限公司 | 臺灣 |
| 20 | 97 | DragonSoft GCB 政府資安組態稽核軟體-專業版/128U/ 壹年更新與支援/附授權書與光碟 | 中華龍網股份有限公司 | 臺灣 |
| 20 | 98 | DragonSoft Vulnerability Management 全中文弱點掃描軟體- 企業升級版/256U/壹年更新與支援 | 中華龍網股份有限公司 | 臺灣 |
| 20 | 99 | DragonSoft Vulnerability Management 全中文弱點掃描軟體- 企業版7.5/256U/壹年更新與支援/附授權書與光碟 | 中華龍網股份有限公司 | 臺灣 |
| 20 | 100 | DragonSoft Vulnerability Management 全中文弱點掃描軟體- 基本版/128U/壹年更新與支援 | 中華龍網股份有限公司 | 臺灣 |
| 20 | 101 | DragonSoft Vulnerability Management全中文弱點掃描軟體- 專業升級版/128U/壹年更新與支援 | 中華龍網股份有限公司 | 臺灣 |
| 20 | 102 | DragonSoft Vulnerability Management全中文弱點掃描軟體- 專業版7.5/128U/壹年更新與支援/附授權書與光碟 | 中華龍網股份有限公司 | 臺灣 |
| 20 | 103 | DragonSoft Vulnerability Management全中文弱點掃描軟體- 旗艦升級版/512U/壹年更新與支援 | 中華龍網股份有限公司 | 臺灣 |
| 20 | 104 | DragonSoft Vulnerability Management全中文弱點掃描軟體- 旗艦版7.5/512U/壹年更新與支援/附授權書與光碟 | 中華龍網股份有限公司 | 臺灣 |
根據 2018 Thales 資料威脅報告 (Data Threat Report) 顯示,隨著 Cloud、Big Data、IoT 物聯網、行動支付等科技的廣泛應用,資料的儲存範圍也日益擴大,94% 的數位傳輸過程中都包含了機敏資料;而高達 67% 的企業曾被入侵,資料遭竊的企業比例也從 2016 年的 21% 攀升到 2018 年的 36%。
諷刺的是,即使企業IT預算支出比例也逐年增加,卻依然阻止不了資料外洩的趨勢。
依據近年來的觀察,企業龐大的IT支出,大多用在IT環境的維運、架構擴充,真正用在保護資料的比例其實普遍偏低,多數企業對資料保護的執行重點依然是”盡可能不讓壞人進來”,但隨著駭客、有心人士的技術能量不斷加強,入侵方式也一再推陳出新,企業思考重點應該轉為”萬一壞人突破城牆,入侵到企業內部核心時該怎麼辦?”
在勒索軟體出現後,不難發現”加密”其實是真正能保護資料的方式,若企業能善加利用,自行先將資料加密保存,便能防止勒索軟體肆虐,即便遭竊,資料也能在加密狀態下而免於外洩或受到濫用。
談到加密,一般都會擔心效能及資料存取、使用上的不便,但其實現今的加密技術已經可以克服這方面的問題,對效能的影響相當有限。另一個關於”加密是否就不會被破解?”的顧慮,時間就是金錢,駭客與其花功夫破解加密演算法,不如設法取得加密金鑰,因此,金鑰管理反而是加密方案選擇時的重點。提供加密方案的廠家越來越多,金鑰管理勢必成為考驗,若加密方案能同時支援第三方廠家加密金鑰的管理與保護,才能有效減緩企業面臨的金鑰管理難題。
資料來源:iThome
TaiPay 是台灣本土唯一自主研發「代碼化技術(Tokenization)」的 FinTech 金融資安公司,並以「化碼化技術」為核心技術,分別投入「金融資訊安全」、「交易資訊安全」、「支付資訊安全」及「機敏資訊安全」等領域,將逐步為兩岸三地、大中華地區、亞洲各國地區及全球市場提供「代碼化技術」解決方案,為銀行、商店及消費者,打造最高等級交易資訊安全環境。
2017年TaiPay也已獲得 PCI SSC(Payment Card Industry Security Standard Council,支付卡產業安全標準協會) 訂定的 PCI-DSS Level 1(PCI-DSS,Payment Card Industry Data Security Standard 支付卡產業資料安全標準)證書。
亞利安科技在資安防護的規劃建置上,已累積10年以上的產業經驗,此次與TaiPay的合作,主要是希望透過Tokenization資安防護服務的共同推廣,協助國內金融、電商、保險,甚至是政府單位加速達成合規及機敏資料防護,並進一步為國內企業強化資安防護。藉由雙方的共同開拓市場,創造雙方及消費者三贏的局面。
更多 TaiPay 服務相關資訊,請見官網:https://www.taipay.com.tw/
亞利安科技與TaiPay於2018年8月正式成為合作夥伴
Imperva 資深技術顧問 范鴻志 與 亞利安科技總經理 范梓芳(左)
近年來企業資安人員責任重大,既要應付外來惡意攻擊行為,亦須防範內部威脅、全力阻止關鍵資料外洩,挑戰之艱鉅可見一斑。展望2018年,資安人員依然不得閒,所需面對的考驗有增無減。
Imperva 資深技術顧問范鴻志分析,綜觀近幾年,駭客染指企業機敏資料的行徑從未間斷,但礙於企業不斷補強防禦工事,讓駭客愈來愈難將毒手直接伸進企業組織,因而將攻擊矛頭轉向 Web,預期2018年網站攻擊勢必愈演愈烈,成為企業必須提防的首要威脅。此外,由於攻擊成本走低,使分散式阻斷服務攻擊(DDoS)的氣焰高漲,2015~2017年期間相關攻擊事件層出不窮,流量一次比一次巨大,對企業的傷害性持續攀高,此發展態勢仍延續至2018年,企業亦須嚴加戒備。
企業除需留意外部風險,更應積極強化內部威脅防禦。過往資料外洩事件斑斑可考,許多洩露點都出自於內部,但偏偏多數企業「防外重於防內」,以致缺乏內部威脅偵測工具,難以遏阻員工不小心或蓄意外洩資料的行為,終至蒙受形象上、營運上的多重損害,連帶在法規遵循上留下汙點,這道內部防禦的大缺口,實需儘速填補。 范鴻志表示,Imperva 創立於2002年,一路走來所有產品與技術的佈局,不論在網站應用程式防火牆(WAF)、資料庫安控、檔案安控,或近年力推的 DDoS 雲端防禦服務,始終圍繞一個中心思想,就是保護企業核心資料,幫助企業戰勝各種威脅紛擾而維續營運。
面對2018年乃至更長遠的威脅趨勢,Imperva 一方面本於保護企業機敏資料的一貫初衷,繼續推廣 SecureSphere WAF、DAM 及 Incapsula Cloud DDoS 防禦服務等主力產品;另一方面,為了幫助客戶強化資料保護,Imperva 近一年來也開發了 CounterBreach 和 Camouflage 二項解決方案,並將之列為2018年推動重心,希冀與亞利安一齊努力,幫助更多企業導入這些新方案,藉由資料庫行為的智能化分析及靜態資料遮罩等防護能量,進一步提升組織內部威脅的防禦力。 范鴻志說,儘管臺灣企業已普遍對 WAF 與 DAM 有所認知,並實際投入建置,但整體市場的普及度仍有成長空間。以 WAF 而言,以往中大型企業建置的比例相對較高,其餘企業則多呈現觀望態勢,但全球資料外洩案件頻傳,許多倚重電子商務的業者也明顯感受壓力,自知不能繼續忽視網站防護,故紛紛評估導入 WAF,預期2018年市場將更趨活絡。
至於 DAM,市場普及度始終不及 WAF,只因多數企業認為資料庫位在組織內部,加上有權限控管機制從旁守護,外人並不易碰觸,所以風險指數遠低於Web伺服器,殊不知一些不當存取或惡意竊資的行為可能已悄然滋生,企業卻渾然不覺,直到事發後才急忙做災害控管,但往往都事倍功半,難以阻止損害發生。因此,愈來愈多企業開始意識到資料庫稽核機制的重要,深知唯有借助此類系統,才足以掌控資料庫活動細節(5W),留存完整的行為軌跡記錄,並持續監測高權限者的操作行為有無異常之處。
關於DDoS防禦議題,Incapsula則掌握更多天時地利,一來由於近年DDoS攻勢兇猛,證明企業無力憑一己之力阻絕 DDoS,唯有借助 DDoS 雲端防禦才是正解;二來 Incapsula 也於2017年10月1 日正式啟動臺灣雲端 DDoS 防禦中心,為台灣客戶提供近距雲端 DDoS 防禦服務,確保Web服務的可用性、安全性與即時性。
一向極為重視用戶體驗的 Imperva,始終不忘收集用戶的反饋意見,從中找尋產品補強的線索,CounterBreach 與 Camouflage 便是在此脈絡下誕生。
范鴻志表示,CounterBreach 是一套資料庫AI智能防護方案,搭配 SecureSphere DAM 運用,能透過進階的智能化分析,從數以十萬、百萬筆計算的大量資料庫行為記錄中,自動找出異常的資料存取事件。亞利安總經理范梓芳補充,以往用戶最大的困擾,在於無法靠人力判讀海量的稽核報告,所以即使靠 DAM 收集了大量資料庫活動資料,卻仍如大海撈針,無法從中找出關鍵事件。如今透過 CounterBreach 截長補短,快速找出可疑事跡,予以警示或阻斷,可將 DAM 防護價值拉升到極致。
Camouflage 則為靜態遮罩方案,當企業有意委託第三方開發應用程式,或協助客戶進行消費行為分析以創造更大的經濟效益時,卻擔心提供具客戶機敏資訊的原始資料時,會違反法令規定及客戶權益。此時即可借助 Camouflage 進行遮罩,在保持原有資料邏輯下,滿足各種加值服務開發目的。范梓芳認為,Camouflage 為獨立性產品,不需要搭配SecureSphere DAM,加上個資法規嚴格要求去識別化,因此市場需求十分鮮明,故推廣力道理當更為強勁。
范鴻志總結,任何企業欲求永續營運,皆需仰賴資金、人才、資料等三大關鍵元素,缺一不可,而 Imperva 的使命,即是協助企業保護資料,避免遭惡意竊取或損毀,進而在資金與人才等其他要素無虞下,持續擴張事業版圖。
資料來源:iThome 第858期 專訪內容
延伸閱讀:
過去兩年企業面臨許多資安的大事記,如DDoS攻擊、勒索軟體等,而檯面下的攻擊事件也未曾少過,加上個資保護意識及法規的要求也越來越嚴謹,讓企業的合規成本也隨之增加,像是今年即將實施的GDPR便讓不少企業耗費不少心思。
以2017年來說,企業漸漸意識到過去將資安重點放在IT環境保護的模式,在面對如勒索軟體、APT等攻擊時,並無法真正保護到資料,等到駭客真的侵入到企業內部,大筆的明碼資料毫無防護,任君取用。受害產業也從政府、電商、金融,逐漸擴散到醫療、旅遊、製造、零售等產業。因此2018的資安議題應轉為對「資料」本身的保護,包括資料加密、Tokenize、靜態遮罩等解決方案都將越來越受到重視與關注。
而在IoT、Blockchain、工業4.0、AI、車載系統、自動駕駛、智慧城市等新興議題上,資安著眼點應在於device間如何相互驗證?自動化、雲端化的運作基礎架構下,如何確保數據、資料、指令傳送來源與目的端的真實性、正確性?雖不涉及個資,但若不重視將嚴重影響新技術或設備的導入,錯誤的數據亦無法為企業帶來節省成本、改善製程良率等預期效益。
在產官學的共同努力之下,目前已知有區塊鏈應用先驅率先導入以硬體HSM強化其平台對於加密金鑰的運算與安全; 不少廠房自動化設計廠商亦規劃在資安上多做加值,以符合市場對資安的要求。2018年勢必將有更多關於HSM、憑證使用與保護的解決方案廣泛應用於不同產業。
資料來源:iThome
