2018  IMPERVA 資安趨勢論壇

2018 IMPERVA 資安趨勢論壇

蓬勃的駭客經濟與防不勝防的內部威脅,帶給各產業極大衝擊;近年無論是電商慘遭駭客竊取大量個資,銀行的國際通匯系統遭駭及鉅額款項遭盜轉,甚至晶圓廠因新機臺安裝時操作不慎、以致感染病毒,皆釀成巨大經濟損失。   加上資料保護意識抬頭,企業的合規成本也日益增加,今年5月上路的GDPR,最高罰鍰就高達2000 萬歐元,或該年度全球營業額4%,企業不得不嚴陣以待。   今天,多數企業力拼數位轉型,為未來發展打好基礎;在關鍵時刻,怎禁得起駭客或內賊搗亂?「資料」是企業的核心資產,但因應當前的威脅企業又該如何選擇適合的資料保護策略?   有鑑於企業在資安防護上面臨挑戰,甚至看著機敏資料外洩卻一籌莫展,Imperva期望透過11/7舉行的「Imperva 2018 資安趨勢論壇」,引領聽眾掌握三大防禦訣竅:  

  • (一)善用資料庫AI智能防護,透過機器學習的方式自動找出異常的資料存取事件,牢牢守護機敏資料,避免遭惡意、粗心大意或帳號被盜用的使用者竊取;
  • (二)藉由雲端情資分析,持續強化 Web 應用程式防火牆,並透過AI人工智慧及機器學習,讓資安事件分析變得簡單,IT 團隊能針對真正的威脅快速因應;
  • (三) 導入以雲端為基礎的應用交付服務,讓企業能將不同服務和設備整合到單一雲端服務中心,為各項線上業務提供強大的安全性、效能及可用性,並全面防禦各類型 DDoS 攻擊。

  Imperva 誠摯邀請您蒞臨本次論壇,一同了解資安防禦能量的升級契機。  

活動資訊  

  • 活動日期:2018年11月07日 13:00~16:30
  • 活動地點:六福皇宮 B3 永春殿(台北市南京東路三段133號) MAP
  • 邀請對象:金融、電商、及一般企業MIS、IT人員,以主辦單位審核資格為主
  • 活動方式:預先報名,經主辦單位確認符合活動屬性即可免費參與
  • 洽詢服務:02-25622880#3710 簡小姐或來信 jennifer@mail.ithome.com.tw 

活動議程

時間       議題及講師

1:00 – 1:30  歡迎報到

1:30 – 1:40  致歡迎詞

1:40 – 2:30  點線面的全方位網站防護  Imperva台灣資深技術顧問 / 范鴻志

2:30 – 3:00  運用人工智慧讓網站攻擊事件分析變的輕鬆有效率  Imperva大中華區技術總監 / 周達偉

3:00 – 3:30  Break & Booth Demo

3:30 – 4:10  資料庫稽核2.0  亞利安科技資安技術支援部經理 / 王添龍

4:10 – 4:20  有獎徵答、回收問卷  

註:主辦單位保留議程調整與變動之權力,請以網頁最新議程更新為準。

    我要報名

主辦單位

 

經銷商活動 – Thales 經銷商大會

經銷商活動 – Thales 經銷商大會

 


 

誠摯邀請各位經銷夥伴參加

2018年9月27日(四)下午1:30-4:00 【Thales 經銷商大會】

本次【Thales 經銷商大會】,將由 Thales e-Security 台灣區銷售經理及亞太區行銷經理,

與您分享 Thales 在台灣未來的經營策略及最新的業務推廣方案;

同時亞利安科技的資安產品經理也將介紹 Vormetric 資料保護解決方案,

讓您快速了解如何在不影響業務進行的狀況下,確保企業或政府單位的資料安全。

歡迎前來蒞臨指導,名額有限,請盡早報名!


報名網址:https://goo.gl/forms/yfTvDbKQEeheH6T12


 


時間:2018年9月27日 PM 1:30報到

地點:台北威斯汀六福皇宮 (台北市南京東路三段133號 )

議程簡介:

 


 

 

 

2018 掌握企業資安防禦重點研討會-會後報導

2018 掌握企業資安防禦重點研討會-會後報導

亞利安科技在 7/5,於六福皇宮舉辦【2018 掌握企業資安防禦重點研討會】,會中與 Thales、IMPERVA 及合作夥伴捷而思 Jrsys、蓋特資訊 iDGate 攜手合作,提供金鑰管理、身份認證及資料庫防護等解決方案的多元應用。

全方位資料防護 – 循序漸進的加密工作

「或許大家對資料防護感到陌生,但其實各位的信用卡消費,背後的處理運作程序中就已經針對各帳戶的私密金鑰進行防護工作。」Thales 資深業務工程師凌尊豪以日常生活應用為例說明資安防護機制的存在。雖然台灣尚無明確法規,但確實愈來愈多人在談論資料加密防護。

同樣以信用卡為例,凌尊豪說明有四個環節層次可能洩漏信用卡資訊,從儲存設備、檔案系統、資料庫到應用程式均有可能,而四個環節也由不同的資訊人員執掌,儲存設備有儲存管理員,檔案系統有系統管理員,資料庫則是資料庫管理員,應用程式亦有對應管理者或開發者負責,這些人若有心,都有可能使機敏資料外洩。

Thales 資深業務工程師 凌尊豪

而以導入資料庫加密而言,有許多事項必須考慮,包含何時要加密?對誰加密?如何管理加密金鑰?加密後可能產生的衝擊等。決定進行加密後,實施方式也有三種,即透明資料加密(TDE)、欄位層次加密(CLE)、用戶定義功能(UDF)等。

三種方式各有優缺點,TDE將整個資料庫加密,包含備份的資料庫也加密,且不需要改寫應用程式即可完成加密;CLE則只針對資料庫中的若干欄位進行加密,這項功能可與資料庫軟體一起提供,但必須改寫程式才能實現,且因是選用性功能多半要收取額外授權費;UDF則是針對機敏欄位加密,但是資料庫與應用程式都須修改才能實現。

企業的機密敏感資料,在資訊系統的四個層次內都有可能洩漏。

加密實施後,進一步是加密金鑰的管理,這就需要使用金鑰管理系統(KMS),可選擇內建方案或協力廠商提供的方案。前者將Master Key (主要金鑰) 放於KMS內,但無法控管UDF,且加密資料有可能被資料庫管理員回覆;後者將Master Key存於資料庫外,可控管TDE、CLE、UDF,且資料庫管理員無法獨力回覆。

除資料庫外,若檔案也有加密防護需求,可以先針對需要防護的檔案位置安裝VTE(Vormetric Transparent Encryption)透明加密程式,而後透過Thales Vormetric DSM (Data Security Manager金鑰集中管理系統) 進行控管,如此就能在不改變應用程式與工作流程的情況下實現防護。此外,許多應用程式內的資料其實也有加密防護的必要。

最後,凌尊豪也對金鑰管理提供建議,金鑰的數目應當愈少愈好以便管理,同時主要金鑰的存取點也建議愈少愈好,以降低資安風險。

各加密金鑰導源於Master Key (主要金鑰),而 Master Key須放在極安全的環境。

從GDPR安全規範探討資料庫安全保護與稽核的重要性

「GDPR可說是史上最嚴厲的資料安全保護令!」Imperva 大中華區技術總監周達偉開宗明義地說。GDPR(General Data Protection Regulation,通用資料保護規定)前身為1995年所訂立的DPD (Data Protection Directive),2016年擴展延伸成GDPR,由於牽涉範圍過廣因而提供2年實施準備期,並於今(2018) 年5月25日正式上路。

凡有蒐集到歐盟公民資料的業者一律須遵行GDPR,GDPR規範公民個資不可外洩,外洩須72小時內通報,且不同的條款有不同的罰則,最嚴重為跨境傳遞資料,最高可罰2,000萬歐元,或該企業前一年營收的4%,兩者取其高者,而其他條款亦達1,000萬歐元、2%營收罰金,均非常可觀。

Imperva 大中華區技術總監 周達偉

GDPR雖只適用於歐盟,但對各國相關法規已產生影響,包含大陸、香港、南韓、新加坡等都重新評估或翻修法案,台灣也為此成立個人資料保護專案的辦公室,以便更貫徹個資法工作。GDPR也要求企業須設置資料保護長 (Data Protection Officer, DPO)。

周達偉進一步分析GDPR中的七種項資料權利,包含使用權、更正權、撤回同意權、拒絕權、拒絕自動化處理分析權、被遺忘權/刪除權以及資料可攜權等,對企業的挑戰在於最後三種。總歸而言,GDPR不僅罰則重,企業合規也必須付出高昂代價。

Imperva  身為全方位資安業者,已針對GDPR的五項條款(第25/32/33/35/44條)提供因應方案,例如SecureSphere可自動探索企業資料並加以分類,CounterBreach可針對可疑行為進行分析預測,Camouflage則可對機密敏感資料進行遮罩。

GDPR最高可裁罰洩資企業2,000萬歐元或該企業去年全球營收的4%。

Imperva 進一步提出6種GDPR的需求案例,包含資料探索與分類、 弱點評估分析管理、機敏資料稽核、跨境資料傳輸、資料遮罩與去連結化,以及漏洞偵測與事發即時反應。其中前四種需求均可用 SecureSphere;資料遮罩(匿名化)與去連結化可使用 Camouflage,漏洞偵測與事發即時反應則可使用 SecureSphere與 CounterBreach。

若將資安方案與合規條款進行對應,則 SecureSphere 可滿足25/32/33/35/44條款,CounterBreach 則可因應32/33條款,Camouflage 則為25/32/35條款。Imperva 亦提供GDPR檢查表,使企業可詳盡檢視其合規工作是否完善。

Imperva提供的GDPR檢查表,將產品方案與GDPR合規要求進行對應。

最後 Imperva 也提供GDPR的專業服務,包含dDnA(Data Discovery and Analysis,資料探索與分析)、pDnA(Project Discovery and Analysis,專案探索與分析)等。Imperva在台灣已有12年以上的在地深耕經驗,加上堅實的合作夥伴亞利安科技,可完整滿足企業的GDPR合規需求。

打造銀行生物辨識技術絕佳環境與應用

擁有二十多年金融業經驗的蓋特資訊總經理向可喜,已引領蓋特資訊獲得諸多客戶肯定與產業殊榮,其資安方案也已打入台灣八家銀行、香港兩家銀行,並在近期獲得馬來西亞第二大銀行的採用;在科技創新上也獲得台灣資策會IDEAS SHOW冠軍、新加坡Echelon Entreport Asia冠軍,並成為首家通過香港八達通NFC整合行動認證的廠商,其Software Token方案也獲得香港金管會HKMA審核許可。而今(2018年)蓋特資訊期望將人臉辨識系統打入金融業。

蓋特資訊總經理 向可喜

人臉辨識屬於生物特徵辨識的一種,舉凡生物特徵辨識就必須具備四項特性,一是普遍性,即人人皆具備的特性,如人臉、指紋、虹膜等;二是差異性,即人人皆有但必須各異,具獨一辨識性與不可重複;三是永久性,特徵必須長久不變或緩慢改變;四是可測性,即生物特徵是可以透過感測器、儀器測得其差異。

向可喜觀察全球人臉辨識應用,目前以大陸最引領,歐美及台灣跟進中,主要是大陸沒有明確規範因而積極發展,但台灣也不必妄自菲薄,如蓋特資訊在活體偵測上即有獨到之處,此技術在許多金融業客戶的技術評估中已獲驚艷迴響。

生物特徵辨識須合乎普遍性、差異性、永久性,以及可測性等四項特性。

人臉辨識在金融業能有多種應用,包含陌生人偵測、貴賓(Very Important Person, VIP)偵測、門禁管理等,進而衍生出動線追蹤、精準行銷等應用。過去台灣金融業對人臉辨識多採觀望,但科技與時代在變,金融業的態度已轉變。此外蓋特的人臉辨識技術只需要1.12秒的時間,即能在3,000萬張照片中比對出正確身份,效能相當出色。

金融業若期望導入人臉辨識,必然會在意生物特徵值的安全存放,對此蓋特已支援 Vormatric(2016年由Thales併購)及 Thales HSM(Hardware Secure Module,硬體加密模組)兩種方案,不過後者對於程式開發者較為方便,不需要改寫程式即可使用。

臉部辨識應用情境之一,可進行門禁管制或陌生人行經路線追蹤。

最後,向可喜認為蓋特資訊有三項優勢最能實現金融業的生物特徵辨識、人臉辨識方案,一是金融產品應用經驗豐富,如前所述已有二十多年經驗;二是技術掌握度高,辨識技術具有高自主性;三是客製化、彈性大,由於金融業以資訊安全為考量 ,多期望導入方案具有獨特性,因此客製不可或缺。而再加上Thales與亞利安科技的協助,方案導入將可更完美理想。

PDFSign與IoT資安解決方案

「許多人已在使用捷而思的文件防護功能卻不知。」捷而思(jrsys)公司董事長特助林雅雯解釋,如世界第二大PDF廠商 Foxit PDF 軟體,都已內嵌捷而思的 PDFSign 文件防護方案;而 PDFSign 也在去(2017)年獲得經濟部工業局金漾獎-雲端服務類第一名的殊榮。

以文件防護見長的捷而思分析文件電子化與否的優缺點,去年11月有一則新聞事件,新莊五股地區有人用假的紙本文件變賣他人土地,地政單位差點受騙,相對的若將文件電子化,不僅防偽能力高於紙本,文件處理時間也可以縮短、程序簡化、流程易於追蹤稽核等,整體成本更低且節能環保,這些效益均明顯有感。

捷而思董事長特助 林雅雯

捷而思PDFSign在防偽上支援多種簽核法,包含印鑑、手寫、中華電信的WebTrust,或生物特徵辨識的臉部辨識、指紋辨識等;稽核上也已合乎國內電子簽章法,方便稽核且合乎規範。

進一步的林雅雯也舉實際應用案例,一是運用於保險業的保單簽署上,透過網路投保系統,讓簽署者完成保單文件的下載、簽核、上傳等工作。另一同樣是保險業,但用於保險公司的批次性簽署,簽署後再回發給保戶,此運用也用及硬體安全模組(HSM),金鑰存放於模組內以提高簽核程序的安全度。

PDF文件加密應用之一,保險公司保戶簽收保單流程示意圖。

除了文件防護外,捷而思相同的PKI公私密金鑰技術也可用來強化物聯網應用的安全性,IoT系統若無資安防護則感測節點的分位有可能被竄改,閘道器可能被駭客入侵併竊取資訊,這若發生在醫療應用、車聯網應用將相當危險,加上GDPR法規對資訊外洩有多項重罰,這些均使企業不得不重視物聯網資安。

針對IoT資安防護捷而思提供了各環節的軟體開發套件(SDK),包含裝置端、閘道器端、雲端、行動端等,力求IoT設備、通訊網路、應用程式三者的安全,三者構成IoT防護的金三角。

物聯網安全均兼顧三個面向,即IoT設備、通訊網路,以及應用程式。

最後林雅雯也強調金鑰在整個資安系統中的重要性,有些設備商雖宣稱其IoT產品內已具備金鑰,但仔細辨別卻發現並非是獨一辨識的金鑰,這時安全性便有疑慮,建議在IoT佈建時,即使是沒有IP的裝置也導入識別憑證,而對於金鑰的保存更建議用Thales的HSM,如此IoT裝置與環境才能獲得全層面、全週期的高安全。

資料來源:網路資訊 

2017 保險業數位轉型資訊安全研討會-會後報導

2017 保險業數位轉型資訊安全研討會-會後報導

掌握數位轉型資訊安全 協助保險業打造人生最後防線

保險最重要的目的,便是幫助人與企業「規避風險」,確保人身與營運安全。對保險公司而言,替規劃客戶評估企業的營運風險,更是重要的核心能力。然而,身為協助客戶規劃、評估風險、決定風險價值的保險公司,經常也成為「有心人士」的目標,不論是偷竊資料庫、竊取員工文件、甚至直接對客戶下手,都是保險業每天實實在在面臨到的風險。

該如何讓自己在驚濤駭浪的網路攻擊中存活?確保企業內部或雲端上的資料庫安全無虞?保護員工在外使用企業應用系統的資料安全?甚至在公司網路之外守護客戶不被假冒網站欺騙?

強化企業網路韌性 回應資訊安全挑戰

新興科技的出現,從物聯網、雲端到金融科技(Fintech)、機器人、區塊鏈,企業帶來轉型的契機,同時也帶來安全挑戰。資安顧問公司認為,企業因應之道是培養高度的網路韌性(cyber resilency)。

隨著網路安全攻擊持續增加且複雜化,金融業面臨險惡的安全威脅。首先,社交工程是當今企業面臨最大的安全威脅之一,包括金融業在內。根據研究,90%的人提供電子郵件時不會確認對方身份,67%會提供身份證字號、出生日期或員工編號等隱私資訊。其次,研究顯示,59%的員工在離職時會竊取公司重要資訊。一旦企業網路或系統出現漏洞遭到入侵,攻擊者潛伏期平均為205天,而且漏洞往往都是由外部單位(如警方)告知他們才知道。

今天網路威脅來自四面八方,有國家贊助的駭客集團、有想竊取企業機密的商業罪犯、意在錢財的歹徒、心懷不軌、疏忽大意的內部員工或委外廠商,或是宣揚特定政治意識型態的駭客行動主義人士等,他們利用發展出各種狡猾的惡意程式及高明感染手法,DDoS、APT攻擊、銀行木馬、勒贖軟體、無檔案攻擊程式等入侵企業網站、閘道、用戶終端及核心資料庫,以遂其財務、商業或政治目的。

新興科技為帶來企業轉型的契機,卻也伴隨安全挑戰
新興科技為帶來企業轉型的契機,卻也伴隨安全挑戰

安永企業管理諮詢服務經理曾子瀅指出,危險環伺的今天,當組織只能在安全事件發生後才被動回應,往往為時已晚。幾十年來大部分金融保險機構已建置一定的自我防衛能力,現今的資安重點應放在網路韌性(cyber resiliency)。網路韌性有三大元素:意識(偵測威脅)、防禦(組織保護罩)與回應(災害復原能力)。企業可透過以下方法提升發現威脅的能力,包括接收網路威脅情報、建立安全監控中心(SOC)及資料庫行為監控,找出弱點所在、建置主動防禦機制。根據保險業一項調查,還有約65%的保險公司尚未建置 SOC 或擁有非正式的威脅情報中心,這也成了一項資安隱憂。

現今的資安重點應放在發展企業的網路韌性
現今的資安重點應放在發展企業的網路韌性

第二,企業應培養主動防禦的能力,即透過有計畫且持續執行的活動,以識別與擊敗隱藏的攻擊者。但是該怎麼做?曾子瀅表示,設計靈活的作業周期(operational cycle),達到快速回應及加速學習的效果,並結合網路威脅情報,對駭客行為進行分析及提供洞見、建議,但她也強調,主動防禦重點在主動出擊及加強防禦,並不能取代現有安全監控及事故回應機制。

另外,她提醒,高階主管的支援尤其攸關企業安全的建構,然而根據一項調查,32%的受訪者高階主管意識不夠、未提供足夠支持,82%的受訪者表示董事會中,沒有資安主管。事實上,去年發生重大網路安全事件的企業裏,超過一半對財務損失毫無概念。這種對資安的輕忽將減弱資安防禦的部署。

至於回應方面,主旨在建立一個集中式的網路侵害回應計畫(CBRP)。有相當多的企業沒有制訂安全事件發生時,對內溝通及對外的回應計畫,例如客戶資料外洩時,將近一半的保險業不會通知客戶,這將對嚴重損及公司商譽。曾子瀅指出,CBRP小組由科技、法規及業務單位主管組成,旨在藉由建立日常操作模式(business practice)及安全事件的回應戰術,確保安全事件發生時減少損害、維持業務持續運作,並協助損害的復原。
最後,確實辨識公司重要有形與無形資產、掌握公司策略方向及各關係利益者(stakeholder)的需求、平時則應做好風險評估及控制、因應威脅型態及攻擊者的演進而制訂出回應策略,才能強化組織的「韌性」,確保企業的安全及長治久安。

在效能與安全間取得平衡的資料庫防護方案

資料庫作為重要資訊寶庫,又攸關企業營運效率,如何在確保營運效率及安全之間取得平衡,是資安界的恆久議題,也促使資料庫安全技術不斷演進。

談到資料庫安全,最常見的解決方案是加密。透過只有有權限者才能解密、看到明碼資料,經過加密的資料庫一旦被竊或備份出去,外人也無法讀取資料,是相當安全的作法。

亞利安科技資安技術支援部經理王添龍指出資料庫加密的幾項缺點。首先是對效能影響巨大。原因是資料庫經過加密後,未來要處理資料庫指令前必須解密所有資料,對企業營運效率影響尤大。第2項問題是誰有權限解密?資料庫帳號往往只限於少數幾個人,一旦要查詢資料就必須動用少數帳號,這不但嚴重影響作業靈活性,也會讓這少數人疲於奔命。此外,應用系統往往共用一組帳密,而且該帳號就擁有最高存取權限,這意謂著只要從應用漏洞入侵企業內網即如入無人之境,讓資料庫加密形同虛設。

第3項問題在於經過加密的資料庫欄位使用有限制。像是欄位無法排序,影響使用彈性,資料表格互相參照可能出錯、資料庫加密需要改程式。另外,企業還得考慮索引(index)需不需要加密,比方說以身分證字號當作索引值,否則減損了加密效果。

王添龍指出企業資料庫防護的目標是從各個面向保護重要資料,在應用程式端完全封鎖未授權的非法存取行為,在作業系統層,使資料庫管理員也不得以任何方式存取明碼資料,而在硬碟端,則要做到即使硬碟被搬走也不會資料外洩。而一個較好的做法是,資料庫端採用加密,使管理員也無法看到明碼資料、而進階威脅(如APT)取得最高權限也沒有用,最好能有不影響效能的解決方案,免停機即可加密。

另外,在應用程式和資料庫之間採用稽核防禦,結合白名單可以監控並阻擋異常存取行為、保留稽核軌跡,且此類作法也不影響資料庫運作效能。利用植入代理程式(agent)可解決閘道方案集中加解密減低資料庫效能的問題,而加密金鑰則利用金鑰集中管理平台確保存取安全。另外,應用程式和資料庫之間加裝動態遮罩,可以監控異常存取行為,而且由於只有有限權的人可以存取所有資料,因此前端用戶看不到完整資料。
在測試環境下則需使用不同的防護方案。在開發測試階段人員複雜,而且為求方便,一般此類系統權限會對所有人開放,此外隨時可能多一個伺服器要管理。如果貪一時方便,借用生產環境的資料,則取得資料管理員權限的人士或APT惡意程式將得以長驅直入,讀取明碼資料,或將資料庫備份外流。

正式資料庫及測試環境要採用不同的防護方案
正式資料庫及測試環境要採用不同的防護方案

根據銀行業的PCI(Payment Card Industry)規範,正式資料庫的資料不得用於開發測試,以免客戶資料外洩,這是最根本的解決方案。在正式資料庫及測試資料庫之間架設符記化/靜態遮罩,可以將真實資料(如客戶資料)全數轉換成假資料,不用費心管理稽核,開發人員任意開發、測試,應用程式也不需修改,達到一勞永逸的防護效果。

資料庫安全無法只有單一防護解決方案達成,必須在不同環節加入加密、稽核、遮罩、符記化達成完整防護。

現今隨著駭客攻擊手段日愈進步,資料庫遭遇分散式阻斷攻擊(DDoS)癱瘓的事件不時可聞。根據統計,59%的 DDoS 的攻擊流量超過1G,而超過10G的流量比例為23%,企業可以購買市面的阻擋設備,或是採用雲端流量清洗服務,依企業規模選擇流量方案。而 Imperva 則是市面上唯一不限流量的網站 DDoS 流量雲端清洗方案 Incapsula。

完整內容請見:https://goo.gl/VQvhg5