【保障資料庫安全 啟動區塊鏈應用與防護】會後報導

【保障資料庫安全 啟動區塊鏈應用與防護】會後報導

安資捷:網路威脅日趨兇險 兩步驟驗證+加密提供更嚴密防護

盜高一尺,魔高一丈,網路威脅的手法愈來愈多元而更難以防範,而兩步驟驗證結合加密將能提供更完善的防護。

和過去駭客寫病毒、竄改公司網頁炫耀技術、宣誓政治理念不同,現今的駭客發動的網釣、勒索軟體、進階持續攻擊(APT)、後門木馬程式等,其實背後已形成一個暗黑產業鏈,而且來者不善,不是有國家資助攻擊,就是志在賺到你的錢。安資捷執行長陳勇君指出,在敵暗我明、攻比守容易,以及戰場從過往的PC到現在涵括筆電、手機、甚至數以億計的物聯網(IoT)裝置,應該認知到,駭客攻防是一場高度不對等的局面。那麼,消費者要如何自保,而企業又要如何防止公司資產受害呢?

首先,我們應了解許多攻擊的發生都是起於用戶身證遭到冒用。個人用戶身份竊取,例如臉書帳號盜用,可能被用來詐騙或亂發文,但企業用戶身份被竊取,後果可能是造成動輒數億美元的損失。例如2016年孟加拉一間銀行存款遭到駭客篡改訂單系統及支付系統被盜轉8100萬美元,但關鍵在於變臉詐騙,該銀行業務主管及財務主管身份遭冒用,騙取最高主管放行而釀災。

有鑒於臉書、個人或企業郵件帳號盜用之嚴重,Google、臉書及Yahoo等開始施行「兩步驟驗證」(two-step verification),其中以簡訊發送一次性密碼(one-time-password, OTP)再由使用者輸入網頁的方式最簡便。但是只要手機被植入惡意程式,就有密碼被攔截的風險,使安全保障形同虛設。利用主動式一次性密碼(Active OTP,AOTP),利用綁定手機門號回覆驗證碼給驗證中心,可免於中間人攻擊(man-in-the-middle),確保身份驗證的安全性。

利用綁定手機門號回覆驗證碼給驗證中心的AOTP可確保身份驗證的安全性

面對新興的勒索軟體和進階持續攻擊 (APT) 這種針對機敏資料及個資檔案的攻擊,安資捷提出「先掃出、後管控、再稽核」的安控三部曲。首先,盤點企業內的重要資料所在,是放在哪名員工、哪台電腦中的哪一個檔案。然後依據重要性分開進行分別處理,像如一般文件存在硬碟,不再需要的文件則個別或集體刪除,如果是高風險、高價值的資料,如超過 200 筆的客戶聯絡方式則進行本機加密,或針對 500 筆以上的信用卡號、身份證字號,強制集中搬移到加密櫃。並配合個人電腦定期掃瞄,檢查是否疏忽而加集中或未加密,以落實個資保護政策。

機密個資檔案的安控三部曲

企業可以只針對這些「加密櫃」的資料設定相應控管,例如在內網從KM、ERP及Portal下載檔案,或以USB下載文件時皆自動加密,解密必須獲得審核,若需發送到外部網路,或是出差必須攜出,這些行為也必須獲得核准。也可以設定程式白名單、網頁浮水印、列印、解壓縮審核,所有行為及審核過程也都全程紀錄。通過使用者帳號驗證、權限檢查、行為控管及紀錄稽核,使得文件一旦離開「加密櫃」就變成垃圾,即使流出也無法被歹徒所用,將勒索軟體及文件竊取的災害降到最低。

資料來源:網路資訊

1 2 3 4 5 6 7

【保障資料庫安全 啟動區塊鏈應用與防護】會後報導

【保障資料庫安全 啟動區塊鏈應用與防護】會後報導

Imperva:本地及雲端WAF雙管齊下 建構縱深防禦

因應日益猖獗的Web攻擊及DDoS威脅,需要從本地端及雲端著手防堵。 Imperva台灣暨蒙古區總經理韓明晧引述一項研究指出,今天Web app已經是最大的資料外洩來源。在所有資料外洩原因中,Web app攻擊是第二名PoS (Point of Sale)終端機入侵的將近2倍。而95%的資料外洩背後有財務動機,成功的攻擊中85%是開採前十大已知漏洞,63%則和採用預設、弱密碼或密碼被偷有關。

Web攻擊是造成資料外洩最主要的原因

現今企業面臨來自網路威脅還包括分散式阻斷服務(DDoS)攻擊。一個作為企業營運門戶的網站遭到DDoS,因網站停機致使營收損失、服務中斷遭致品牌形象損害,不過這些都算小事,最嚴重的是客戶資料外洩導致企業信譽重創、客戶流失、競爭對手趁勢崛起、以及相關訴訟賠償、及因疏忽PCI、HIPAA、SOX等產業及安全法規遭到主管機關重罰等有形及無形後果。DDoS對現今的企業而言,可說是令人聞之色變的重大議題。 然而面對Web安全,仍有企業希望採用開源軟體、自行維護的手動防禦。但韓明皓指出,資安是一種敵我攻防部署,現在的網路威脅既多樣、複雜,且瞬息萬變,單是靠IT人員去更新URL及應用程式黑、白名單想過濾惡意程式或駭客入侵,無異是緣木求魚。使用專門的網路應用程式防火牆(WAF)可以讓IT省很多工夫。

IMPERVA台灣暨蒙古區總經理韓明皓

Imperva則提供相應的產品。首先,訂閱式ImervaRadar攻擊情報服務整合Imperva防禦中心、客戶及第三方合作夥伴提供的惡意程式、URL、IP位址、網域及網站等攻擊情報資源,提供最新信譽評等、殭屍電腦防護、社區防禦、帳號接管防禦及詐欺防護服務,協助企業及早蒐集情報、完備防禦工事。 SecureSphere是Imperva招牌的本地部署式網頁應用防火牆(WAF),涵蓋從資料隱碼、跨網站攻擊(XSS)等傳統技術攻擊;殭屍電腦自動化攻擊;到行動裝置攻擊,以及網路第7層的應用程式攻擊。SecureSphere具備不同機種符合私有雲、公有雲環境部署需求,適合防禦流量小但鎖定特定對象的高風險攻擊。 Imperva雲端WAF方案Incapsula吞吐量超過3.25TB的Incapsula系統可在第一時間為企業阻擋巨大攻擊流量,並可結合網站安全、負載平衡、內容遞送網路(CDN)及DDoS防護方案封鎖惡意流量,確保連網主要路徑上合法流量的效能,又不用擔心誤判、誤擋的問題。不論是網站、網域名伺服器或網路基礎架構都能以Incapsula都能加以防護,它和SecureSphere整合運用即能建構成適合部署混合雲的防護方案。

Imperva Incapsula 雲端平台在抵擋超大流量的同時,也具備多項安全技術,可封鎖惡意程式

Imperva的ThreatRadar提供了企業制敵機先的情報服務、SecureSphere防禦精準攻擊、Incapsula則協助企業安然挺過巨量流量攻擊而正常營運,三管齊下建構縱深防禦確保企業的長治久安。

資料來源:網路資訊

1 2 3 4 5 6 7

【保障資料庫安全 啟動區塊鏈應用與防護】會後報導

【保障資料庫安全 啟動區塊鏈應用與防護】會後報導

Thales:HSM密鑰管理方案支持數位企業創新及安全性

隨著密碼學的廣泛運用在資訊加密、DRM、第三方支付以及電子錢包等數位企業應用,解密密鑰的管理成為一大課題,而 HSM 硬體安全模組 (Hardware Security Module)則是確保密鑰安全性的關鍵。

現今企業及個人生活已充滿了密碼學的應用,從最常見的信用卡、網路支付、到Apple Pay、或是企業內的數位版權管理(DRM)、文件簽章、資料加密到PKI等,這些應用的密鑰 (key) 因而變成數位生活與企業的運作關鍵。如果以軟體實作密碼運算,將密鑰儲存在伺服器中,則一旦伺服器被駭,所有密鑰就會外洩,導致它所防護的所有資訊,包括銀行帳戶、研發智財(IP)、個人病歷或國家機密等,全部遭人一覽無遺。也正因為如此,安全性更高的硬體式HSM可提供更好的選擇。

密碼運算的應用日愈多元,讓密鑰管理成為關鍵

亞利安科技資安技術支援部經理王添龍介紹 Thales 受到全球各大企業採用的 HSM 產品,首先是 Payshield,它是基於VISA、Mastercard等國際金融組織制定的交易規則,透過Thales 開發成的專用HSM設備。處理信用卡交易是Payshield的標準功能,目前獲得全球7成以上銀行使用,由於各國處理轉帳交易的規則,因而發展出客製化版本,透過將交易規範轉化為指令,大幅減少程式開發、調整及修改的時間花費。Payshield 的 Multi-LMK 設計將本地主密鑰(Local Master Key, LMK)分存在最多9張智慧卡,各自擁有獨立密碼,HSM 則只存放最重要的LMK,而只有該HSM設備才能提供解密,藉此達到分權控管但絕對安全的防護水準。

亞利安科技 資安技術支援部經理王添龍

香港對網路銀行制訂了嚴格的安全規範,要求端到端(end-to-end)加密,以及資料不可竄改性。另外,PCI DSS也規定,將逐漸淘汰漏洞頻傳的SSL v3.0及TLS 1.1,在2017年6月30日提供安全的TLS的服務,之後所有實體都必須停止使用早期版TLS作為安全控制。現在PayShield還支援ECC演算法,具備區塊鏈等級的安全性,新的交易應用,包括結合SSL及新加密技術提供網路銀行WebPIN服務,可防止外部駭客及來自內部網路(Web Server、端點或LAN)的攻擊,而且具有不需發硬體給客戶,以及降低開發、實作成本等優點。

除了產品化的 Payshield,Thales 還提供模組化的 nShield,它的特點是功能可自行開發,發展各種應用,因應不同需求,提供了USB、網路型及插卡式。它的架構設計下,主密鑰 (master key) 存於HSM伺服器,由主密鑰加密過的密鑰、working key 密鑰檔及 HSM log 則儲存於 Remote File Server上。他指出,以效能而言,市面上硬體式密鑰管理解決方案都差不多;差別在於密鑰管理方式,尤其是在 HSM 伺服器災難復原上;有別於競爭方案需要湊齊所有智慧卡,Thales 主密鑰儲存在智慧卡上,從 RFS 的備份檔即可復原,它的 K of N 機制,可設計密碼儲存在3張上,只要任意2張即可回復主密鑰,還原速度比競爭者更快。另一方面,元件化設計可融入客戶現有環境,簡化導入複雜性。

Thales的密鑰儲存架構 確保密鑰安全性及還原速度

除了金融交易,Thales HSM還可物聯網裝置。例如可將憑證內建至手機中,可用於紀錄產品運送地點與控制代工廠生產數量,而知名品牌車廠也透過內建憑證,只有原廠料件由中心驗證啟動方可正常運作,防止車子使用副牌料件而衍生的責任歸屬問題。事實上,從電子病歷、電子護照、智慧電表、研發智財保障都是HSM的應用。

數位化企業發展出各種創新應用,眼看著第三方支付、區塊鏈及密碼貨幣即將融入你我生活,但唯有做好安全性,才能支持新應用的多元發展。

資料來源:網路資訊

1 2 3 4 5 6 7

 

【保障資料庫安全 啟動區塊鏈應用與防護】會後報導

【保障資料庫安全 啟動區塊鏈應用與防護】會後報導

臺大資工系副教授廖世偉:區塊鏈的應用與安全性

具備匿名、去中心性、可追蹤及不可竄改的區塊鏈(blockchain)等特性被視為推動下世代金融科技(FinTech)的關鍵,然而一個網路犯罪無所不在,區塊鏈同樣也需面臨駭客手法的覬覦。

區塊鏈以先進密碼學、數學、經濟模型與演算法,結合P2P網路技術形成不需中心監管機構的運算系統,具備共同參與、加密匿名、又有獨立記錄數據、資料不可逆的特性,可支援交易、稽核、監管和所有權轉移的運作,是經濟學人雜誌所謂「信任機器」(trust machine)的體現。區塊鏈成為現今資訊科技及商業應用界的顯學,基於區塊鏈的應用也蓬勃發展。

臺大資工系副教授廖世偉

在台灣率先推動區塊鏈技術研發的臺大資工系副教授廖世偉,是在Google工作之後回到台灣帶領學生組成DiQi團隊,發展出本地第一套自行研發的區塊鏈協議GCoin,同時以此為中心成立台大金融科技暨區塊鏈中心。而為了加速區塊鏈應用的創新發展,該中心也將GCoin專案開放原始碼貢獻出來。

運用區塊鏈可追蹤的特性,衛福部建置食品雲的食品履歷追蹤

他指出,區塊鏈的可追蹤性、不可竄改特性相當適合作為履歷追蹤,或是從實體電影票、演唱會門票到非實體商品如貸款、股權、債權商品、點數或智慧財產等數位資產商品交易平台,透過平台營運商或商家互聯互通,可支援票據投資、融資及或是點數管理。G-Coin的「大黑屋」即是為了解決點數卡或折價券太多的困擾,G-Coin平台支援多貨幣的點數核發平台、提供履約保證及使用期限,商家可發行點數;G-Coin儲存管理平台及點數交換流程實現使用者互相贈予和交換。而多簽章(multi-signature)技術則可確認線下廠商和使用者購買關係,進行點數回收完成核銷。另外,衛福部也導入G-Coin建置食品履歷管理系統。

G-Coin的點數管理平台運作情形

廖世偉指出,區塊鏈的「共享帳簿互聯網」(Internet of Value)精神不僅可滿足於單一平台/商家的交易需求,更能解決傳統上跨平台間價值傳送的問題,而降低平台之間清算的高額成本。業界因此認為,區塊鏈(Block chain)和大數據(Big data)被稱作金融科技的兩大支柱。

然而安全及資訊防罪永遠處在技術競賽中。區塊鏈旨在建立安全可靠的交易環境,卻也有駭客虎視耽耽。

2016年6月公共區塊鏈以太坊(Ethereum)上的智慧化群眾募資平台The DAO(the Decentralized Autonomous Organization)遭到駭客入侵。DAO是一種智慧化合約,它為了防範以DAO平台上募資中少數人以過半比例強渡關山某個專案,因而設計了「splitDAO」的機制,可讓不想投資的人將錢轉到ChildDAO合約,然而駭客利用其中的漏洞發動「Race to Empty」攻擊,非法轉出投資人的以太幣約370萬個,價值約合台幣10億元,同時暴力分叉了區塊鏈。另外,近年來已有多家比特幣交易商被駭,導致比特幣竊取,甚至有交易商因此關門。這些都造成大眾、特別是官方單位對區塊鏈的疑慮。

不過,廖世偉認為這些都只是區塊鏈發展中面臨的挑戰,但台灣不應該缺席。台大金融科技暨區塊鏈中心喊出「精彩在邊緣」,正因為區塊鏈去中心的架構很適合國際政治及經濟舞台上位處邊緣的台灣。他說,全球掀起共享經濟熱潮,需要平等參與的架構,區塊鏈去中心化的設計正符合這個精神,只需共享演算模式,不需共享資料,只要台灣能處在區塊鏈的浪頭上,就能參與改變世界的遊戲(game)。

資料來源:網路資訊

1 2 3 4 5 6 7

【保障資料庫安全 啟動區塊鏈應用與防護】會後報導

【保障資料庫安全 啟動區塊鏈應用與防護】會後報導

Imperva:資料庫儼然藏寶箱 需要好的看管系統

對現今的企業來說,資料竊盜行為威脅已經不下於竊取公司金庫。面對愈來愈猖獗的資料庫入侵或不當存取,企業需要完整的資料庫保護解決方案。

駭客手法日新月異,存有重要資產的資料庫系統成為常見受害對象,也讓近年大規模資料外洩案件愈來愈普遍。2015年知名網路公司雅虎(Yahoo)爆出在2013及2014年遭駭客入侵,分別導致10億及5億用戶資料外流,顯示這類攻擊大到中小企業都無法倖免。有鑒於種種安全法規要求,包括HIPAA、個資法、SOX、PCI及資通安全管理辦法等,今天企業發生資料外洩事件,除了面臨客戶訴訟、財務賠償、商譽損失外,資料庫管理員也難辭其咎,使飯碗不保。因此企業有必要導入一個健全的資料庫安全防護方案。

IMPERVA 資深技術顧問范鴻志

Imperva台灣暨蒙古區資深技術顧問范鴻志指出一般企業在資料庫防護上常見的錯誤。一是忽略定期稽核的重要性,而即使有稽核的觀念,但礙於成本考量,也只使用像Oracle、Microsoft SQL Server,或是開源資料庫產品內建的稽核工具,然而這類工具只具備基本的存取控管,又無法和其他資料庫的稽核報表整合,徒然增添DBA管理負擔。最理想的方案應該是導入專業的資料稽核管理方案,以支援多種資料庫環境,又能提供強大、周延的資料庫保護,並提供詳實的稽核報表。

企業面臨多種安全法規遵循的義務

Imperva Securesphere提供完整資料稽核與防護管理生命周期應涵括5大階段,包括發現、評估、設定控制、稽核保護以及衡量報表。首先,SecureSphere Discover & Access Server (DAS)可幫助DBA發現企業內何處存有敏感資料,像是儲存客戶信用卡資料或高科技製造業生產專利技術的正規資料庫。另外,開發單位為了測試應用系統,還可能私設資料庫存放真正的客戶資料,也是資料外洩的潛在環節,並針對資料庫自動化掃瞄弱點、設定評估、執行修補驗證,建立良好的資料庫體質。

Imperva Securesphere 提供完整資料稽核與防護管理生命周期應涵括5大階段
包括發現、評估、設定控制、稽核保護以及衡量報表。

接著,Imperva SecureSphere Database Activity and Monitoring可依據企業組織設定存取規則與政策,除了提供各種資料新增、刪除、修改等詳細資料軌跡紀錄,還能監控具權限的用戶存取行為,例如DBA存取人事系統或財務資料,或是合法的研發工程師在非上班時段登入系統存取最新研發技術等異常行為。和免費資料庫稽核工具不同的是,它還能針對非授權的存取行為發出告警(alert),如果必要,還能設定主動阻斷存取。Imperva SecureSphere解決方案提供靈活的部署選擇,例如如果只需要存取告警及軌跡紀錄,就可執行旁路部署,它也能支援in-line部署計畫以執行入侵阻斷。

此外,DBA還能可設定每天、每周或每月報表產出周期,透過詳實的紀錄協助平日的稽核,並符合PCI、HIPAA及SOX國際安全標準,一旦發生事件,還能協助入侵或非法存取行為鑑識。

Imperva並具有專職防禦中心服務Imperva Application Defense Center,為客戶執行資料庫弱點掃瞄、輔助效能優化、安全評估、提供最新國際法規資訊、企業合規報告,減輕企業的管理負擔,而且在發生重大入侵攻擊時提供緩解救援、事件分析及事後鑑識、釐清責任歸屬,將原本Imperva的產品效益發揮到極致,確保價值可比藏寶箱的企業資料安全。

資料來源:網路資訊

1 2 3 4 5 6 7