資安規劃策略怎麼做? 相關
廣告
搜尋結果
其他人也問了
資安規劃策略怎麼做?
如何為企業進行資安規劃?
企業如何思考資安策略不足之處?
資安是甚麼?
- 02 2656 5630
- 企業常見3大資安威脅:網路、系統、應用程式。所謂的「資訊安全」即是保護網路、系統及各項資料技術受有心人士進入,破壞、竊取、修改內部資訊。對企業來說,資安漏洞不僅會影響公司商譽,更會造成內部的企業機密、客戶隱私被有心人士盜用,或成為達成某項目的的威脅手段。
- 網路上有哪些資安攻擊手法?2大手法務必當心。上述提及了企業常見的資安威脅,以下再進一步列出2種網路上常見的資安攻擊手法:資安攻擊手法1:網路釣魚。網路釣魚(Phishing)一詞最早出現於1987年,是一種透過假冒身份來騙取他人帳戶的詐騙手段,盜用者通常會以Email或是通訊軟體引誘他人進入假冒網站輸入個人資料,藉以竊取信用卡資訊、機密帳戶密碼等機密資訊。
- 資安規劃策略怎麼做?從偵測錯誤到各式風險管控。一般企業對於資安規劃的認識大多停留於「偵測錯誤、及時修改」的階段,但是資安所涉及的層面之大,且有心人士的攻擊手段越趨多元,唯有針對每個可能發生的資安漏洞思考相應對策,才能真正達成資安防護全面部署的狀態。
- 資安入門須知|認識3種簡易保護措施。當企業將越來越多的資源投入雲端服務,也意味著內部人員需同步轉換資安思維,以下也提供3個簡易的資安入門須知:資安入門保護措施1:安裝防毒軟體。
2024年6月30日 · 本文將從簡單的資安概念入門,帶你認識資安定義、5大資訊安全種類及資訊安全威脅與防護方式,並提供資安策略規劃步驟與資安問題解決方案,想維護網路資安的你千萬別錯過!
2020年9月24日 · iThome Security. 直播研討會. 要如何建構具邏輯性又有效的資安策略呢? 戴夫寇爾執行長兼共同創辦人翁浩正認為,活用資安框架打造長期規畫是值得參考的一種方式.
- 前言
- 複雜的問題,更要從策略面思考
- 分層負責,各司其職
- 框架與標準的定位
- 不良的資安防護狀態
- 盤點各層次的守備範圍
- 透過真實的威脅,補足資安策略的不足
這一篇是跟 Allen 在 iThome 2020 資安大會一起分享的主題。在國內,大家比較少討論資安策略這個議題。主要原因除了這個題目太過艱澀、無聊外,從商業的角度也不容易成為獲利的服務。而我們會想分享這個主題的原因與我們主要的服務「紅隊演練」有關。 執行紅隊演練三年多來,雖然協助企業找出威脅營運的重要入侵路徑,甚至發現防禦機制的不足之處,許多積極的客戶更想知道除了當次紅隊演練發現的問題外,是不是有更周延的方式來盤點防禦現況的不足。因此,我們開始尋找一個結構化且完整的方式來探究這個議題,開始思考國際標準、框架與紅隊演練之間的關係。希望除了從攻擊者的思維跟技巧找到企業的問題外,也能從防守方的角度思考企業長期而全面的防禦規劃。
資安是非常複雜而且分工細膩的工作,不確定問題的核心就無法釐清權責、安排資源,遑論降低再發的機率。因此要解決這個複雜問題需要有資安策略來支撐,而不是頭痛醫頭、腳痛醫腳。首先,我們把資安的防護分為三種階段: 1. 恢復原狀型:企業將主要的資安資源投放在日常的維運及問題查找上,包括確認當下發生的問題、進行緊急處理、災害控制、查明及分析發生原因、修復問題、研究對策避免再發生等等。 2. 防微杜漸型:將資源投入在對企業造成重大衝擊的問題上,並持續進行預防及回應的評估與演練、嘗試提前找出原因,加以預防或思考演練發生時應該執行的對策。 3. 追求理想/卓越型:盤點及分析問題的優、缺點,設定企業持續精進的目標,藉由行動計畫來達成目標。 根據我們的觀察,幾乎多數的企業都是落在「恢復原狀型」,但企業多半認知其為...
我們建議將縱深防禦以一個更全面的方式來檢視,分為 Executive Layer、Process Layer、Procedure Layer 以及 Technology Layer 四層,一個好的防禦策略,除了要做到 R & R (Role & Responsibility) 外,更重要的是在上而下制定策略之後,經由下而上的方式確保策略的有效性,因此不同階層的資安從業人員都有其需要關注的重點。 1. Executive Layer:資安長 (CISO) 的視角,關注足以影響組織營運的風險及緩解這些風險的資源是否充足。可以參考的標準包括 NIST 800-39、NIST 800-30、ISO 27005 以及 CIS RAM。 2. Process Layer:高階主管的視角,關注持續維持組織...
在說明完不同階層關注的重點後,這裡特別說明幾個重要 (或使用率較高) 的標準及框架。除了要知道哪些框架跟標準與資安有關外,同時也需要了解適用的情境、目的及彼此間的差異 1. ISO 27001:屬於 Process Layer,其提供建立資訊安全管理系統的標準,幫助組織管理和保護資訊資產,確保達到客戶或利害關係人其安全的期待;可以取得驗證。但要提醒的是,27001 作為一個實踐資訊安全管理 (Information Security System) 的標準,雖然具有文件化 (Documented) 要求的優點,但其要求項目多數在預防 (Prevent) 及避免 (Avoid) 上,較少著重在因應網路安全的偵測 (Detect) 及回應 (React) 上。 2. NIST Cybersecu...
實務上來說,企業的防禦策略有兩種不良的狀態 1. 縱深防護不足:防禦機制不夠全面 (紅色缺口)、設備效果不如宣稱 (藍色缺口)、設備本身的限制 (橘色缺口);上述的問題,綜合而言,就會使得設備間的綜效無法阻斷攻擊鏈,形成技術層的破口。 2. 配套措施的不完整:也就是「程序」及「流程」上的不足,假設某資安設備可以偵測到異常行為,資安人員如何分辨這是攻擊行為還是員工內部正常行為?多久內要及時回應進行處理、多久要發動鑑識?一旦上述的「程序」及「流程」沒有定義清楚,縱使設備本身是有效的,組織仍然會因為回應時間過慢,導致攻擊者入侵成功。
那麼要如何改善這兩種不佳的防禦狀態?我們可以單獨使用 CDM 來評估技術層的守備範圍是否足夠,也可以使用它來作為程序、流程及技術層的跨階層的盤點; 以 ISO 27001 作為例子,將其本文的要求及附錄 A 的控制措施,對應到 CDM 上,進而盤點 ISO 27001 在組織的程序面所能涵蓋的範圍。要注意的是,不同組織在盤點時,會產生不同的對應結果,這正是透過 CDM 來檢視的意義所在;例如在盤點「A.7.2.2 資訊安全認知、教育及訓練」時,企業要思考對於人員的教育訓練是否涵蓋到 NIST CSF 的五大類別,還是只包含人員意識的訓練;另外以「A.6.2.2 遠距工作」的防護機制,除了針對網路層及應用程式保護外,管理程序是否也包含遠距工作的資料及設備要求? 接著,往下一層 (Procedu...
在透過 CDM 盤點完 Procedure Layer 及 Process Layer 後,企業接著可以透過資安事故、威脅情資、紅隊演練或模擬入侵攻擊工具 (BAS) 等貼近真實威脅的服務或工具,來思考資安策略的不足之處。這邊我們以一個紅隊演練的部分成果作為案例,來貫穿本篇文章的應用。 在這個案例中,我們約略可以發現幾個問題: 1. 程式撰寫不夠安全:以致存在任意檔案上傳的漏洞。 2. 不同系統間使用共用帳號密碼:導致撞庫攻擊可以成功,而監控機制或組態管理顯然未發揮作用。 3. 未依照資料機敏性進行網段區隔:對外服務網段可以透過 RDP 連線至 core zone。 4. 特權帳號與存取控制未進行關聯分析:致可以使用 backup 帳號登入 AD 網域控制器。 上述的 4 個項目,是直覺在盤...
我們為什麼要注意資訊安全防護?. 根據 iThome 報導,2023年有23起重大資安事件,且資安攻擊總數大於2022和2021,可以發現各種駭客攻擊手法層出不窮,小則個人資料外洩而被詐騙、大到企業機密被竊取,遭到勒索損失大筆金錢的新聞,這些資安威脅在全球各地 ...
2024年1月17日 · 在本文中,我將探討網路風險管理策略的四個關鍵步驟,幫助組織識別漏洞並制定穩健的緩解策略。 第 1 步:識別並盤點關鍵資產 定義關鍵資產可能是一項挑戰,因為不同的利害關係人往往有不同的觀點。
2020年8月23日 · 企業要做好資安防護,妥善的資安策略就是重點,但要如何建構一個具邏輯性又有效的資安策略呢?. DEVCORE戴夫寇爾執行長兼共同創辦人翁浩正認為,活用資安框架打造長期規畫是值得參考的一種方式。. 文/ 羅正漢 | 2020-08-23 發表. 在2020臺灣資安大會上,DEVCORE ...
