Upload
tim-hsu
View
2.070
Download
2
Embed Size (px)
Citation preview
資安人員如何協助企業面對層出不窮的資安威脅?
Tim Hsu
徐千洋 (Tim Hsu)
CHROOT 創辦人
HITCON 創辦人
網駭科技 創辦人
曾任:
台灣大哥大 資安部經理
現職:
vArmour 美商安連網路公司台灣分公司
IT 人員兼作資安
合理,但避免不了角色衝突
IT 人員需要有資安認知和技能,但無法專注於資安
當調查資安事件時,如何避免「球員兼裁判」
尊重資安工程師
資安工程師也該 對自己的工作負責
技術
溝通心態
心態
隨時有離開的準備
承擔,不轉嫁責任
勇於面對改變,挑戰原有規則
溝通
記得先稱讚,說好話
找尋共同點,製造雙贏
永遠要有 PLAN (B)
技術
保留時間學習新知
動手、動腦,不要只動口
攻擊、防禦缺一不可
如何協助企業作好防護?
檢視
評估
阻擋分析
強化
觀注資安新聞和弱點
評估帶給企業環境的風險
訂定修補計劃
空窗期的計劃
追蹤結果並重新檢視整體防護
CVE-2012-0394
測試公司環境確實有使用 struts2
通知 IT 各單位窗口,要求修補時程
建立 Snort IDS 規測,匯入網站防護
從 SIEM 分析攻擊,訂定新的防護計劃
案例 1
處長 Peter,IT 經理 Bob、開發經理 Mark 在主管會議上討論,公司一週前發佈的 app 經常難以連線到伺服器
Bob: SQL 負載都正常,伺服器經常高負載,但流量並不高
Mark: 應該是駭客對伺服器進行 DoS 攻擊
Peter: 那可以阻擋攻擊嗎
Bob: 我請工程師從 Firewall 和 WAF 端阻擋
經過了一星期, app 仍然經常難以連線到伺服器,只好請資安工程師 Alice 給點意見
Peter: Bob 不是有設定 Firewall 把攻擊作阻擋嗎
Bob: 攻擊來源可能不固定,無法進行阻擋,可能要請 Alice 幫忙
Alice: 這個功擊可能很先進,有針對性,在進行阻擋前,我得先分析所有的 log
Peter: 好,盡快分析並阻擋
順水推舟,各不得罪
又經過了一星期,Alice 確認是 app 程式造成伺服器異常,非 DoS 攻擊
Alice: 這次攻擊很特別,駭客針對 app 找出弱點後,令 app 對伺服器作異常連線,造成伺服器高負載
Peter: Mark 請開發部門快點處理, 那 Alice 還有什麼要補充嗎
Alice: 為避免更嚴重的事發生,有三件事要做,伺服器安全作強化、源碼安全檢測和 app 上線前的安全測試
Peter: 嗯,請 Bob 和 Mark 多協助
案例 2
上週已有兩台 PC 被勒索軟體把文件檔都加密起來,公司 IT 經理 Bob 正在詢問資安工程師 Alice
Bob: 這次幸好被加密的都不是重要人士,如果發生在主管級的 PC,麻煩就大了,看有什麼辦法阻擋
Alice: 已在研究防護方式,不過上回 APT 防護預算被刪後,還有其它預算可使用嗎
Bob: 今年很難有預算,有沒有不用花錢的方式?
要求資源,以退為進
Alice: 不花錢的話就是依靠目前的防毒軟體,或是加強各項 Windows 的安全強化、手動備份檔案、教育訓練等,但時間會拖得較長,而且會讓 user 覺得麻煩
Bob: 那如果今年先給個 20 萬來做加強呢
Alice: 勒索軟體的威脅看來會越來越嚴重,沒辦法單點防護來補救,依我之見,不妨今年 20 萬省下,明年編 200 萬採購 APT 防護,今年我們就辛苦點
有無其它防禦方向?
外在威脅雖多,但…
其實廠商都會有點誇大其詞 …
經常性地根據公司環境,檢視各項攻擊和威脅,評估降低風險的方法
除了廠商的解決方案,也該思考:Container 技術帶來的安全性加強
如何透過 Log 日誌分析發現問題
終端安全的強化不可避免
改變對駭客的態度, 支持漏洞洞揭露政策
資安情報共享平台(計劃建製中…)
分享最新資安新聞或情報
資安課程或研討會資訊分享
威脅情資分享(threat intelligence),將社群和企業獲得的情資共同分享 (透過 Open IOC:http://www.openioc.org/)
定期 meetup 分享企業資安政策或設備導入之經驗
有興趣一塊建制和經營的朋友,歡迎來信<[email protected]>
Q&A
感謝各位聆聽<[email protected]>