Upload
galaxy-software-services
View
182
Download
0
Embed Size (px)
Citation preview
重視弱點管理 強化系統安全
主講人:陳惠群博士
日 期:2015/4/21
CISM® CISSP® CSSLP® CEH™ ECSA ™ LPT ™
APT駭客的計劃和技術駭客或滲透測試專家不一樣!
–滲透測試專家通常受到很多限制
–技術駭客通常很快放棄現有目標,移至下個目標
2
善攻者-APT駭客
攻擊
手法
社交
工程 利用
系統
漏洞
植入
惡意
程式 實體
入侵
攻擊
行動
裝置
攻擊
儲存
媒介
3
社交工程
鎖定目標攻擊 防禦難度提高
81%的機構不知被駭(趨勢科技 APT白皮書-2013)
–54%由外部單位告知,27%透過檢測
–平均入侵時間
•高科技業:346天
•金融業:275天
•政府機關:264天
–最長入侵時間高達1,019天
– 13%在(社交工程)開始攻擊時發現問題
– 10%在(惡意程式)潛伏活動時發現問題
5
只有已被駭和不知被駭?
減少社交工程攻擊成功的機會
–明確的政策和程序
–加強資安意識訓練
–加強社交工程演練
主動發現惡意程式活動
–端點惡意程式檢測
–網路惡意活動檢視
6
至少要及時知道被駭
弱點 補救 攻擊 Prediction/Prevention Reaction/Remediation
Risk Management, Compliance Management,
Vulnerability Management, Configuration Management
Log Management, SIEM, Incident Management
Network & Application Anomaly Detection.
有那些內部和外部的威脅?
目前配置,是否可以防止這些威脅?
目前發現了那些安全事件?
該事件會造成什麼影響?
積極的資安管理
8
積極的資安管理
9
善守者-對症下藥
依照風險程度(資產x威脅x弱點),評估及加強防禦強度
找出
弱點
修補
弱點
確認
修復
弱點掃描 滲透測試 社交工程 合規檢視
10
弱點管理反映資安現況
金融機構辦理電腦系統資訊安全評估辦法
弱點
對策
威脅
資產
11
定期弱點掃描的問題
掃描 修補 掃描
未知弱點空窗期
已知弱點空窗期
2014年前五名的Zero-Days,直到原廠提供修補平均59天
Symantec, 2015
14
安全發展應用系統
Design
Agile
Methodology
Requirement Management
Domain
Driven
Build
Test
Driven
Code Inspection
Continuous Integration
Test
Functional Testing
Security Testing
Performance Testing
Operate
Configuration Management
Vulnerability Management
Continuous Monitoring
Application Lifecycle Management
15
DevOps平台
高度自動化的持續整合、測試、布署、監控的發展平台
程式庫
源碼審查工具
測試工具
組態管理
測試環境
建置環境
持續整合平台
營運環境
持續監控
問題管理 知識庫
16
最終防線-資料加密
終端系統
應用系統 應用系統
Token
金鑰管理及加密平台
硬體加密設備
金鑰管理及加密平台
硬體加密設備
金鑰自動同步
終端系統
Token
資料中心 異地備援
資料全程 加密傳遞
金鑰集中管理、高強度、全資料生命週期的加密機制
17
Q&A
更多資安文章 please visit
www.gss.com.tw/index.php/focus/security
IT Governance by IT
1) 帳密管理
2) 側錄軟體
3) 權限管理
4) 服務管理
5) 資產/合約/廠商
1) 專案管理平台
2) 軟體開發平台
3) 軟體品質管理
4) 端對端行為分析
1) 操作自動化
2) 批次自動化
3) 資料/檔案交換平台
4) 平台監控軟體
5) 資料庫管理工具
6) 網路軟體與管理
1) 防資料洩露
2) APT
3) 虛擬機安全
4) 資料庫監控防護
5) 資料 加密/變造
6) 加密/金鑰管理
People Management
Infrastructure Management
Information Management
AP Management
歷史紀錄/報表/稽核
SFG SI
z Platform BYOD/APP. SaaS/Cloud
健檢/訓練 1) 資安檢測 2) 教育訓練 3) E-Learning課程
1) 顧問 2) 健檢 3) 訓練 4) 專案
文管/SOP/KM
服務