重視弱點管理強化系統安全

重視弱點管理強化系統安全

主講人：陳惠群博士

日期：2015/4/21

CISM® CISSP® CSSLP® CEH™ ECSA ™ LPT ™

http://www.gss.com.tw/?utm_source=slideshare&utm_medium=presentation


1

善攻者敵不知其所守


APT駭客的計劃和技術駭客或滲透測試專家不一樣!

–滲透測試專家通常受到很多限制

–技術駭客通常很快放棄現有目標，移至下個目標

2

善攻者-APT駭客

攻擊

手法

社交

工程利用

系統

漏洞

植入

惡意

程式實體

入侵

攻擊

行動

裝置

攻擊

儲存

媒介


3

社交工程

鎖定目標攻擊防禦難度提高


http://www.google.com.tw/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&docid=88D6boIjhqIMLM&tbnid=G37RntNvap1yEM:&ved=0CAUQjRw&url=http://money.howstuffworks.com/identity-theft2.htm&ei=dm6ZU_-tDorBkgXXqoDQCg&psig=AFQjCNENUYmrD758__oDd8MnTCCUv7x9EA&ust=1402650610475324

4

系統漏洞與惡意程式

系統漏洞來不及補惡意程式防不勝防


81%的機構不知被駭(趨勢科技 APT白皮書-2013)

–54%由外部單位告知，27%透過檢測

–平均入侵時間

•高科技業：346天

•金融業：275天

•政府機關：264天

–最長入侵時間高達1,019天

– 13%在(社交工程)開始攻擊時發現問題

– 10%在(惡意程式)潛伏活動時發現問題

5

只有已被駭和不知被駭?


減少社交工程攻擊成功的機會

–明確的政策和程序

–加強資安意識訓練

–加強社交工程演練

主動發現惡意程式活動

–端點惡意程式檢測

–網路惡意活動檢視

6

至少要及時知道被駭


7

知己知彼百戰不殆


弱點補救攻擊 Prediction/Prevention Reaction/Remediation

Risk Management, Compliance Management,

Vulnerability Management, Configuration Management

Log Management, SIEM, Incident Management

Network & Application Anomaly Detection.

有那些內部和外部的威脅？

目前配置，是否可以防止這些威脅？

目前發現了那些安全事件？

該事件會造成什麼影響？

積極的資安管理

8

積極的資安管理


9

善守者-對症下藥

依照風險程度(資產x威脅x弱點)，評估及加強防禦強度


找出

弱點

修補

弱點

確認

修復

弱點掃描滲透測試社交工程合規檢視

10

弱點管理反映資安現況

金融機構辦理電腦系統資訊安全評估辦法

弱點

對策

威脅

資產


11

定期弱點掃描的問題

掃描修補掃描

未知弱點空窗期

已知弱點空窗期

2014年前五名的Zero-Days，直到原廠提供修補平均59天

Symantec, 2015


12

持續掃描與監控


13

資訊安全防禦架構


14

安全發展應用系統

Design

Agile

Methodology

Requirement Management

Domain

Driven

Build

Test

Driven

Code Inspection

Continuous Integration

Test

Functional Testing

Security Testing

Performance Testing

Operate

Configuration Management

Vulnerability Management

Continuous Monitoring

Application Lifecycle Management


15

DevOps平台

高度自動化的持續整合、測試、布署、監控的發展平台

程式庫

源碼審查工具

測試工具

組態管理

測試環境

建置環境

持續整合平台

營運環境

持續監控

問題管理知識庫


16

最終防線-資料加密

終端系統

應用系統應用系統

Token

金鑰管理及加密平台

硬體加密設備

金鑰管理及加密平台

硬體加密設備

金鑰自動同步

終端系統

Token

資料中心異地備援

資料全程加密傳遞

金鑰集中管理、高強度、全資料生命週期的加密機制


17

Q&A

更多資安文章 please visit

www.gss.com.tw/index.php/focus/security


http://www.gss.com.tw/index.php/focus/security?utm_source=slideshareVM&utm_medium=slideshare

IT Governance by IT

1) 帳密管理

2) 側錄軟體

3) 權限管理

4) 服務管理

5) 資產／合約／廠商

1) 專案管理平台

2) 軟體開發平台

3) 軟體品質管理

4) 端對端行為分析

1) 操作自動化

2) 批次自動化

3) 資料/檔案交換平台

4) 平台監控軟體

5) 資料庫管理工具

6) 網路軟體與管理

1) 防資料洩露

2) APT

3) 虛擬機安全

4) 資料庫監控防護

5) 資料加密/變造

6) 加密/金鑰管理

People Management

Infrastructure Management

Information Management

AP Management

歷史紀錄/報表/稽核

SFG SI

z Platform BYOD/APP. SaaS/Cloud

健檢/訓練 1) 資安檢測 2) 教育訓練 3) E-Learning課程

1) 顧問 2) 健檢 3) 訓練 4) 專案

文管/SOP/KM

服務


Software

重視弱點管理 強化系統安全

重視弱點管理強化系統安全