漢杰科技 營業秘密保護與鑑識作業 2015
TRANSCRIPT
Vulnerability-Auditor HanJay-IT-Auditor
© 2015 Hanjay Technology Co., Ltd All rights reserved.
報告人- 陳治豪 ( Steven )
現職:
• 漢杰科技 CEO
經歷
• 威播科技:
市場行銷部副總經理
• 中華龍網
行銷業務處副總經理
資訊安全實務服務經驗:
• 證交所、台灣大哥大、証券集保
公司、金控等單位,網路安
全弱點專案規劃與服務查核經驗
資訊安全講授經驗 –網路安全研討
會講師:
• DigiTimes、CNET 、ITHOME 、
RunPC、資安人等26場以上..(資
訊安全專刊、 RUN PC雜誌撰述)
資訊安全講授經驗 –兼任講座/訓練講師
網路安全/防火牆/入侵偵測/安全弱點掃描/ISMS/BCP/資料
庫安全稽核系列課程:
專業資歷:
• ISO 27001 主導評審員訓練合格
• 95、96、97 年度電子化政府 ICST技術服務中心
資通安全諮詢委員會資安技術委員。
• 97、98、99 年度經濟部工業局資訊安全營運管
理服務技術旗艦計畫小組成員。
• 98、99 年經濟部商業司零售業資安品質提升作
業計畫小組
• 100.、101年度中華民國軟體協會個資保護團暨
資安技術顧問小組。
• 101/12 - 創立資安技術服務公司-漢杰科技
• 專長協助客戶進行營業秘保護制度建立
• 資安鑑識與內網安控防護
Vulnerability-Auditor HanJay-IT-Auditor
© 2015 Hanjay Technology Co., Ltd All rights reserved.
漢杰科技提供的資安技術服務
防制資料外洩
/營業秘密技
術安控措施
機敏個
資盤點
查核
資料庫/檔
案伺服器
存取查核
網頁惡意
流量查核
殭屍
Botnet電
腦查核
網站/系統
安全弱點
掃描
公用區,端點,網站(歷史
網頁)是否仍存在不該當擺
放的機敏資料或個資半年至
少內稽一次
資料庫/檔案分享
伺服器存取控制
/ log稽核 / 異常,
大量存取.讀取權
限與使用軌跡紀
錄
Web SQL防護
需不定期內稽
查核現有安全
強度是否足夠?
內網中是否存著未
知之惡意流量(傀
儡電腦)
內稽半年檢測一次
系統弱點檢測
是否支援IPv6
/遠端檢測權限
是否足夠?
資安健檢對應之法規:
ISO27001 / ISO20000 / ISO29100/ ISO27005 /
BS10012/PCI DSS NIST SP800-122/53
Vulnerability-Auditor HanJay-IT-Auditor
© 2015 Hanjay Technology Co., Ltd All rights reserved.
漢杰科技技術服務對應資安稽核工具
口碑
No1
口碑
No2
Vulnerability-Auditor HanJay-IT-Auditor
© 2015 Hanjay Technology Co., Ltd All rights reserved.
防止資料外洩管理機制
網頁AP上下載安控與DB
存取稽核
端點使用USB
或其他傳輸協定攜出
木馬入侵或勒索軟體防
制
資料外洩.鑑識鑑定.證據保全管理作業
數位證據封存與鑑識
數位證據探勘與管理
鑑識資料分析(國際法庭依準)
檔案存取權限與特權登入管理
存取移動記錄留存
權限設定紀錄留存
防刪除與監控機制
(特權防護)
機敏檔案與磁碟區加密管理作業
文件加解密派發管
理
文件使用之時間管理(離線
銷毀)
營業秘密(含個資)管理三要件與鑑識作業目標
© 2015 Hanjay Technology Co., Ltd All rights reserved.
© 2015 Hanjay Technology Co., Ltd All rights reserved.
Vulnerability-Auditor HanJay-IT-Auditor
© 2015 Hanjay Technology Co., Ltd All rights reserved.
2012新版公告.加重刑責.但….
→ 智財局統計 2014年.06前共155件,
其中只有26%原告勝訴
Vulnerability-Auditor HanJay-IT-Auditor
© 2014 Hanjay Technology Co., Ltd All rights reserved.
管制USB的存取,就可以了嗎?
看報管理的迷思與誤導
Vulnerability-Auditor HanJay-IT-Auditor
© 2015 Hanjay Technology Co., Ltd All rights reserved.
聯發科也無法勝訴? 關鍵在哪裡?
Vulnerability-Auditor HanJay-IT-Auditor
© 2015 Hanjay Technology Co., Ltd All rights reserved.
聯發科案暴露出自我舉證的重要性
袁帝文自2000年起即在聯發科任職,擔任過多項重要職務,2011年間,袁帝文被調派至策略部門工作,為執行長特助仇慧處理開發新市場的特別計畫,為長期在聯發科核心接觸公司諸多經營策略及重要計畫的重要幹部。
2013年間,聯發科向新竹地檢署提出告訴,指控袁帝文在2012年2月17日辦理離職手續後,竟於同日未經公司同意,擅自使用員工系統帳號登入公司電腦系統,無故從聯發科配發給他工作使用的筆記型電腦中,重製2053筆資料至行動硬碟內,並帶離公司;
2013年4月,袁帝文跳槽至聯發科競爭對手展訊公司任職。然而,檢察官於2014年5月19日偵結本案,以罪證不足為由處分不起訴,理由有二:
(1)檢察官認為袁帝文所備份的2053筆資料,是經由仇慧授權進行工作交接,因此備份行為不違法。此外,檢方查無證據顯示袁帝文有洩漏營業秘密之行為,故並未觸犯洩漏工商秘密罪
2)涉犯營業秘密法第13條之1及第13條之2部分,因聯發科控告袁帝文竊取營業秘密之時點為2012年,當時新法尚未修正施行,故無法追溯處罰。
Vulnerability-Auditor HanJay-IT-Auditor
© 2015 Hanjay Technology Co., Ltd All rights reserved.
新版營業秘密法-摘
第 13-1 條 意圖為自己或第三人不法之利益,或損害營業秘密所有人之利益,而有下列情形之一,處五年以下有期徒刑或拘役,得併科新臺幣一百萬元以上一千萬元以下罰金:
1. 以竊取、侵占、詐術、脅迫、擅自重製或其他不正方法而取得營業秘密,或取得後進而使用、洩漏者。
2. 知悉或持有營業秘密,未經授權或逾越授權範圍而重製、使用或洩漏該營業秘密者。
3. 持有營業秘密,經營業秘密所有人告知應刪除、銷毀後,不為刪除、銷毀或隱匿該營業秘密者。
4. 明知他人知悉或持有之營業秘密有前三款所定情形,而取得、使用或洩漏者。
5. 前項之未遂犯罰之。
6. 科罰金時,如犯罪行為人所得之利益超過罰金最多額,得於所得利益之三倍範圍內酌量加重
必須舉證證明,該職員未經授權,或公司機密被侵占/竊取
Vulnerability-Auditor HanJay-IT-Auditor
© 2015 Hanjay Technology Co., Ltd All rights reserved.
這個案子,法官判決關鍵在.. 1…2…3
袁帝文自2000年起即在聯發科任職,擔任過多項重要職務,2011年間,袁帝文被調派至策略部門工作,為執行長特助仇慧處理開發新市場的特別計畫,為長期在聯發科核心接觸公司諸多經營策略及重要計畫的重要幹部。
2013年間,聯發科向新竹地檢署提出告訴,指控袁帝文在2012年2月17日辦理離職手續後,竟於同日未經公司同意,擅自使用員工系統帳號登入公司電腦系統,無故從聯發科配發給他工作使用的筆記型電腦中,重製2053筆資料至行動硬碟內,並帶離公司;
2013年4月,袁帝文跳槽至聯發科競爭對手展訊公司任職。然而,檢察官於2014年5月19日偵結本案,以罪證不足為由處分不起訴,理由有二:
(1)檢察官認為袁帝文所備份的2053筆資料,是經由仇慧授權進行工作交接,因此備份行為不違法。此外,檢方查無證據顯示袁帝文有洩漏營業秘密之行為,故並未觸犯洩漏工商秘密罪
2)涉犯營業秘密法第13條之1及第13條之2部分,因聯發科控告袁帝文竊取營業秘密之時點為2012年,當時新法尚未修正施行,故無法追溯處罰。
有無被授權?
非法存取,才能定罪
是否為合法登入?
是否擅自重製?
非法登入,才能定罪
能否攜出?
(存入行動碟或寄出)
被攜出後,能緊急銷毀嗎?
© 2015 Hanjay Technology Co., Ltd All rights reserved.
103年3月19日
聯合報
若無法舉證切割是員工個人行為
公司得需付民事賠償<1000萬~5億>
與不利所得經理人並面對刑事責任 <3年~10年>
Vulnerability-Auditor HanJay-IT-Auditor
© 2015 Hanjay Technology Co., Ltd All rights reserved.
Vulnerability-Auditor HanJay-IT-Auditor
© 2015 Hanjay Technology Co., Ltd All rights reserved.
請想像一下,你能回答多少 ?
貴公司的某個財務部(或研發部)電腦目錄,
誰來此看過 ? 移動過 ? 刪除.複製過 ?
這份文件可流通多久 ? 會自動銷毀嗎 ?
誰批示這份文件讀取權限的變更?
誰突然大量複製或讀取或刪除資料?
到底是誰,在敏感時間讀取過,公告前的財務營運報告?
誰在敏感時間,特權進入系統底層,更改存取紀錄檔
駭客 ? 內賊 ?
Vulnerability-Auditor HanJay-IT-Auditor
© 2015 Hanjay Technology Co., Ltd All rights reserved.
在這些案例中,我們的建議是
貴公司現有機制可以做到什麼?
營業秘密有被區隔出來嗎?
重要文件存取,相關留存紀錄是否合法,法官採信?
其他(顧問與內控工作小組)..或.電磁紀錄舉證.
Vulnerability-Auditor HanJay-IT-Auditor
© 2015 Hanjay Technology Co., Ltd All rights reserved.
營業秘密管理架構..能否對應新版..
新版→ISO27001:2013
企業風險→ISO31000
ICT營運持續→ISO27031
資訊治理→ISO38500
個資鑑識→ISO27037
檔案存取紀錄的專家
Varonis 是一家以色列團隊,總部設
在美國紐約的公司全球罕見已非結構化資料存取保護為目標的公司,短短幾年便攻占 全美TOP500大的財金與高科技企業
該公司於2014年2月 Nasqad上市
Vulnerability-Auditor HanJay-IT-Auditor
© 2015 Hanjay Technology Co., Ltd All rights reserved.
Varonis 它能夠做什麼
四大特色 1. 不用在端點裝Agent
2. 它能夠盤點機敏文件內容在哪裡?
3. 任何異常存取都能夠即時通知
4. 直接對應相關法規
Varonis 提供(1)資料存取權限的控管機制(2)異常與警告的稽核報告
簡單說 Varonis,讓你知道
你的 file server 或mail server 發生什麼事 (人、事、時、地、物)
你的 file server 存放那些敏感資料與面臨的威脅與風險
誰在搜尋資料?並正確記錄下來
那些人的檔案存取行為異常 ? 且有大量資料拷貝情形?
Vulnerability-Auditor HanJay-IT-Auditor
© 2015 Hanjay Technology Co., Ltd All rights reserved.
它能正確舉證”誰”在”何時”讀取過哪些敏感機密資料 進而提出預防糾正措施阻絕,並即時發現非正常存取
它與DLP(DRM)方案不衝突,2者更是相輔相成,Vironis 管制的是源頭的權限,文件的加密保護仍歸DLP(DRM)處理 它與AD群組合作,提供更精緻有效的讀取控制
可以提供每日/每週之稽核報告 可以即時提供異常或大量存取之警示報告 可以提供讀取權限修正的即時建議,阻絕存取 可以提供誰改變了存取權限,或讀取前誰簽核允許
可以在端點不裝Agent,即可定期全自動稽核
Varonis 它馬上能夠幫助公司做甚麼?
Vulnerability-Auditor HanJay-IT-Auditor
© 2015 Hanjay Technology Co., Ltd All rights reserved.
若出狀況。公司能給法官什麼
誰有權限可存取某個資料夾?….. 證明他真的侵權
誰才應該有權存取某個資料夾?
誰曾經存取過某些資料? ……證明他真的存取過…
那些資料是敏感的? 是否有適當的權限設定 ? 那些人在
使用?
誰是資料的擁有人?誰同意他可存取這份資料? ..誰同意
誰在搜尋機敏檔案與敏感資料 ? …誰在疑似不當動作
我的敏感性資料被過度曝露
(權限安控度不足),我該怎樣修正這個問題?
Vulnerability-Auditor HanJay-IT-Auditor
© 2015 Hanjay Technology Co., Ltd All rights reserved.
除了個資保密,我們的客戶更在意
董事會高階主管除了信箱主人以外,最近誰看了你哪封信後又
關起來?有無被授權?
貴公司敏感資訊的存取控管如何? 昨天有誰開了?能否可以產
生一份存取記錄報表?
重大財報變化,公告前誰看過了?
主管投靠敵營後,如何找到離職前拷貝資料的記錄?
掌握公司機密的高階主管,離職後3-6個月發現貴公司資料已經
被拿到對方公司用,公司如何確認該主管離職前拷貝複製了哪
些資料?有紀錄嗎?
貴公司重要合約、財報能否確定只有相關員工可以看到,且留
存的存取紀錄,能否有效舉證且證明沒被更動過?
以下這些 Varonis都可以做到
© 2015 Hanjay Technology Co., Ltd All rights reserved.
© 2015 Hanjay Technology Co., Ltd All rights reserved.
© 2015 Hanjay Technology Co., Ltd All rights reserved.
© 2015 Hanjay Technology Co., Ltd All rights reserved.
© 2015 Hanjay Technology Co., Ltd All rights reserved.
© 2015 Hanjay Technology Co., Ltd All rights reserved.
© 2015 Hanjay Technology Co., Ltd All rights reserved.
© 2015 Hanjay Technology Co., Ltd All rights reserved.
© 2015 Hanjay Technology Co., Ltd All rights reserved.
© 2015 Hanjay Technology Co., Ltd All rights reserved.
© 2015 Hanjay Technology Co., Ltd All rights reserved.
© 2015 Hanjay Technology Co., Ltd All rights reserved.
© 2015 Hanjay Technology Co., Ltd All rights reserved.
© 2015 Hanjay Technology Co., Ltd All rights reserved.
Vulnerability-Auditor HanJay-IT-Auditor
© 2015 Hanjay Technology Co., Ltd All rights reserved.
Varonis 幫忙碌的資訊人員做好控管
三大功能之一、全方位執行資料讀取權限的檢查工 作,直接對應 ISO 真輕鬆。
Varonis的報表對應以下 稽核要點
可定期迅速清查全公司檔案伺服器的啟用權限,是否有遭不當變更已符合法規要求
對應各法規要求<SOX/PCI/ISO27001>在資安會議後清查全公司資料文件存取權限,並每3~6個月不定期稽查一次
可用各部門、專案群組為單位清查檔案伺服器的存取權限並可即時做出修正建議,以防止讀取權異常,造成資料外洩
可防止調職<臨時專案小組>或離職人員仍繼續擁有權限,每個月寄發給稽核紀錄給部門主管裁決
久未使用帳戶清查檔案讀取權限 表示此帳戶已久未使用電腦,是請假或工作問題,交付部門主管注意
清查是否有濫用“Every One”檔案伺服器存取權現象,已符合各法規要求..
看是否有繼承而來的或MIS不小心設錯,避免資料不當外洩
用戶存取記錄及行為分析,找出權限異常之帳戶< (1)權限過大 (2)追蹤誰核示此存取權限變更
找出不當之特權帳號或幽靈帳號,每個月寄發給該部門主管進行資安管控
© 2015 Hanjay Technology Co., Ltd All rights reserved.
Vulnerability-Auditor HanJay-IT-Auditor
© 2015 Hanjay Technology Co., Ltd All rights reserved.
案例分享:Varonis 與 DLP 產品差異-1
某一家在香港上市的銀行,員工總數3500人以上,2010年業務發展到超過50家分行, 總部的檔案伺服器資料容量在5年內由800GB增加至12TB,每家分行的檔案伺服器容量平均增加為100GB,總容量達到近20TB (5年增長約十倍)。
2010年初時內部稽核部門對檔案伺服器作出審核,並對管理層提出了重大的警告:”如果讓檔案伺服器這樣繼續的缺乏管理並不斷膨脹,必定會造成嚴重的資料洩漏事件。”
於是由資訊部接手、嘗試找出解決方案,最初的方向是希望透過DLP產品掃瞄並阻擋重要資料洩漏,經過半年左右的產品測試,他們得出的結論是,雖然DLP
在阻擋方面的功能很強大,但是有幾個致命的弱點:
Vulnerability-Auditor HanJay-IT-Auditor
© 2015 Hanjay Technology Co., Ltd All rights reserved.
客戶擔心的是….
1. DLP誤判的機會很大,造成一般使用者很大的困擾,預期用戶反應極大。
2. DLP只能在檔案伺服器上掃瞄出敏感資料的所在,但是近20TB的資料量造成敏感資料列表太長,沒有辦法判斷哪些需要優先處理。
3. DLP不能提供存取稽查及權限報表,也無法回答"誰看過那些敏感資料"、 "誰有權去看那些敏感資料",或者是"那些敏感資料的權限開放得過度寬鬆"這些問題。
因為以上這幾個原因,資訊部放棄了佈署DLP產品的計畫,把目光轉到資料管控軟體(Data Governance)。
Vulnerability-Auditor HanJay-IT-Auditor
© 2015 Hanjay Technology Co., Ltd All rights reserved.
Varonis真的幫上忙…
1. 所以在耗用的儲存空間上,Varonis通常只是其他產品的四分之一左右。
2. 導入Varonis後,資訊部在銀行的各平台上收集了大約三個月的資料用來分析, 結果出來的時候,
3. 資訊部只是投入了四個人、
4. 花了大約一個月時間,
5. 就把整整20TB容量的資料整理完畢,包括:
6. 在各個檔案伺服器,找出超過八千萬筆的敏感資料,包括客戶個人資料、信用卡卡號、帳號、帳戶資料、員工個人資料、薪酬、股東名冊…等。
Vulnerability-Auditor HanJay-IT-Auditor
© 2015 Hanjay Technology Co., Ltd All rights reserved.
用數據與圖表來證明…
利用 Varonis 的風險評分,確認大約一千個目錄為高度危險,
透過部門主管溝通,成功把這一千個目錄的風險降到可以接
受的程度,
並在檔案伺服器刪除了超過六千萬筆不需要存放的敏感資料。
其餘二千萬筆都被判斷為安全的,因為Varonis的權限建議
可以判斷出這些目錄現在僅有工作上有需要的員工才有存取
權限。
找到超過500個沒有人使用的用戶帳號與所屬資料夾檔案。
找到超過10,000個被判斷為工作上沒有需要的權限清理建議,
並在部門主管溝通之後刪除。
找到超過5,000個不小心開放了給Everyone的目錄,在跟部
門主管溝通之後修正絕大部份,把有需要的人員名單加回,
並把Everyone權限關掉。
© 2015 Hanjay Technology Co., Ltd All rights reserved.
© 2015 Hanjay Technology Co., Ltd All rights reserved.
© 2015 Hanjay Technology Co., Ltd All rights reserved.
Vulnerability-Auditor HanJay-IT-Auditor
© 2015 Hanjay Technology Co., Ltd All rights reserved.
機密性文件聲明事項
請注意 此文件包含漢杰科技重要業務機密,未經漢杰科技書面許可,請勿以任何形式複製、散佈、公開、轉載與使用所有本文件資料。 另外,除漢杰科技欲服務之客戶外,請勿將本文件所提及之漢杰科技方法論與相關內容洩漏予未經書面許可之第三者。