優質網路的前醚資安問題從心談起 - i-shou...

資安問題從心談起

吳長洲SGS\國際驗證服務部

[email protected]

－優質網路的前提－

2SGS is THE WORLD’S LEADING VERIFICATION, TESTING AND CERTIFICATION COMPANY

吳長洲 (Wedar Wu)

上海商銀、柏騰科技、元利盛精密機械、亞東技術學院、

太欣半導體、台北市榮民服務處、桃園療養院、台灣晶技、

海軍技術學校、絡達科技、空軍總部、內政部戶政司、

捷盛運輸、景山通運、嘉利實業、宇環科技、陽程科技、

中華電信…等

實績

ISO 9000 QMS / ISO 27000 ISMS / ISO 10015 主任評審員

教育部頒大專講師資格證書

美國專案管理學會PMP

資格

美商AT&T 系統工程師 / 國泰人壽業務部組訓專員

中華航空儀電(REI)工程師 / 國泰產險課長/集團講師

貝爾國際驗證總經理特助 / 佳普(股)公司東莞區副總

中原大學企管系講師 / 開南大學企管系講師

現任SGS 國際驗證服務部資深評審專員

經歷

中原大學電機工程系畢業

中原大學企管研究所畢業學歷


Agenda

•前言及介紹

•網路是機會也是威脅

•系統導入與執行稽核的整合發現

•強化個人資安意識刻不容緩

•結論與討論


資安防護裝置建置概況－按機構類別分（中華民國96年12月底）

2. 本項目係針對30人以上機構調查資料來源

註：1. 本問項為複選題

3.70227.781548.152694.4451100.0054--54私立研究機構

2.871016.335742.1214791.4031994.563302.017349私立學校

53.492325.581155.812497.674297.6742--43公立研究機構

43.0798511.5926524.3155685.961,96692.002,104--2,287公立學校

49.3719738.3515344.1117672.9329199.25396--399公營事業機構

46.3977724.9641842.5171283.821,40495.881,606--1,675政府行政機關

3.471,21816.255,70027.569,66575.2626,39085.6430,0309.453,31535,067民營企業

8.068.068.068.063,2123,2123,2123,21216.6016.6016.6016.606,6196,6196,6196,61928.3528.3528.3528.3511,30611,30611,30611,30676.4076.4076.4076.4030,46330,46330,46330,46386.6886.6886.6886.6834,56234,56234,56234,5628.338.338.338.333,3223,3223,3223,32239,87439,87439,87439,874總計

％家數％家數％家數％家數％家數％家數機構類別

其他漏洞偵測

系統入侵偵測

系統防火牆防毒

有建置(註1)

無建置使用電

腦家數(註2)

建置概況

單位：家；％

資料來源：中華民國統計資訊網


資安經費概況

經費概況

機構類別

總　　　　　計 127,804 120,774

單位：百萬元；％

占資訊總

經費（％）金額

96年 95年

資訊總經費

資安經費

金額占資訊總

經費（％）

資訊總經費

資安經費

6.91

4.59

5.62

5505.00

3168.00

1237.00

511.00

243.00

4.56

3.91

5.41

6.23

3.30

253.00

61.00

32.00

1,842

4,064

4.75

5.09

11,136

4,316

592

6.38

4.74

3.84

651

203

21

256

　公營事業機構

　公立學校

　私立學校

57

4,281

449

5,035

1,478

　民營企業

　政府行政機關

　私立研究機構

註：本項目係針對30人以上機構調查

80,917

17,907

　公立研究機構

88,716

17,640

10,205

6,895 5.40

4.93

7.56

4,374

1,334

資料來源：中華民國統計資訊網


73%的資料外洩是源自外部

•該調查整理了500個法院的調查報告以及約2.3億筆相關紀錄，並分析數百個企業的資料外洩事件

•73%的資料外洩是源自外部，僅有18%是來自內部威脅

•大多數資料外洩情事都結合多種事件，而非來自單一的被駭或是入侵。

•在源自外部的資料外洩事件中，有39%肇因於企業合作伙伴，該比例在進行調查的4年內成長了5倍

•多數的資料外洩事件來自許多情況，但有62%的比例直接或間接與重大的內部錯誤有關

•有計畫的資料竊取行動，則有59%是採用駭客或入侵手法。

資料：Verizon Business ；2008/Jun/11


資安測試資安測試資安測試資安測試 ○○○○○○○○縣府縣府縣府縣府4444成成成成4444員工不及員工不及員工不及員工不及格格格格（（（（自由電子報自由電子報自由電子報自由電子報2008/8/232008/8/232008/8/232008/8/23））））

•「預防帳號給人盜用的方法，參考」、「小Ｓ如何追求自己的幸福」、「名模裸浴完整影片喔」，○○縣府計畫室資訊管理科最近以寄件者仿冒方式，策劃18件政治、公務、體育、旅遊、八卦、情色等惡意電子郵件，寄發給縣府同仁每人6封信件，測試結果令資管人員直冒冷汗，竟然有4成4員工對來路不明的郵件，仍開啟附件，並點選連結。


裴林的Yahoo信箱帳號用社交工程法破的

•週四有關Sarah Palin（裴林，美共和黨總統搭檔候選人）的Yahoo Mail究竟如何被破解，已經有更多細節出現，原來作法也不過是藉由蒐集個人資訊這類的社交工程手法而已。

資料來源:http://www.zdnet.com.tw 2008/9/19


趨勢科技2008上半年資安威脅報告

•發展出全新的社交工程技巧來詐騙一般消費者與企業

•過去六個月以來，含有惡意程式的網頁數量大幅攀升

–2007 年 12 月的 15,000,000，網頁威脅數量在 3 月創下新高，到達 50,000,000

•使用過時技巧的廣告程式與間諜程式持續下滑

•網路釣魚技巧持續翻新混合式攻擊以避人耳目

http://us.trendmicro.com/imperia/md/content/us/pdf/threats/securitylibrary/1h_2008_threat_report_final.pdf


未來六個月預測

•社交工程依然是重要的攻擊方法之一–開學熱潮、美國總統大選、足球與美式橄欖球比賽，以及每年 12 月的年終購物季

•網路犯罪者將繼續鎖定新發現的一些協力廠商軟體漏洞–QuickTime、RealPlayer、Adobe Flash、、

•垃圾郵件數量將持續呈倍數成長–尖峰將達到每天 1700 億至 1800 億封

•垃圾郵件與網路釣魚將繼續在混合式威脅中扮演重要角色–大約有 0.2% 的網頁 (每 500 個就有一個) 是導向被感染的電腦網站

http://us.trendmicro.com/imperia/md/content/us/pdf/threats/securitylibrary/1h_2008_threat_report_final.pdf

網路是機會也是威脅


我們身在網路革命

第一次工業革命

第二次工業革命

第三次工業革命

第四次工業革命

機械化：機械取代人力、蒸氣機的發明、

電氣化：電報、電話、電視的發明、內燃機及發電機取代蒸汽機、石化工業、汽車與飛機

資訊化：電子計算機、電晶體、積體電路及個人電腦等的發明、www

？

電子、半

導體、資

訊、光電

、通訊

及生物技

術的蓬勃

發展


網路空間機會無限

•打破時空限制

•人人可以是老闆

–Pchome Yahoo..

•人人都可以是創業家

–Youtube..

•E-learning

•..


我國經常上網人口為1,009萬人資料來源為：資策會FIND/經濟部技術處「創新資訊應用研究計畫」

看一個案例－植入連結

http://www.itis.tw/malicious_url/4530

http://rogerspeaking.com/2008/09/1461

看一個案例－網站遭駭

http://rogerspeaking.com/blog/wp-content/uploads/2008/10/elq_org_tw

_hacked_20081004.png


古人有言

山不轉路轉

人轉

心轉


組織員工的心聲？

資訊安全

說起來

做起來

忙起來

重要！

次要！

不要！

系統導入與執行稽核的整合發現


資訊安全危機事件的引發與其原因

•第一類：屬於人為疏失或蓄意破壞–欠缺訓練而不會操作

–疏忽而導致操作錯誤

–門禁管制鬆散

–未依規定確實執行各項定期檢查

–電腦病毒感染、駭客入侵、竊盜、篡改等。

•第二類：屬於自然災害–地震、火災、水災、風災、雷擊等

•第三類：屬於設備與環境因素–設備損壞、電力中斷

–環境潮濕、灰塵滿佈或週圍溫度過高

–老鼠或蟑螂等生物的破壞


嚴重的資安核心問題－資安人雜誌－

•高階主管資安認知

•一般員工資安認知

•稽核落實

•管理問題

•人才培育問題

•內外部威脅


抓到可疑信件，該高興嗎？


抓到木馬，代表100％防護？


持續運營與備援體系

我們已經有做磁帶備份了，還要做什麼備援，這有不一樣嗎？

又是要花錢的，錢花了這麼多，根本看不到效

益。

真的有天災發生了，大家都逃不掉，為什麼我們要花那麼多功

夫？

想太多了，事情不會發生，就算發生了，也不見得會出在我們身上。真的碰上了，到時候再來想辦法，反正有錢就可以解

決。沒事好端端的，為什麼要參照國

外的標準？

我們每年都有做測試啊，反正拿一捲磁帶，到廠商那邊重新倒資料，備援演練不是這樣就好了，為什麼還要找

使用單位？

強化個人資安意識刻不容緩


如何避免被釣如何避免被釣如何避免被釣如何避免被釣？？？？

1. 不要急著立即回應2. 檢查真假網頁的兩個小動作3. 不要直接按下郵件連結

4. 避免開啟可疑附件檔（包包包包包包包包括括括括括括括括.exe.exe.exe.exe.exe.exe.exe.exe、、、、、、、、.com.com.com.com.com.com.com.com、、、、、、、、........scrscrscrscrscrscrscrscr、、、、、、、、........pifpifpifpifpifpifpifpif、、、、、、、、.bat.bat.bat.bat.bat.bat.bat.bat和和和和和和和和........vbsvbsvbsvbsvbsvbsvbsvbs等等等等等等等等））））））））

5. 常至網路安全組織網站瀏覽6. 勤補瀏覽器漏洞7. 安裝安全軟體，避免網路釣魚

與間諜軟體聯手8. 檢舉可疑信件與網站

http://enews.url.com.tw/Trend.shtml


小心! 釣魚網站就在你身邊!

•http://blog.djh5e.org/archives/91


Top ten phishing targetshttp://us.trendmicro.com/imperia/md/content/us/pdf/threats/securitylibrary/1h_2008_threat_report_final.pdf

看原始檔案


自己做個測試吧http://www.isafe.tw/

http://niiepa.org/index.aspx


它們一樣嗎？

虛擬網頁http://www.landbank.com.tw/

http://www.1andbank.com.tw/

1ll 1


到底孰輕孰重？

•諾貝爾經濟學獎得主米爾頓•弗里德曼（Milton Friedman）曾說：「哪裡有管制，哪裡就有特權。」

管理高層基層員工

資安標準


資訊安全之重心

管理管理管理管理

70707070%%%%

技術技術技術技術

20202020%%%%

稽核稽核稽核稽核

10101010%%%%


結論與建議

•單靠執法人員的查緝，無法解決網釣和殭屍電腦網路的問題；科技業和消費者也應扮演重要的角色。

•最新的瀏覽器已提高安全功能，讓民眾在逛網站時能趨吉避凶。

•網際網路服務供應商（ISP）若能積極的參與並提供安全軟體供顧客使用，也有助於打擊電腦網路之威脅。

•組織可視組織需求導入適當之資訊安全管理系統，達到對內尋求改善，對外彰顯績效的效果。


•每天早晨在非洲，都有一隻羚羊醒來，知道一定要跑得比最快的獅子還要快，不然就會被吃掉

•每天早晨都有一頭獅子醒來，知道一定要撲上最慢的一隻羚羊，不然就會餓死

結論是？

感謝聆聽

敬請指教

優質網路的前醚 資安問題 從心談起 - i-shou...

Documents

優質網路的前醚資安問題從心談起 - i-shou...