1 / 65

個人資料相關資訊安全管控措施 從閘道到端點執行技術保護

個人資料相關資訊安全管控措施 從閘道到端點執行技術保護. V 0.9. Your Security , Our Mission 企業資安 , 桓基把關. 簡報大綱. 前言:資料洩漏的統計資料 資訊 保存 技術層面 封鎖資料的傳遞路徑 - Web Application 封鎖資料的傳遞路徑 - Email 封鎖資料的傳遞路徑 - 遠端畫面 操控. 前言:資料洩漏的統計資料. DataLoss DB. 2005 ~ 2006 是資料外洩事件爆發點. 410.2%. 景氣跟資料外洩也有正向關係. 357.8%. 資料來源.

iona
Download Presentation

個人資料相關資訊安全管控措施 從閘道到端點執行技術保護

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 個人資料相關資訊安全管控措施從閘道到端點執行技術保護個人資料相關資訊安全管控措施從閘道到端點執行技術保護 • V 0.9 Your Security , Our Mission 企業資安 ,桓基把關

  2. 簡報大綱 • 前言:資料洩漏的統計資料 • 資訊保存技術層面 • 封鎖資料的傳遞路徑-Web Application • 封鎖資料的傳遞路徑-Email • 封鎖資料的傳遞路徑-遠端畫面操控

  3. 前言:資料洩漏的統計資料

  4. DataLoss DB

  5. 2005 ~ 2006 是資料外洩事件爆發點 410.2% 景氣跟資料外洩也有正向關係 357.8% 資料來源

  6. 資料洩漏-以洩漏方式區分 個人電腦遭竊 郵件傳遞 實體文件隨意丟棄 網頁系統 (資料未妥善防護) 詐欺、社交工程 筆記型電腦遭竊 駭客入侵 (竊取內部資料)

  7. 洩漏方式名詞定義

  8. 洩漏方式名詞定義

  9. 資料洩漏-以資料屬性區分 雜項 出生日期 醫療資料 住家地址 身分證號 姓名 • 個人基本核心資料 (姓名、身分證字號) 占了近 5 成

  10. 資料洩漏-以組織類型區分 政府機關 醫療單位 教育單位 商業組織

  11. 資料洩漏-以來源區分 內部人員-惡意行為 內部人員-無心之過 • 雖然資料洩漏事件人以外部人員取得為主 (53%),但來自內部人員的疏忽與惡意行為已不可忽視(36%)。 外部人員(管道)取得

  12. 前言總結 • 資料外洩方式 • 駭客入侵 (24%) • 電腦遭竊 (18%) • 詐欺與社交工程 (12%) • 網站系統 (10%) • 文件隨意丟棄 (7%) • 郵件路徑 (7%) • 個人基本資料 (姓名與身分證號)仍為主要外洩外洩類型  • 透過外部人員與內部人員洩漏的比重相當

  13. 資訊保存技術層面

  14. 資料防護 – 技術面 • 資料存取記錄保存 • 系統存取記錄保存 • 防護裝置記錄保存 • 資安事件關聯 • 身分識別 • 教育訓練 • 裝置安全防護 • 安全軟體開發 • 系統安全檢測 • 系統安全監控與防護 • 系統活動監控與攔截 • 資料盤點 • 資料加解密 • 資料變造 • 資料授權 • 資料存取軌跡

  15. 個資盤點:找出個資所在地 • 利用資料流概念來清查組識內含有個人資料的紙本或電子檔案,了解內部個資範圍。 • 1.紙本檔案 • 2. 電子檔案 • 存放在個人電腦、檔案伺服器、磁帶與光碟中 • 3. 應用系統 • 大多是以資料庫方式儲存

  16. 個資盤點工具-電子檔案 • 中華民國個資保護協會-單機版個資檢測工具 • http://www.cdpa.org.tw/privacyagent.html

  17. 個資盤點工具-電子檔案

  18. 資料外洩-兩大防護方式

  19. 電子檔案(內容)的防護原理 • 資料加解密 • 將原始資料加密,未授權者看到是亂碼,例 • A123456789 (原始) => zCD#45%FccKc$u (加密) • 資料變造 (遮罩) • 將原始資料經過修改,未授權者看到是無意義資料,例 • A123456789(原始) => B125321123 (變造) • A123456789(原始) => A1*3*5*7*9 (遮罩) • 資料授權 • 只有授權者才可開啟此檔案

  20. 電子檔案防護-密碼與加密 • 大多數電子檔案應用軟體均有支援密碼保護,也可用壓縮軟體 (如 7-zip) 來啟用加密防護 • MS Word • 壓縮軟體 7-Zip

  21. 電子檔案防護-磁碟加密 • 直接對磁碟加密,降低實體儲存裝置遺失的外洩風險 • 常見工具(軟體)有 USB 加密碟、MS BitLocker與 TrueCrypt (Free) 等 • http://www.truecrypt.org/ • 重要: 一定要先做好備份

  22. 密碼強度是很重要 • Google “rar password cracker”, “office password cracker ”,可以找出一堆解密軟體 ,個人電腦可在幾小時至幾日內解出常用密碼。 • 目前個人電腦都配有 3D 顯示卡,更可透過 GPU 來加速解密速度。 ElcomSoftCo.Ltd. 下載 價格

  23. 電子檔案防護技術: DRM • DRM 最早是用在數位音樂與數位電影的保護,只有合法授權者才可以讀取數位媒體檔案。 • 目前也常被用來保護以電子檔案形式存在的機敏資料,如研發設計稿、財務資料、個人資料等電子檔案。

  24. 電子檔案防護: 授權管控 • 透過檔案系統的 內建 ACL 清單

  25. 檔案授權管控系統 (商用軟體) • 點選目錄(檔案),可列出相關人員的存取權限

  26. 檔案授權管控系統 (商用軟體) • 點選部門(人員),可列出檔案的存取權限

  27. 檔案授權管控系統(商用軟體) • 檔案的存取動作 (開啟、修改、刪除)均會被詳細記錄

  28. 資料外洩常見方案 : DLP • Data Loss Prevention,常見有三種類型: • 檔案控管 (File Protection): • 透過控管檔案本身避免資料外洩,如將機密文件加密。 • 周邊控管 (I/O Protection): • 控管周邊硬體,限制或紀錄輸出入與儲存裝置等的使用狀況,防範機敏文件透過 USB 等周邊硬體外洩。 • 網路控管 (Network Protection): • 控管網路,透過限制、側錄或寄路藉由網路傳佈的Email 、MSN 、 Skype 等作業,防範機密資料透過網路外洩。

  29. 裝置安全: 端點防護軟體 安全符規控管 網路存取控管 • 2. 安全政策遵循 • (強制所有人都採用相同的管控政策) 應用程式控管 裝置管控 主機型入侵偵測 • 1. 端點防護 • (防止惡意攻擊、惡意軟體入侵) 主機型防火牆 防間諜軟體 防毒

  30. 裝置安全:端點軟體產品規格 • 完整端點防護軟體大多是由防毒軟體廠商的市場

  31. 網頁應用系統已成為資外洩最佳管道 封鎖資料的傳遞路徑-web application

  32. Web 應用系統安全問題 • 全球 Web 服務安全需求,將進入高速成長期 • Web 服務全面普及:Web 應用服務已成為網際網路普及最大的應用服務,可預期的是舊有主從式應用系統轉移成Web 化應用,已成為銳不可擋的趨勢,而伴隨著帶來更多潛在安全漏洞及駭客攻擊的威脅,已造成重大的資安隱憂。 • 七成網路攻擊鎖定 Web 網站:Gartner 報告指出,已發生網路攻擊事件中,有 70% 以上都是針對 Web 協定與相關系統及服務。 Google 分析報告也說明全球至少 2/3的網站是脆弱且易受攻擊, Web 安全蔚為企業關注的資安焦點。 • 傳統防火牆已無法有效阻擋:傳統的網路層級防火牆及入侵偵測/防禦系統 (IDS/IDP) 已被證明是無法阻擋深層的 Web 應用攻擊,顯然的企業需要更高層級的應用程式防火牆 (Web Application Firewall) 。

  33. 為何網站弱點是不容被忽視呢? • Frequent • 3 out of 4 business websites are vulnerable to attack (Gartner) • Pervasive • 75% of hacks occur at the Application level (Gartner) • Undetected • QA testing tools not designed to detect security defects in applications • Manual patching - reactive, never ending, time consuming and expensive • Dangerous • When exploited, security defects destroy company value and customer trust >1000 application ‘Healthchecks’ – 98% vulnerable: all had firewalls and encryption solutions in place…

  34. 程式設計師要負最大責任 • OWASP 十大缺失有一半以上都是程式設計師的錯! 程式設計師要負起最大的責任!

  35. 常見 Web 應用系統架構 • 程式設計師的疏忽,造成 Web 應用伺服器的漏洞,讓儲存在資料庫中的機敏資料(個資),輕易被未授權取得。 • 出問題的在這裡 • 個資、重要資料存在這裡

  36. 常見網站安全解決方案 • 網站弱點掃描暨弱點評估服務 • Vulnerability Assessment & Consulting Service • 滲透測試暨弱點評估服務 • Manual Penetration Test & Consulting Service • 自動化工具/人工原碼檢測暨諮詢服務 • Automated and Manual Code Review & Consulting Service • 網站防火牆 • Web Application Firewall

  37. 網站弱點掃描與弱點評估 • 市場常見服務 • 使用自動化弱點掃描工具,對作業系統、系統服務、與 Web 應用程式進行檢查。 • 分析判斷掃描結果與提出弱點修補建議,協助客戶進行補強工作。 • 網站自動化弱點掃描工具 • 模擬 Web 客戶端,使用標準 HTTP 協定找出網站應用系統可能具備的弱點。 • 此種方式稱為黑箱測試法 • 跟原碼檢測工具相比,網站自動化掃描工具並不直接掃描原始碼,而是利用攻擊方法來驗證受測網站是否具備弱點。

  38. 網站弱點掃描與弱點評估

  39. 自動化工具原碼檢測 • 大量重複性的檢測可以使用機器代勞

  40. 人工原碼檢測 • 以人工方式,逐行檢測 Web 應用系統的程式碼。找出程式語法漏洞,更能夠針對程式邏輯 (Business Logic) 找出缺失。 • 與自動靜態原碼檢測工具相比,人工原碼檢測方式能夠判斷出邏輯上的缺失。

  41. 滲透測試-常用工具

  42. 步驟一:分析網站結構

  43. 步驟二:找出資料提交點

  44. 步驟三:逐步分析表頭

  45. 步驟四:分析網頁結構

  46. 步驟五:分析隱藏欄位 駭客的直覺反應: 按右鍵檢視原始檔 看是否有隱藏欄位(hidden form)

  47. 步驟六:分析隱藏欄位 很多隱藏欄位,許多都是為了防止暴力攻擊法

  48. 步驟七:分析 JavaScript queryLoginStts() -> Ajax(popup/ajax_isUsrLogin.html) 驗證是否已經登入過…..(為淺在問題…)

  49. 步驟八:自訂攻擊字串

  50. 步驟九:提交與分析結果

More Related