840 likes | 981 Views
資訊安全與檔案保護. ~鈊安資訊,深得您心~ 遠東科技大學 2007.04.27. 資訊安全之重要性. 2000 年遭受 DDoS 攻擊造成 yahoo 、 eBay 、 CNN 、 Amazon 等商業網站癱瘓達數小時之久。 2001 年 CodeRed 與 Nimda 蠕蟲造成全球 830 萬台電腦感染、 2003 年 SQL Slammer Worm 攻擊企業網站資料庫,造成美洲及亞洲地區的網路嚴重癱瘓。 2003 年 8 月 Blast 病毒利用 Windows 系統漏洞進行散佈,亦造成全球重大損失。
E N D
資訊安全與檔案保護 ~鈊安資訊,深得您心~ 遠東科技大學 2007.04.27
資訊安全之重要性 • 2000年遭受DDoS攻擊造成yahoo、eBay、CNN、Amazon等商業網站癱瘓達數小時之久。 • 2001年CodeRed與Nimda蠕蟲造成全球830萬台電腦感染、 • 2003年SQL Slammer Worm攻擊企業網站資料庫,造成美洲及亞洲地區的網路嚴重癱瘓。 • 2003年8月Blast病毒利用Windows系統漏洞進行散佈,亦造成全球重大損失。 • 2004年1月底Mydoom病毒更以最高一秒鐘感染1200封電子郵件,造成全球網路的重大損失。 網路安全事件層出不窮
英國安全顧問公司 Mi2g報導 • mi2g 發佈2001年駭客攻擊網路報告,該報告指出兩岸的僵局及美國與中國大陸軍機爭端,導致我與中國大陸網站遭駭客「網頁竄改」數量大幅增加占全球的8.7% 。 • 台灣「.tw」網域遭駭客「網頁竄改」由106件大幅增加至1,355件,增加1,178%。 • 中國大陸則由91件增加至1,298件,成長幅度達1,326%。 • 美國「.com」網域占2001年全球遭駭客「網頁竄改」案件的30%,「.gov」網域及「.mil」網域分別為37%及128%的高成長率。
資訊安全事件案例(1/3) • 2000年 DDoS攻擊造成yahoo、eBay、CNN、Amazon等商業網站癱瘓達數小時之久。 • 2001年5月1日至8日因撞機事件爆發中美駭客大戰。 • 2001/7:Amazon.com旗下的Bibliofind遭駭客盜走萬8千名顧客的信用卡資料 • 2001年CodeRed與Nimda蠕蟲造成全球830萬台電腦感染。 • 2002/3:台積電高級主管涉嫌以電子郵件外洩晶圓製程相關機密文件
資訊安全事件案例(2/3) • 2002年4月23日 SQL Injection 刑事警察局與新波科技公司研判國內八成以上的網站已面臨「資料隱碼」攻擊方式的嚴重威脅。 • 2003年8月Blast病毒利用Windows系統漏洞進行散佈,造成全球重大損失。 • 2004年1月底Mydoom病毒以最高每秒鐘感染1200封電子郵件,感染數十萬電腦,造成經濟損失達261億美元。
資訊安全事件案例(3/3) • 2004年5月Sasser病毒再次針對Windows作業系統漏洞進行傳染攻擊。 • 2004年5月我國刑事局偵九隊破獲木馬程式惡意攻擊竊密案 ,已有上百企業受害。
SQL Slammer Worm蔓延 僅30分鐘全球網路均已受到感染
MyDoom病毒(1/5) • 據網路安全研究所mi2g的調查數據,Mydoom在發動攻擊的24小時內就導致全球經濟損失10億美元。 • 美聯社報導,截至2004年2月3日,Mydoom感染的計算機數量已經超過7000萬台,其中每9封郵件中至少有1封有毒郵件,在全球所造成的直接經濟損失已經達到385億美元,從而一躍成為2004年1月份十大病毒之首。
MyDoom病毒(2/5) • SCO在美國東部時間2月1日晚間發布的一份聲明中證實,“MyDoom”使其www.sco.com網站無法正常運作。
MyDoom病毒(3/5) • 發現日期:2004/01/26 • 郵件主旨:不固定 • 附件副檔名: • .pif、.scr、.exe、.cmd、.bat、.zip • 附件大小: 22,528 bytes • 受影響之系統:Windows平台 • 感染後產生shimgapi.dll檔案,在系統中開啟 TCP port 3127-3198當成後門。
後門檔案 MyDoom病毒(4/5)
Port 3127 已開啟 MyDoom病毒(5/5)
NetSky病毒(1/3) • 最早發現日期:2004/04/16 • 兩個月內已用完所有英文命名字母,使得病毒名稱必需用兩碼英文 (.AB) 來命名,創下史上最短紀錄 • 病毒程式中被發現具有挑釁焙果病毒字眼 • Panda防毒公司指出現在大約有95%家公司的電腦受到感染。而Netsky.D是最具有破壞能力的病毒,也是傳播速度最快的。 • 據位於倫敦的網絡安全研究所mi2g的調查數據,NetSky(A~Q)截至3月30日止,估計約導致全球經濟損失在35.8到43.8billion左右。
NetSky病毒(2/3) • 英國軟體和服務公司Sophos指出,由於偽裝成為哈利波特遊戲或者書籍,Netsky P變種病毒正試圖捲土重來
Bagle病毒(1/3) • 網路安全研究所mi2g的調查,2004年的三大病毒(Bagle、MyDoom、NetSky)截至2004年3月16日止的兩個月內,總共造成約7200萬人民工作日的同等損失。 • 平均每天造成了120萬人民工作日的損失,成為有史以來因病毒造成的最高損失記錄。 • 從用戶報警和咨詢次數分析,韓國國內估計有100萬台電腦已感染上了這種病毒。
Bagle病毒(2/3) • 發現日期:2004/01/18 • 郵件主旨: 無 • 附件名稱: 隨機命名 • 附件大小: 8,208 bytes • 在 TCP port 4751 開啟後門 • 會常駐在記憶體中, 利用電子郵件和網路芳鄰大量散播病毒檔案
Bagle病毒(3/3) 信件夾帶兩個附加檔案, 一個是某個女孩的照片, 另一個是病毒複製檔 資料來源:趨勢科技
評估網路安全需求 • 網際網路的安全 • 內部網路安全 • 密碼管理 • 遠端存取 • 資料殘留 • 實體安全
安全現況評估 • 確認要保護的東西 • 決定哪些人可能對第一點所提到的東西造成傷害 • 決定威脅的型態 • 決定優先順序
網路安全防範政策的制定(1/2) • 依據風險制定保護的政策來配置資源 • 資訊使用政策 • 網路管理政策 • 系統維護政策 • 帳號密碼管理原則 • 備份計劃 • 緊急應變計劃 • 災難復原計畫
網路安全防範政策的制定(2/2) • 政策施行的先後順序 • 政策訂定與施行前,應先確認風險評估的完成,依照風險嚴重程度進行政策的實施 • 在許多情況下,因各部門的風險價值不同而有不同的優先順序,因此公司內部可能會有許多政策的制定會同時進行 • 當風險已降低至可接受的安全程度內,則可召集相關人員共同討論,進行下一政策實施
安全政策執行重點-訓練(1/2) • 對於主管的訓練 • 主管對於網路安全的認知 • 網路安全所造成的成本與投入防護的成本取捨 • 網路安全與企業戰略 • 網路安全與財務運用 • 對於管理者及系統管理者 • 確認網路管理者及系統管理者有足夠的時間及訓練來執行他們的工作 • 審慎使用防火牆、智慧卡及其他安全技術產品 • 具備積極偵測、防禦攻擊及追蹤並告發攻擊者的應變能力
安全政策執行重點-訓練(2/2) • 組織成員對於網路安全認知的訓練 • 清楚而一致地告知人員網路安全政策與程序 • 進行警覺訓練,以確保電腦使用者保持良好的安全態度,以及了解有關電腦網路安全危機 • 安全事件處理與通報
企業網路安全政策稽核 • 稽核重點 • 現有環境與政策是否需要調整 • 確實執行與遵守安全政策 • 稽核結果 • 重新評估企業網路安全風險 • 重新停估與修正網路安全策略或政策 • 教育訓練是否需在加強 • 企業內部的網路安全環境現況
企業持續運作與災難復原計畫 • 維持企業在遇到安全事件時仍能維持正常且持續的運作 • 以911為例…有些企業仍可以在數小時後回復正常的運作提供服務,靠的是… • 備份計畫 • 適當的備份機制與系統 • 緊急應變計劃 • 適當的處理與證據保存 • 災難復原計畫 • 快速回復系統運作
違常處理 • 系統損毀 • 不熟悉的使用者帳號 • 出現新檔案 • 檔案被更改、刪除或搬移 • 企圖寫入系統檔 • …
違常處理-設定行動計畫 • 確保任何重要系統的完整性 • 嘗試阻止任何進一步的攻擊 • 確定攻擊來源 • 確定攻擊方式 • 恢復正常的運作 • 如果時機合適、通知執法單位、並採取法律行動 • 避免負面報導
影響應變方法的因素 • 是否發生在多個地點,如網路的分支、分區及伺服器上? • 有多少台電腦受到影響 • 機密的資料有危險嗎?
事後分析 • 檢視整件事情如何處理及決定 • 是否有任何的程序必須更改 • 參與人員 • 參與應變的技術部門員工 • 受到影響部門的中階主管 • 高階主管
違規者處理準則 • 內部人員 • 口頭警告 • 書面警告 • 重新調整職務或降級 • 解雇 • 提出控訴 • 外面人士 • 切斷及驅趕 • 追蹤破壞者、採取法律行動
存活系統 • 系統中執行多少的防護措施,網路的攻擊將永遠存在 • 因此,系統安全的觀點需要擴充,並將焦點致力於建立系統在遭受攻擊後仍能運作上 • 安全和存活必須是一開始設計時的一部分,以達到最佳的效能
預防勝於治療 • 弱點掃描 • 使用者 • 使用自動化的工具評估安全弱點 • 安全弱點無法被正確評估 • 滲透測試 • 安全專家 • 找出企業潛在的安全弱點 • 由外部的觀點來看,安全弱點被正確評估與解讀,並提供改善的方法與機制建議
企業網路的新問題 • 無線網路的威脅 • 檔案共享的安全 • 即時通訊的安全
無線網路的威脅 • 不受實體建築與線路的阻隔 • 加密技術(WEP)尚未成熟,無法確保無線網路的竊聽行為(如經由隔壁大樓進行竊聽)
安全的無線網路 • 界定無線網路傳輸範圍(如利用指向性天線) • 開啟安全模式(如關閉SID Broadcast) • 定期使用掃描器偵測,查詢現行無線網路的使用狀態 • 避免開啟ad-hoc模式,形成企業網路跳板 • 無線網路安全認證機制 • 落實安全的無線管理政策
檔案共享的安全(1/2) • MyDoom、NetSky、Bagel等病毒均利用網路芳鄰與點對點傳輸程式(P2P)進行擴散,檔案共享已成為病毒擴散的主要途徑之一 • 檔案共享最麻煩之處便在於只要企業間有一人受到感染,便能利用共享服務在整個企業間流竄
檔案共享的安全(2/2) • 利用安全策略有效地限制檔案共享的使用 • 限制只能在企業內部使用 • 加強Client的安全機制
即時通訊(IM)的安全(1/2) • 即時通訊軟體在設計多以實用性為主要考量,並無考慮安全性問題 • 多數的即時通訊軟體都具備繞過防火牆功能,防火牆無法進行阻擋 • 即使已限定企業網路之Email、FTP傳輸,但即時通訊的檔案傳輸功能很可能成為機密文件傳輸的另一個管道
即時通訊(IM)的安全(1/2) • 利用安全策略管理IM的使用 • 制定與落實使用原則的執行 • 監看(需事先告知並取得同意,目前尚有爭議) • 架設內部IM機制 • 自行管理內部IM系統,並限制外部IM使用
企業營運與網路安全 • 網路安全的投資為企業贏得 • 企業的價值 • 客戶的信賴 • 品牌忠誠度 • 發生資訊安全事件 • 企業形象受損 • 實質的損失
結論 • 企業網路安全最大風險就是 • 不知道風險 • 或未能正確評估風險 • 網路安全管理 • 安全策略 • 安全政策 • 外部的輔助 • 滲透測試 • 稽核 • 教育訓練
大綱 • 資安的重要性 • 資料竊取案例探討 • 企業須保護的資料 • 企業擔憂的問題網路保險櫃簡介 • 五大特點 • 企業需求 • 使用介面 • 硬體需求 • 擴充套件 • 產品優勢 • 產品比較
資安的重要性 • 從電影情節談起 • 戰爭遊戲(War Game, 1983):一名高中生無意中入侵美國國防部的電腦(WOPR),卻不經意地導致核子戰爭的威脅… • 網路上身(The Net, 1995):描述一名SOHO族的程式設計師,平常對外的聯繫僅透過電腦與網路,但卻無端舉入陰謀紛爭,導致身份資料遭受竄改,再也不是她自己…
資料竊取案例探討 • 國內公司案例 • 2005年全球最大液晶面板玻璃製造商康寧公司的一名前員工,遭美國聯邦調查局逮捕,被指控竊取康寧的重要業務機密,出售給競爭對手台灣的碧悠公司。 • 2005/11,國內某IC設計公司多名離職員工,竊取數位相機控制晶片產品資料與原始碼,共組新公司,個人觸犯刑法妨害秘密罪嫌,新公司並科處罰金。 • 2001/03,某半導體公司指控內部員工竊取公司十二吋晶圓廠製程、配方、配置設計圖等敏感機密資料,外洩給中國半導體公司。
企業須保護的資料 • 企業現況需保護的資料 • 管理部門 • 人事資料 • 公司營運資料 • 技術部門 • 合作計劃 • 研發成果 • 業務部門 • 客戶資料 • 廠商資料 • 財務部門 • 財務報表 • 公司帳務
企業擔憂的問題 • 企業擔憂的問題 • 現(離)職員工外流重要資訊。 • 被對手竊取公司核心技術文件。 • 公司因機密洩露而造成無可估計的損失。 • 客戶喪失信心,造成營業上的損失,也可能引來官司糾紛。 • 企業需求 • 打不開、看不成、拿不走、 改不了、賴不掉。