IT如何準備資安稽核?

一個重視資安且內控制度完整的企業,一定會建立起完善內外稽核系統。

透過內外部資安稽核施作,可強化企業資安體質,且透過所建立PDCA機制,持續提升企業資安的有效性。我於2019年年底剛取得ISMS認證的工程師,透過年度外稽的實兵演練,分享首次接受稽核的準備工作及心得。

首次接觸ISMS制度

在我還沒受稽核訓練前,初次接觸資安稽核工作的時候,我是協助同仁準備資安稽核文件的角色,當中包括處理文件、歸納文件等等的工作內容,並也藉由全程參與外部稽核的機會,更近距離感受稽核當下的氣氛。會有產生一種ISMS只是文件整理的錯覺。

參與ISO 27001資訊安全管理制度主導稽核員訓練課程期間,導師教導資安稽核的觀念、解釋條文的內容、稽核的技巧等,並透過分組討論、模擬情境的方式實作並導正觀念。獲得資安稽核基礎認知後,工作上能夠處理得更適切、也越能夠了解其中的脈絡和意義。對於資產風險管控與分析以及活用PDCA的流程操作有了一番新的體驗。

ISMS過程中需關注多個面向

資訊安全規章辦法多以中性字眼呈現,但是在一些資產風險管理上就必需採取嚴謹的用詞才能確保風險分析的價值,目的是為了搭配不同的組織文化做相對應的措施,多閱讀企業內部文件並與規章辦法做連結,這種練習可以加深對條文的理解以及增加對內部文件的熟悉程度。歸納來說,ISMS相關的條例或辦法可以滿足各類企業管控所需,因為它有足夠的彈性去滿足在經費、人力、制度各方面的需求。 

準備資安稽核涵蓋的項目很多,資產清冊、風險評估、緊急應變措施、各式記錄、文件化資料等等,這些項目除了熟能生巧之外,應該要了解其中的來龍去脈、搭配檢討、調整。或許過程略為辛苦,但是對我來說就是一個制度訓練的基礎。

首次外稽給予的衝擊

當外稽進入公司大門開始,填寫訪客通知單、攜帶物品單、閱讀資安規定,年度外稽就已經開始,這也是公司資安制度的常態落實。

由於年度稽核是企業相當期待的一件事情,所以在開始會議前,公司的資安官、資安部門主管、文件管理員、內部稽核員以及相關負責同仁會提前就位,等待著外部稽核員的到來,此時的氣氛很正式。進行開始會議時,外部稽核員會向與會人員說明當次稽核的流程及重點,開始會議之後,就留下IT部門接受外部稽核員的檢視,稽核過程只能以誠惶誠恐作比喻,生怕有哪個小細節沒有做好。

首先外部稽核員會針對去年的次缺與建議事項和負責的同仁進行追蹤確認,接者參考「適用性說明書」,建立條文規章與內部文件的對應關係,這是稽核員後續驗證說、寫、做一致的階段性參考文件,也是稽核方及受稽方都會關注的一個重點。

由於外部稽核不像內稽熟悉內部運作細節,所以還會透過翻閱「內部稽核報告」的方式蒐集資訊、搭配稽核方法做抽樣驗證。資安稽核所羅列的資料十分繁雜,但稽核員必需在有限的時間內進行調查,所以也會以「文件流程的關聯性」作為判定符合規章辦法的依據。最後的外部稽核結束會議,宣告著此次稽核的完成,但不代表制度流程的句點,而必需持續改善。

良善的態度準備資安稽核

在準備資安稽核工作的時候,難免會與同仁互動、交流,由於過程可能會中斷同仁作業或造成多餘工作負擔的關係,容易導致同仁有排斥的情形發生,必需耐心地向同仁解釋並傳遞是基於協助的立場、沒有找碴的意思,建立互助合作的渠道有利於後續檢視並尋找、討論需要改善的地方。

稽核的當下,稽核方與受稽方在處於不對等的關係,雙方都應了解稽核的目的是在於發現問題並達到持續改善的作用,所以建議受稽方敞開心胸配合稽核人員的調查,倘若與稽核人員意見分歧的時候,也要沉澱思索、回歸到稽核的主軸判斷並與稽核人員溝通。

資安稽核不只是文件管理的工作,它是一個透過制度性的管控降低企業資安風險的最適制度,畢竟資安是人、資料、系統與公司文化的結合,要高層的支持,同仁的配合,才有辦法持續與完善。

 

 

關於Version 2 Limited

Version 2 Limited是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於精品科技

精品科技(FineArt Technology) 成立於1989年,由交大實驗室中,一群志同道合的學長學弟所組合而成的團隊,為一家專業的軟體研發公司。從國內第一套中文桌上排版系統開始,到投入手寫辨識領域,憑藉著程式最小、速度最快、辨識最準等優異特性,獲得許多國際大廠的合作與肯定。歷經二十個寒暑,精品科技所推出的產品,無不廣受客戶好評。

 

關於Version 2

Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於精品科技
精品科技(FineArt Technology) 成立於1989年,由交大實驗室中,一群志同道合的學長學弟所組合而成的團隊,為一家專業的軟體研發公司。從國內第一套中文桌上排版系統開始,到投入手寫辨識領域,憑藉著程式最小、速度最快、辨識最準等優異特性,獲得許多國際大廠的合作與肯定。歷經二十個寒暑,精品科技所推出的產品,無不廣受客戶好評。

攻擊趨勢觀察 – 歲末消費旺季駭客正覬覦,離線釣魚攻擊創高峰!

聖誕跨年、農曆新年接連來到,不但是消費採買的高峰期,也是駭客趁勢釣魚竊取個資、卡號、金融、郵件等各式服務帳密的大好時機!
中華數位與 ASRC 研究中心觀察發現,最近離線釣魚攻擊有大幅增加的趨勢,而且沒有產業針對性。請小心留意,駭客正在廣撒魚餌釣大魚!

【什麼是離線釣魚?】
駭客將釣魚網頁以 .html 或 .mht 附檔的型式,透過電子郵件遞送給使用者,將釣魚網頁直接呈現在受害者的本地端電腦。當使用者填入敏感資料時,便以 Post 方法將資料傳送出去。
因為傳送 Post 到外部的行為不會受到瀏覽器 URL 檢測的保護阻擋,可成功繞過瀏覽器及部份上網安全軟體的釣魚防護,增加駭客釣魚成功的機會。

【防範建議】
.使用合適的郵件防禦機制,例如 SPAM SQR ADM 已可偵測離線釣魚攻擊。
.加強人員安全意識,面對來信要求填寫機敏資料、要求登入認證的郵件時,應保持高度懷疑的心態。

關於Version 2

Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於中華數位科技 Softnext Technologies Corp.
創立於2000年8月。
秉持著【We Secure Your Content】的服務理念,以提供企業資訊應用管理服務及打造資訊內容安全防護為宗旨。專精於提供網路應用服務技術,根據市場需求推出多款資訊內容安全的解決方案及應用服務,能夠協助企業透過符合資安管理規範並遵循法規的方式進行資訊內容安全管理,以維護員工的生產力、提升企業經營績效。

Amid student protests, Winnti Group targets Hong Kong universities, ESET discovers

BRATISLAVA, MONTREAL – ESET researchers have recently discovered a new campaign by the Winnti group. This time, Hong Kong universities were the desired target. ESET’s machine-learning engine detected a unique, malicious sample on multiple computers belonging to two Hong Kong universities. In addition to the two confirmed compromised universities, ESET has indications that at least three additional universities may have been affected. The attackers were interested in stealing information from the victims’ machines. This campaign of the Winnti Group was taking place as widespread civic protests swept Hong Kong, including the territory’s universities.

The latest research into Winnti Group, previously responsible for high-profile supply-chain attacks against the video game and software development industry as well as attacks against healthcare and education sectors, confirms that the group is still using its flagship ShadowPad backdoors. However, in the campaign against Hong Kong universities, ShadowPad’s launcher was replaced with a new and simpler version detected by ESET products as Win32/Shadowpad.C.

“Both ShadowPad and Winnti, found at these universities in November 2019, contain campaign identifiers and command & control URLs matching the name of the universities, which indicates a targeted attack,” says Mathieu Tartare, leading ESET researcher into the Winnti Group.

“ShadowPad is a multi-modular backdoor and, by default, every keystroke is recorded using the Keylogger module. The use of this module by default indicates that the attackers are interested in stealing information from the victims’ machines. In contrast, the variants we described in our earlier whitepaper didn’t even have that module embedded,” elaborates Tartare on the discovery.

For more technical details about the latest discovery into the Winnti Group, read the blog post Winnti Group targeting universities in Hong Kong on WeLiveSecurity.com. ESET researchers recently published a whitepaper updating our understanding of the arsenal of the Winnti Group as well. Make sure to follow ESET research on Twitter for the latest news from ESET Research. 





About Version 2 Digital

Version 2 Digital is one of the most dynamic IT companies in Asia. The company distributes a wide range of IT products across various areas including cyber security, cloud, data protection, end points, infrastructures, system monitoring, storage, networking, business productivity and communication products.

Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, different vertical industries, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.

About ESET
For 30 years, ESET® has been developing industry-leading IT security software and services for businesses and consumers worldwide. With solutions ranging from endpoint security to encryption and two-factor authentication, ESET’s high-performing, easy-to-use products give individuals and businesses the peace of mind to enjoy the full potential of their technology. ESET unobtrusively protects and monitors 24/7, updating defenses in real time to keep users safe and businesses running without interruption. Evolving threats require an evolving IT security company. Backed by R&D facilities worldwide, ESET became the first IT security company to earn 100 Virus Bulletin VB100 awards, identifying every single “in-the-wild” malware without interruption since 2003.