IT如何準備資安稽核?

一個重視資安且內控制度完整的企業,一定會建立起完善內外稽核系統。

透過內外部資安稽核施作,可強化企業資安體質,且透過所建立PDCA機制,持續提升企業資安的有效性。我於2019年年底剛取得ISMS認證的工程師,透過年度外稽的實兵演練,分享首次接受稽核的準備工作及心得。

首次接觸ISMS制度

在我還沒受稽核訓練前,初次接觸資安稽核工作的時候,我是協助同仁準備資安稽核文件的角色,當中包括處理文件、歸納文件等等的工作內容,並也藉由全程參與外部稽核的機會,更近距離感受稽核當下的氣氛。會有產生一種ISMS只是文件整理的錯覺。

參與ISO 27001資訊安全管理制度主導稽核員訓練課程期間,導師教導資安稽核的觀念、解釋條文的內容、稽核的技巧等,並透過分組討論、模擬情境的方式實作並導正觀念。獲得資安稽核基礎認知後,工作上能夠處理得更適切、也越能夠了解其中的脈絡和意義。對於資產風險管控與分析以及活用PDCA的流程操作有了一番新的體驗。

ISMS過程中需關注多個面向

資訊安全規章辦法多以中性字眼呈現,但是在一些資產風險管理上就必需採取嚴謹的用詞才能確保風險分析的價值,目的是為了搭配不同的組織文化做相對應的措施,多閱讀企業內部文件並與規章辦法做連結,這種練習可以加深對條文的理解以及增加對內部文件的熟悉程度。歸納來說,ISMS相關的條例或辦法可以滿足各類企業管控所需,因為它有足夠的彈性去滿足在經費、人力、制度各方面的需求。 

準備資安稽核涵蓋的項目很多,資產清冊、風險評估、緊急應變措施、各式記錄、文件化資料等等,這些項目除了熟能生巧之外,應該要了解其中的來龍去脈、搭配檢討、調整。或許過程略為辛苦,但是對我來說就是一個制度訓練的基礎。

首次外稽給予的衝擊

當外稽進入公司大門開始,填寫訪客通知單、攜帶物品單、閱讀資安規定,年度外稽就已經開始,這也是公司資安制度的常態落實。

由於年度稽核是企業相當期待的一件事情,所以在開始會議前,公司的資安官、資安部門主管、文件管理員、內部稽核員以及相關負責同仁會提前就位,等待著外部稽核員的到來,此時的氣氛很正式。進行開始會議時,外部稽核員會向與會人員說明當次稽核的流程及重點,開始會議之後,就留下IT部門接受外部稽核員的檢視,稽核過程只能以誠惶誠恐作比喻,生怕有哪個小細節沒有做好。

首先外部稽核員會針對去年的次缺與建議事項和負責的同仁進行追蹤確認,接者參考「適用性說明書」,建立條文規章與內部文件的對應關係,這是稽核員後續驗證說、寫、做一致的階段性參考文件,也是稽核方及受稽方都會關注的一個重點。

由於外部稽核不像內稽熟悉內部運作細節,所以還會透過翻閱「內部稽核報告」的方式蒐集資訊、搭配稽核方法做抽樣驗證。資安稽核所羅列的資料十分繁雜,但稽核員必需在有限的時間內進行調查,所以也會以「文件流程的關聯性」作為判定符合規章辦法的依據。最後的外部稽核結束會議,宣告著此次稽核的完成,但不代表制度流程的句點,而必需持續改善。

良善的態度準備資安稽核

在準備資安稽核工作的時候,難免會與同仁互動、交流,由於過程可能會中斷同仁作業或造成多餘工作負擔的關係,容易導致同仁有排斥的情形發生,必需耐心地向同仁解釋並傳遞是基於協助的立場、沒有找碴的意思,建立互助合作的渠道有利於後續檢視並尋找、討論需要改善的地方。

稽核的當下,稽核方與受稽方在處於不對等的關係,雙方都應了解稽核的目的是在於發現問題並達到持續改善的作用,所以建議受稽方敞開心胸配合稽核人員的調查,倘若與稽核人員意見分歧的時候,也要沉澱思索、回歸到稽核的主軸判斷並與稽核人員溝通。

資安稽核不只是文件管理的工作,它是一個透過制度性的管控降低企業資安風險的最適制度,畢竟資安是人、資料、系統與公司文化的結合,要高層的支持,同仁的配合,才有辦法持續與完善。

 

 

關於Version 2 Limited

Version 2 Limited是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於精品科技

精品科技(FineArt Technology) 成立於1989年,由交大實驗室中,一群志同道合的學長學弟所組合而成的團隊,為一家專業的軟體研發公司。從國內第一套中文桌上排版系統開始,到投入手寫辨識領域,憑藉著程式最小、速度最快、辨識最準等優異特性,獲得許多國際大廠的合作與肯定。歷經二十個寒暑,精品科技所推出的產品,無不廣受客戶好評。

 

關於Version 2

Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於精品科技
精品科技(FineArt Technology) 成立於1989年,由交大實驗室中,一群志同道合的學長學弟所組合而成的團隊,為一家專業的軟體研發公司。從國內第一套中文桌上排版系統開始,到投入手寫辨識領域,憑藉著程式最小、速度最快、辨識最準等優異特性,獲得許多國際大廠的合作與肯定。歷經二十個寒暑,精品科技所推出的產品,無不廣受客戶好評。

攻擊趨勢觀察 – 歲末消費旺季駭客正覬覦,離線釣魚攻擊創高峰!

聖誕跨年、農曆新年接連來到,不但是消費採買的高峰期,也是駭客趁勢釣魚竊取個資、卡號、金融、郵件等各式服務帳密的大好時機!
中華數位與 ASRC 研究中心觀察發現,最近離線釣魚攻擊有大幅增加的趨勢,而且沒有產業針對性。請小心留意,駭客正在廣撒魚餌釣大魚!

【什麼是離線釣魚?】
駭客將釣魚網頁以 .html 或 .mht 附檔的型式,透過電子郵件遞送給使用者,將釣魚網頁直接呈現在受害者的本地端電腦。當使用者填入敏感資料時,便以 Post 方法將資料傳送出去。
因為傳送 Post 到外部的行為不會受到瀏覽器 URL 檢測的保護阻擋,可成功繞過瀏覽器及部份上網安全軟體的釣魚防護,增加駭客釣魚成功的機會。

【防範建議】
.使用合適的郵件防禦機制,例如 SPAM SQR ADM 已可偵測離線釣魚攻擊。
.加強人員安全意識,面對來信要求填寫機敏資料、要求登入認證的郵件時,應保持高度懷疑的心態。

關於Version 2

Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於中華數位科技 Softnext Technologies Corp.
創立於2000年8月。
秉持著【We Secure Your Content】的服務理念,以提供企業資訊應用管理服務及打造資訊內容安全防護為宗旨。專精於提供網路應用服務技術,根據市場需求推出多款資訊內容安全的解決方案及應用服務,能夠協助企業透過符合資安管理規範並遵循法規的方式進行資訊內容安全管理,以維護員工的生產力、提升企業經營績效。

Amid student protests, Winnti Group targets Hong Kong universities, ESET discovers

BRATISLAVA, MONTREAL – ESET researchers have recently discovered a new campaign by the Winnti group. This time, Hong Kong universities were the desired target. ESET’s machine-learning engine detected a unique, malicious sample on multiple computers belonging to two Hong Kong universities. In addition to the two confirmed compromised universities, ESET has indications that at least three additional universities may have been affected. The attackers were interested in stealing information from the victims’ machines. This campaign of the Winnti Group was taking place as widespread civic protests swept Hong Kong, including the territory’s universities.

The latest research into Winnti Group, previously responsible for high-profile supply-chain attacks against the video game and software development industry as well as attacks against healthcare and education sectors, confirms that the group is still using its flagship ShadowPad backdoors. However, in the campaign against Hong Kong universities, ShadowPad’s launcher was replaced with a new and simpler version detected by ESET products as Win32/Shadowpad.C.

“Both ShadowPad and Winnti, found at these universities in November 2019, contain campaign identifiers and command & control URLs matching the name of the universities, which indicates a targeted attack,” says Mathieu Tartare, leading ESET researcher into the Winnti Group.

“ShadowPad is a multi-modular backdoor and, by default, every keystroke is recorded using the Keylogger module. The use of this module by default indicates that the attackers are interested in stealing information from the victims’ machines. In contrast, the variants we described in our earlier whitepaper didn’t even have that module embedded,” elaborates Tartare on the discovery.

For more technical details about the latest discovery into the Winnti Group, read the blog post Winnti Group targeting universities in Hong Kong on WeLiveSecurity.com. ESET researchers recently published a whitepaper updating our understanding of the arsenal of the Winnti Group as well. Make sure to follow ESET research on Twitter for the latest news from ESET Research. 





About Version 2 Digital

Version 2 Digital is one of the most dynamic IT companies in Asia. The company distributes a wide range of IT products across various areas including cyber security, cloud, data protection, end points, infrastructures, system monitoring, storage, networking, business productivity and communication products.

Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, different vertical industries, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.

About ESET
For 30 years, ESET® has been developing industry-leading IT security software and services for businesses and consumers worldwide. With solutions ranging from endpoint security to encryption and two-factor authentication, ESET’s high-performing, easy-to-use products give individuals and businesses the peace of mind to enjoy the full potential of their technology. ESET unobtrusively protects and monitors 24/7, updating defenses in real time to keep users safe and businesses running without interruption. Evolving threats require an evolving IT security company. Backed by R&D facilities worldwide, ESET became the first IT security company to earn 100 Virus Bulletin VB100 awards, identifying every single “in-the-wild” malware without interruption since 2003.

舊版本反垃圾郵件支援明年初終止服務,現有用戶免費升級!

Virus Bulletin - VBSpam

感謝您對 ESET 網絡防護產品的支持!ESET 將會在 2019 年 1 月 31 日,終止下述版本的反垃圾郵件支援服務。為了確保您的公司通信受到最高級別的保護,我們強烈建議您升級 ESET 安全產品。最新版本的安全產品增強了反垃圾郵件引擎的效能,垃圾郵件捕獲率達到 99.999 %,並連續多次友獲 Virus Bulletin 頒授 VBSpam +獎項。

受影響產品包括: 

ESET Mail Security for Microsoft Exchange Server (EMSX v. 3, v. 4)

ESET Mail Security for IBM Domino (EMSL v. 3, v. 4)

ESET Smart security Business Edition (ESSBE v. 3, v. 4)

ESET Mail Security for Linux (UESETS v. 3, v. 4.0.10.0)

ESET File Security for Linux (UESETS v. 3, v. 4.0.10.0)

ESET Gateway Security for Linux (UESETS v. 3, v. 4.0.10.0) 

到期後,上述產品仍可獲得防病毒和反惡意軟件的功能,唯反垃圾郵件防護將不再起作用。

了解更多

如在軟件升級或設定期間需要技術支援,歡迎隨時與我們的專家聯絡:
技術支援熱線:(852) 2893 8186技術支援電郵地址:support@eset.hk

關於Version 2

Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。

勒索病毒與企業安全:新白皮書

勒索病毒依舊構成嚴重威脅;本白皮書闡述企業為降低風險,需要了解的信息和採取的措施

2018年全年,不法份子繼續運用勒索病毒,針對大型機構發起攻擊。今天,我們發布了一份新的白皮書,闡述為何稱勒索病毒仍對公司企業構成嚴重威脅,含大中小型組織機構在內,以及相關組織機構可採取哪些措施,降低勒索病毒攻擊所造成的風險和損失。

本白皮書重點討論,受勒索病毒攻擊所威脅的三大重災區:遠程訪問、電子郵件和供應鏈,旨在幫助首席執行官、首席信息官、首席信息安全官和企業風險經理了解,勒索病毒威脅現狀及其值得關注的幾大演變領域。有關勒索病毒響應措施的詳細技術探討,請見本文附件。

勒索病毒:企業視角

下載勒索病毒白皮書

按一下以存取 ESET_Ransomware_Enterprise.pdf

目標更廣、胃口更高

倘若貴司近期未曾遭受勒索病毒攻擊,可能會想當然地以為,這一威脅已塵封在網絡犯罪的歷史檔案庫之中。產業期刊專題文章,也將勒索病毒稱為“2017年產物,與採集數字貨幣相比,呈減少趨勢”。但在本質上,這些專題文章所反映的事實是,儘管數字貨幣採集案例的檢測數量一直處於上升勢頭,同時勒索病毒明顯活躍跡象逐漸減少​​,但需要澄清的是,勒索病毒依然構成各類組織機構不得不面臨的一大嚴重威脅。


以美國亞特蘭大市發生的情況為例。五大市政部門遭受勒索病毒攻擊:涵蓋懲教、水利資源管理、人力資源、園林休閒設施建設及城市規劃部門。一系列城市職能受到嚴重影響,含民眾無法網上繳納水費和購買公交車票在內。該市的哈茲菲爾德傑克遜國際機場,也被迫關停公共Wi-Fi服務長達一周時間。雖然亞特蘭大市政府正義凜然地拒絕繳納五萬美元贖金,但事件本身所造成的經濟損失卻高達數百萬美元(最終可能接近1700萬美元)。


截至本白皮書撰文之時,勒索病毒已攻陷各州及地方政府和教育行業內的大量機構,造成重大損失。我們之所以了解這些情況,是因為此類機構通常承擔社會通報義務。醫療保健行業的情況也大致相同,由於患者生命安全受到威脅,政府機關不得不下令強制關停部分醫療機構。


但對於那些無需承擔數據安全洩密事件披露義務的​​機構,情況又如何呢?不妨合理斷言,遭受勒索病毒目標性攻擊的商業企業很可能將竭力掩蓋事實,以免成為新聞輿論的焦點。也就是說,對於勒索病毒所造成的威脅規模,無法單憑公開新聞報導來判斷。通過採訪合作推廣商及安全廠商的客服人員,我們了解到,勒索病毒仍是給各行各業造成巨額損失的一大罪魁禍首,受害者層出不窮。

利用遠程桌面協議推波助瀾

我們還了解到,2018年期間發生、針對醫療保健機構和政府機關的一系列勒索病毒攻擊事件,均有著勒索病毒家族SamSam(ESET產品將其檢測為MSIL/Filecoder.Samas)的身影。 SamSam通過“暴力破解已啟用遠程桌面協議的終端設備”(美國衛生部)發起攻擊,滲透組織機構內網。


啟用遠程桌面協議的終端設備,是諸如數據庫服務器等一類設備,運行有遠程桌面協議(RDP)軟件,可通過互聯網或其他網絡實現遠程訪問。如服務器只採用用戶名和密碼組合的訪問保護機制,攻擊者將在選定服務器作為攻擊目標後,以高速自動化機制反复猜測密碼,即以此命名的所謂暴力破解。由於缺乏輸入失敗次數的上限機制,此類攻擊非常有效,最終可廣泛攻陷各類機構的內部網絡。勒索病毒已在2018年7月成功入侵了大型醫藥檢測機構Lab Corp,在不到一小時的時間內,攻陷7000台計算機及350台運營服務器(CSO)。


據Shodan搜索引擎檢測數據顯示,截至2018年10月28日,互聯網上共有二百五十多萬台計算機明確啟用了遠程桌面協議(需註冊後,方可查看Shodan搜索結果過濾後的條目),其中有一百多萬台位於美國境內。對於攻擊者而言,所有此類設備都是潛在攻擊和被利用對象。一旦被成功入侵,這些計算機可被用作肉雞,或正如白皮書所稱,其登錄口令將在xDedic等黑市上被販賣。

總結

網絡安全威脅具有疊加特性。這種“威脅疊加”現象意味著,廣泛利用外部計算機資源採集數字貨幣,並不會造成不法份子無暇開發和利用遠程桌面協議攻擊技巧,為勒索病毒攻擊營造利潤豐厚的回報空間。同理,組織機構盡量規避遠程桌面協議的應用 – 雖然很多場合,有著充分的應用必要性 – 並不意味著可以因此忽略應給予員工的防釣魚培訓。


正如白皮書中所明確的那樣– 在確保給予員工充分培訓的基礎上,組織機構需具備:良好的安全策略,全面貫徹並紮實執行;正確搭配安全產品和工具,含通過測試的備份還原系統在內;以及時刻更新的事件響應方案。即便所有以上各項全部落到實處,再加上安全防範意識的常態化,也無法保證絕對不會染毒,但卻可以大大提高針對網絡攻擊的防禦能力和/或事後還原能力。


在各國政府實現全球緊張局勢整體緩和之前,針對網絡犯罪行為所做的鬥爭不僅將會繼續下去,鬥爭規模也必將隨新技術應用所帶來的社會效益進一步擴大。衷心希望,通過解釋勒索病毒依然對組織機構構成一大嚴重威脅的原因及其應採取的防範措施,本白皮書能夠在最大程度降低失誤因素所造成損失的同時,有助於保障前句社會效益的實現。

下載白皮書:《勒索病毒:企業視角》。

按一下以存取 ESET_Ransomware_Enterprise.pdf

關於Version 2

Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。