2009年2月24日 星期二

[觀點] 從資料外洩事件談DLP解決方案

從2007年底八大購物網站的會員交易資料外洩開始,資料外洩事件一直層出不窮,所導致的電話詐騙事件,更是社會關心注目的焦點。根據IDC的分析指出,機密資料的暴露,已成為企業最大的資安威脅之一,尤其是最近的資訊安全事件,主要著重在機密文件的竊取,也讓企業管理階層感受到,資安事件的發生將影響到企業商譽與營運;而不久前在美國舊金山舉辦的RSA資訊安全會議中,也提到在2008年,身份認證管理、網路存取控制和資料外洩防護,將會是企業所關注的重點,更是未來資安發展的趨勢。

目前,由於購物所造成的資料外洩事件仍不斷發生,個人推測可能的原因有二,一是業者本身抱著不負責任的心態,在事件發生時只是一味想要掩飾問題,或是乾脆將問題推給第三方的合作廠商,並沒有進行處理,使得民眾仍持續接到利用購物資料來進行詐騙的電話;二是有些業者內部缺少資安專責人員,不知該如何處理應對,或者只是採取頭痛醫頭、腳痛醫腳的方式,找不到資料外洩的真正源頭來對症下藥。

DLP解決方案簡介

針對有心想要加強資料保護的企業而言,資料外洩防範 (Data Loss Prevention;DLP)解決方案的出現,可說是協助企業防範資料外洩的一大福音,因為透過部署DLP的協助,可以同時從政策面與技術面來防堵資訊的不當外洩。

至今,DLP仍然是一項很新的資安解決方案,根據安全機構SANS Institute的定義,「DLP是指某些產品基於中央控管的政策(Policy),透過深層的內容分析,能夠識別、監控,並且保護在儲存、端點、網路中的資料。」因此,導入DLP解決方案的目的即是為了保護企業組織中有價值的資料,包括:機密資料(R&D)、管理資料(HR)、財務資料(Financial)和客戶資料(Customer)等。

基本上,一個完整的DLP解決方案,必須具備三項主要特徵,分別是:「能夠以政策制定方式集中管理、能夠進行深度內容檢測,以及同時防範經由儲存設備、端點裝置和網路的資料外洩事件。」所以從定義上而言,目前許多的資安方案,例如郵件過濾、上網行為控管、端點安全等,仍只能算是具有某些DLP功能的產品,並不是一個非常完整的DLP解決方案。

DLP方案的基本架構

在評估DLP解決方案時,管理人員必須要理解,事實上很難只依靠導入單一產品,即可完全達到防範資料外洩的目的,更何況防範資料外洩這件事對企業而言,已是管理制度裡的其中一環,也因為資料防護在企業中需要全面性的展開,所以在部署時可能會面臨到的難題,通常並不是技術面的,而是高階管理人員缺乏足夠的決心與協調能力。

但是,管理人員仍必須要先了解DLP的技術架構,以決定要採取何種保護資料的政策與方法,現今DLP解決方案在架構上主要包含了三個要素,分別是:
  • Data at Rest (儲存資料) - DLP能夠掃瞄所有的儲存設備或含有資料的伺服器,識別出到底有哪些地方儲存了敏感資料,再依據事前制訂的政策來處理,舉例來說,管理人員可以掃瞄所有的檔案伺服器,識別出包含有「機密」註記的文件,如果伺服器上存有這一類型的資料,那麼就可以針對檔案進行加密或移除,或者是通知檔案的擁有者。
  • Data in Motion (網路資料) - DLP能檢查經由網路傳輸的資料,監控各個傳送的管道,例如HTTP、SMTP、FTP、Print、IM等,並且搭配設定政策來執行阻擋,並且限制資料被允許傳送的管道與方式。例如管理人員可以在政策上制訂凡是含有信用卡號的文件資料,一律只能透過E-mail(SMTP)並以加密方式傳送。
  • Data in Use (端點資料) - DLP可針對使用者端的裝置,監控資料在各個介面的交換傳遞,包括USB隨身碟、CD/DVD裝置、行動裝置如智慧型手機和PDA等,一旦發現有違反政策的行為,像是資料被執行複製/貼上的動作,或是想使用不允許的應用程式來加密,企圖躲避資料傳遞的監視,都會予以即時的警告、阻擋。
導入DLP的注意事項

目前,針對明顯易見的威脅,許多企業已有足夠的意識去預防或控制,但是對於資料的傳輸與交換,往往很容易就會掉以輕心。尤其是管理人員面對來自不同單位、不同部門的資訊傳遞,當違反政策時到底是要先予以阻斷?記錄?還是要通報權責單位?在管理上的考量本身就已是一項難題,更不用說還要考慮部署時的技術與成本。

因此,給予有心導入的企業,在建置前需要先思考以下幾件事:

1. Who:必須要去識別誰是資料擁有者(Owner)、誰是資料的保護者(Protector)或利害關係人(Stakeholder)。企業資料的擁有者可能屬於各個營業單位,而資料保護者可能會是IT資安部門、法務單位或人力資源部等。因此,實務上的做法可能是先組成一個跨部門的資料保護小組,來明確分派資料防護的任務,才能釐清各項責任與義務。

2. What:必須要定義您想要保護的到底是什麼?企業內部包含各式各樣的資料,所以最好的方法是先進行資料分類,設定資料處理流程和優先順序,並以文件化方式加以記錄,在設定重要性時,法規所要求需保護的資料,可能就是要優先進行的。

3. How:必須要決定如何去保護資料?明白所要保護的資料之後,就要針對各個交換資料的管道,決定如何去監視保護,並且要實行哪些控制措施。如果要進行全面性的防護,那就必須把所有網路協定、儲存設備和端點裝置明列出來,一一說明要如何進行監控與處理,這些也有助於管理政策的制定。

修訂隱私法規是當務之急

一旦個人資料透過詐騙行為,轉變成一種有價值的物品,即可預期會有惡意人士,想藉由各種管道企圖取得這些資料,再利用它從事違法的犯罪行為。因此,資料外洩事件會不斷發生,其實也突顯了另一項迫切的議題,那就是政府應當修訂更有效的個人隱私保護法規,以保障所有民眾的個人資料安全。

在國外,企業必須遵循相關的資訊安全法規,例如HIPPA (針對醫療隱私)、GLBA (針對金融交易資訊)、SOX沙賓法案(針對財務報表)、PCI-DSS (針對信用卡資料安全)等。但是反觀國內,目前保障個人資料的法規為84年公布的「電腦處理個人資料保護法」,保護的對象只限於「經電腦處理之個人資料」,範圍也僅限於公務機關和徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業等「八大行業」,而且屬於「告訴乃論」,所以並無法保障所有受害民眾的權益。

因此,除了期許政府盡速修法之外,更呼籲存有個人資料的企業,務必要善盡保管之責,一旦有資料外洩的疑慮,可尋求專家或資安業者的協助,適時地將可能的漏洞填補起來,相信只要有積極的作為,勢必可化危機為轉機,進一步提升企業的聲譽並獲得消費者的信任。(本文刊載於2008年7月號網管人雜誌)

[簡報] 從資料外洩談行動裝置管理

資料外洩是近年來在資安領域中,相當熱門的話題,無論在國內或國外,資料外洩的事件層出不窮,對企業造成了營運的損失,對民眾更造成了隱私的傷害。

以下簡報內容是我曾講授的課題之一,討論有關行動裝置的資安管理,可以搭配上一篇文章一併閱讀,提供給有興趣的朋友作為參考。

2009年2月20日 星期五

[觀點] 從資料外洩事件談行動裝置管理

Apple iPhone的出現,讓我們見識到行動裝置的精巧與強大的功能,隨著行動裝置的製造技術突飛猛進,像是筆記型電腦、PDA、智慧型手機等各種可無線上網與儲存資料的裝置,已經普遍存在於週遭生活之中,雖然它們提供了豐富便利的科技生活,但相對地也帶來了潛藏的危機,那就是遺失裝置時可能造成的資料外洩問題。

安全機構Ponemon Institute的報告指出,有54% 的資安事件是因為筆記型電腦等行動裝置的資料遺失所引起,回顧過往的歷史,在2005年,美國飛機製造商波音公司一部含有38萬名現職及退休員工資料的電腦,因為員工一時疏忽放置在車上而遭竊;2006年,美國退伍軍人事務部也因為不小心遺失了筆記型電腦,造成了2,600萬筆退伍軍人資料的外洩事件。

另外,根據2007 CSI電腦犯罪與安全調查指出,從行動裝置中被竊取的資訊資產,估計金額高達234萬5千美元,值得深思的是,資料外洩除了對企業造成龐大的金錢損失之外,受創的更有無形的商譽與客戶信任。

行動裝置資料外洩的風險評估

曾經有人開玩笑說,「資安它說起來重要、做起來次要、急起來最好不要」,因為一旦做不好,可能就會讓自己成為眾人責怪的箭靶。但是,防止行動裝置所引起的資料外洩問題,的確已是管理人員責無旁貸的工作,萬一造成重要的營運資訊外洩,對於企業所造成的衝擊將難以估計。

所以,面對不斷增加的資料外洩事件,到底哪些資料該去保護?需要控管的行動裝置有哪些?遺失之後會對企業造成多大衝擊?這些都是要經過審慎評估的。

針對行動裝置可能產生的風險和有效的管理方式,建議管理人員可從以下的角度去思考:

Who─
到底是誰在使用行動裝置?是不是合法的使用者?是否給予適當的連線存取資料權限?

When─
什麼時候會需要使用行動裝置?外部連線回企業內網的時段是否該限制?行動使用者在登入網路之後,是否該定時執行政策掃瞄?

Where─
使用者會在哪裡使用行動裝置?會議室與公共空間是否開放使用?可供行動裝置使用的無線網路範圍有多大?

What─
行動裝置可以存取到什麼資訊?允許行動裝置存取的應用系統有哪些?什麼資料該有控制措施來防止被輕易複製帶走?

How─
使用者如何使用行動裝置?是否安裝了相關的安全軟體?資料傳輸過程中是否需採取加密措施?

Why─
為什麼需要使用行動裝置?該不該考慮強制禁止使用?

選擇適當的安全控制措施

在評估了行動裝置可能產生的風險之後,接下來我們可以採取一些控制措施,來降低使用行動裝置的風險,從技術面可考慮實施的方法有:
  • 部署網路存取控制方案 - 企業可藉此掌控所有連上網路的裝置清單,區別合法與不合法的裝置,並分別賦予其適當的權限,在連線時進行惡意程式與系統掃瞄,同時也要記錄行動裝置在存取資料時的行為以供日後稽核之用。
  • 設置密碼與資料加密 - 對於筆記型電腦等行動裝置,必須設置BIOS開機密碼和Windows登入密碼,另外還需要針對硬碟所儲存的內容進行加密,以避免設備遺失時造成資料外洩。
  • 進行使用者權限控管 - 依據最小權限的作業原則,限制使用者可以存取的資料,避免其利用行動裝置取得機密檔案而攜出使用。

  • 管制無線網路的使用 - 許多行動裝置都具備了無線上網功能,企業必須限制無線網路可使用的對象與範圍,必要時可設置無線網路入侵偵測系統,防堵非法架設的無線基地台(AP),同時保護使用者不會誤連至惡意假冒的基地台。
除了技術面之外,面對使用者的行為遠高於技術可以管控的範圍,我們還必須同時從管理面來著手,讓使用者明瞭使用行動裝置的注意事項,例如:
  • 含有重要或機密資訊的行動裝置,在攜出時務必要有主管的授權。

  • 公務用筆記型電腦禁止安裝P2P檔案分享軟體。

  • 攜帶行動裝置的背包或手提箱,最好選擇具有可以上鎖功能的款式,另外,也不要挑選外觀太過華麗且過於明顯的背包,以免成為竊賊覬覦的目標。

  • 在公共場所使用筆記型電腦時,不可讓它遠離視線之外,建議可使用筆記型電腦專用的防護鎖,將它和固定的物品鎖在一起。

  • 避免在外使用不安全的網路進行重要工作,像是公眾無線網路或未採取加密機制的AP,以避免資料在傳輸過程中被截取竊聽。
從國際法規看資料防護的要求

對負責資安的人員來說,參考國際法規的規範要求,對於資料防護工作有莫大的幫助,例如美國的Gramm Leach Bliley Act(GLBA)法案,即要求相關金融產業必須保障個人金融資訊隱私,確保資料的機密性、完整性,避免資訊遭到未經授權的存取與誤用;針對醫療產業,Healthcare Information Portability and Accountability Act(HIPPA)法案則要求相關單位必須要確保個人醫療資訊的安全,具備良好的存取控制措施,並確保資訊在傳輸過程中不會被竊取或竄改。

在個人信用資料方面,Payment Card Industry(PCI)資料安全標準要求銀行必須實行嚴謹的網路安全措施,以保護信用卡持卡人的資料安全;California Senate Bill 1386法令,則要求企業在發生資料外洩事件時,必須要通知企業員工、顧客及可能受到侵害的個人,避免掩蓋事件而造成更大的傷害。

至於2002年制定的Sarbanes-Oxley Act沙賓法案,則是要求所有在美國掛牌上市的公司,必須做好內稽內控的資訊安全工作,如果因為行動裝置所搭載的重要營運財務資訊失竊或是遭到竄改公佈,造成市場的重大衝擊,將會對違反沙賓法案的企業處以100萬美元罰款或是對負責人處以20年以上刑期。

總結

綜合以上所述,當企業從技術面與管理面來做好行動裝置管理的工作之後,仍然要持續針對可能遺失的資料進行風險評估,判斷是否會影響到企業的核心業務,以及可能造成多大的損失,然後再重新修正相關的資安政策。

此外,大多數企業對於員工的資安教育訓練,很少將它視為需要優先執行的工作,在員工缺少安全意識的情況下,自然會增加資料外洩的風險,對此,企業管理人員也不可不慎。(本文已刊載於2007年12月號網管人雜誌)

2009年2月19日 星期四

[新聞] 勿好奇窺探他人網路隱私

這則新聞提到,新版的Windows Live 9.0提供了社交網路功能,可以看到自己的親朋好友,以往曾經有過的「歷史痕跡」,包括何時換過暱稱、新增了誰、加入了什麼照片、幾時更新了部落格,都可以快速地輕鬆掌握。

聽起來是很棒的功能不是嗎?可以隨時了解朋友們的動態。

這個事件跟之前無名小站所推出的「誰來我家」 功能一樣,但就是因為太貼心了,所以將會曝露自己不想讓人得知的隱私,反而招致網友的反彈。

談到網路隱私,有許多的議題都值得去探討,包括在網路上張貼或散布他人私密照片、破解他人網路相簿、設置木馬竊取MSN交談記錄、偷錄網路聊天影像等等,這些都有實際的案例發生。

在網路無所不在的年代,想要追查一個人的網路行蹤其實不難,因為「凡走過必留下痕跡」,但這些行為往往都有侵犯個人隱私權的疑慮。所以,除非是執法機關,備有正當的理由,才能去追查各項網路記錄。

只是,好奇心人皆有之,在合法調查之外,的確也有許多工具可供利用來追查別人,但可別忘了,這些工具往往也留下了後門,在偷窺別人的同時,可能你也正成為被偷窺的對象而不自知。

更何況,若是蓄意去入侵他人電腦或破解有密碼防護的檔案,已違反了法律的規定,所以提醒大家,除非是當事人主動分享且公開的資訊,否則可別過度挖掘,千萬別讓好奇心殺死了一隻貓喔!!

新聞連結:新增社交網絡功能連接社群 暱稱全曝光

2009年2月15日 星期日

[新聞] 小心二手手機洩露敏感資料

這則新聞提到,一名英國青年以台幣785元,上網購買了一支二手黑莓機,結果赫然發現,手機中竟然存有好萊塢男星裘德洛、娜塔莉波曼等人的手機號碼。

關於和手機有關的資安事件,個人印象最深的就是名模林志玲,因為手機送修而使得私密照片外洩。另外,記得也曾看過有新聞提到國內某藝人,因為手機遺失了,很擔心其中藝人好友們的電話號碼,將遭到惡意人士利用,而呼籲民眾來協尋。

其實, 除了電話號碼和照片外,手機還有一個也很敏感的地方,那就是收送過的簡訊內容。

一般而言,手機上的資訊可以儲存在三個地方,分別是手機本身記憶體、SIM卡和記憶卡。因此,在刪除資訊的時侯,也很容易會不小心遺漏。以簡訊和通話記錄來說,一般預設會儲存在手機本身,但也可以儲存在SIM上,如果只清除了其中之一,而忘了清除另一部份,一旦落入有心人士手中,仍是有外洩的可能。

那麼,該如何確保手機資料的安全呢?

基本上,建議的作法為:請先將手機重置為出廠的狀態(可參考手機使用手冊),清除相關設定資料,然後取出SIM卡和記憶卡自行保存,重新開機後,再瀏覽手機電話簿、通話記錄和簡訊資料夾,若有殘留的資料,請再一一將它刪除乾淨,確認沒有敏感資訊之後再送修,或是借用給他人。

如果擔心資料清除的不夠乾淨,更進一步的作法是,請重新安裝或更新手機的韌體,這樣可讓資料更難以還原。當然,如果您想完全銷毀曾經儲存的資料,那麼只好建議您進行「實體破壞」,白話一點的說,就是把它給徹底敲爛吧。

新聞連結:英青年買二手黑莓機 驚見裘德洛等巨星電話

2009年2月12日 星期四

[學習] 成為資安人的學習之路

經濟不景氣,許多人選擇充實自己,以便能在工作崗位上有所發揮,或是準備尋求更好的職務。如果您從事的是資訊相關工作,那麼在此時,多多補充些資訊安全專業知識,對您來說一定會有所幫助。

針對資安學習,我曾經講授過一堂課,對於資安人員的角色與職責、應具備之專業能力,以及資安相關證照,作了簡單說明。如果您對於資安工作有興趣,或是想考取資安相關證照,歡迎您參考以下簡報內容。

[新聞] 垃圾郵件是散布病毒最佳管道

根據趨勢科技08年的資安威脅報告指出,2008年全球垃圾郵件數量,每日約有1150億封,而這些垃圾郵件有99%是利用遭到入侵的電腦所發出,預估在今年垃圾郵件除了會繼續發威之外,智慧型手機等行動儲存裝置,也將成為病毒新載體。

這則新聞中提到了兩個重點,首先是垃圾郵件氾濫的問題,的確目前仍缺少根治的方法,因此對企業而言,如何避免企業的郵件伺服器和員工電腦成為濫發郵件的跳板,是必須加以重視的。以伺服器來說,關閉mail relay功能,以及採取身份認證的方式來讓使用者寄送郵件,是基本的作法,如果再加上適當的郵件過濾機制,則可以大幅降低垃圾郵件的侵擾。

另外,病毒是否會對手機、儲存媒體進行相互感染,則可以從二個方面來探討,一是病毒若以檔案的形式存在,儲存設備成為病毒載體是可能的,例如透過USB隨身碟、記憶卡、具儲存媒體功能的行動裝置,只要當這些設備連接上電腦時,就有可能感染電腦的作業系統,例如Windows。

至於病毒是否會同時交互感染包括智慧型手機如Widows mobile和iphone、以及具儲存媒體功能的GPS導航機,個人認為其發生機率相當的低,因為病毒的感染目標是以作業系統為主,即使是共通的應用程式檔案格式(例如pdf),同一個病毒要能夠在不同作業系統中感染散布,並且造成破壞,這點恐怕還有待觀察。

新聞連結:微軟Windows 7可免於病毒?惡意程式可不這麼想

2009年2月11日 星期三

[新聞] 補習班須盡學生個資保護之責

如果您家裡有剛自學校畢業的小朋友,是否經常接到一些補習招生或銷售的電話而不堪其擾呢?教育部已公布了「短期補習班處理個人資料管理辦法」,要求補習班必須向教育局登記取得執照,才能進行個人資料的蒐集、處理和利用,還要提出資訊安全的維護計劃,以保障學生的隱私權。

歷經去年的盜賣學生個資事件,教育部有如此動作,值得鼓勵。但個人有兩個建議,第一是補習班若缺少相關的資安人員,要指定專人來進行資料稽核與管理,恐怕會有困難,因此初期應有適當的輔導與建置協助措施。

第二則是督導與審查方法必須完備,因為擬定一個計劃不難,但是否能夠真正落實,並持續追蹤改善才是重點。若只是由縣市教育局督學訪查補習班,並且判定是否有違法行為,恐怕會看不出所以然來,這部份也需要進行資安稽核訓練才行。

最後,學生的個資受保障了,那麼一般民眾呢?期許新版的個人資料保護法也能盡快通過囉。

新聞連結:補習班蒐集個資 須申請執照

2009年2月9日 星期一

[說明] 學習與分享

學習資訊安全是條漫漫長路,在這裡,將個人的學習心得和所見所聞,與有志一同的朋友們分享,也竭誠歡迎您的參與和回應。