企業資安稽核與風險管理 萬幼筠 企業風險服務 營運長 勤業眾信聯合會計師事務所 2014.08 Agenda P. 2 1 資訊安全議題的演變與挑戰 2 企業環境中潛在的資安風險 3 資安風險防護和處理方式 4 問題與討論 ©2014勤業眾信版權所有 保留一切權利 資訊安全議題的演變與挑戰 資訊安全議題的典範移轉 – Global Trends 資訊安全是風險管理挑戰, 風險胃納與P-D-C-A 是執行終點 資訊安全是技術挑戰, Enterprise Security Architecture 是執行終點 金管會/銀行公會 各類安全作業要點 各類產業基準 產學界基準 資訊安全是 Compliance挑戰, 法律風險與企業治 理 是執行終點 消費者保護法 個人資料保護法 Law Suit / Dispute 無故意過失責任 證期局, 公開發行以上公司 內部控制最新要點. Basel II, III Risk Capital ISO 27001 ISO 27011 PCI-DSS Deployment &Configuration Roles & Responsibility 事件應變與處置 Security Baselines 電腦與安全稽核 無故意過失及數位證據 P. 4 ©2014勤業眾信版權所有 保留一切權利 資訊安全議題的典範移轉 – Domestic Trends 預告修正「公開發行公司建立內部控制制度處理準則」 嗣美國COSO委員會於2013年發布更新報告,金管會爰參酌COSO更新報告並廣納各界意見 ,研擬修正「公開發行公司建立內部控制制度處理準則」及「證券暨期貨市場各服務事業建 立內部控制制度處理準則」。 本次修正重點包括: 一、修正內部控制制度三大目標之財務報導目標為報導目標及五大組成要素之相關內涵 ; 二、強調公司治理觀念及配合國內實務需要,將審計委員會運作管理、落實所屬產業法令遵 循、智慧財產權管理、股務作業管理、個人資料保護管理等納入控制作業; 三、鑑於公司應強化產品安全、環境安全及職業安全等相關控管事項,於相關營運循環增列 控制作業,以建置適合所屬產業之內部監督機制; 四、強化內部稽核人員之誠信,增訂內部稽核人員不得提供或收受不正當利益,並明定公司 應設置內部稽核人員之職務代理人; 五、放寬各服務事業內部稽核主管得為兼任之規定。 主旨:預告修正「公開發行公司建立內部控制制度處理準則」草案及「證券暨期貨市場各服 務事業建立內部控制制度處理準則」部分條文草案。 依據:行政程序法第一百五十一條第二項準用第一百五十四條第一項。 個人資料保護法施行細則 第十二條第二項共11款 P. 5 營業秘密法第二條 第三款 ©2014勤業眾信版權所有 保留一切權利 我國面臨之主要資安威脅完全反應利之所趨 組織型犯罪成為主流 (國安, 洗錢, 身分竊盜) 阻斷服務攻擊(DOS) 此型態為攻擊行為,並非嘗試竊 取資料。攻擊者利用個人電腦與 強大伺服器組成的「殭屍網路」, 透過惡意的傳輸流量來癱瘓組資 的系統與應用程式,導致日常的 業務營運停頓。 支付卡側錄 在自動提款機或銷售點(POS)終 端機上安裝實體的「側錄機」, 在您付款時讀取卡片資料。 WEB 應用程式攻擊 攻擊者在如內容管理系統或電子 商務平台的Web應用程式中,使 用偷來的身分驗證資料或利用系 統肉凍 P. 6 資料來源:Verizon,2014資料外洩報告 ©2014勤業眾信版權所有 保留一切權利 資訊安全已經是治理議題. 餘波盪漾至今的Edward Snowden事件,NSA資料”取”得方式推估 南韓遭受北韓 經由病毒碼更新通路 入侵銀行ATM與 電視廣播網路 …….To be continued 多型智慧手機安全 介面違反多國安全 規範(i.e. FCC) 德國總理梅克爾 遭受美國網路與電訊 監聽 歐盟法庭 (西班牙 巡迴庭),定讞被遺 忘權審判 習近平親任中國 網路安全小組組長 HeartBleed揭露 美國起訴解放軍 五位大校 德國情報與外交單位 驅逐一位美國臥底與起訴 一位德籍探員 歐盟法庭 (西班牙巡迴庭) 定讞被遺忘權審判 您們所處的環境 end to end真的安全嗎? - 驚人的稜鏡計畫內幕 (由NSA內部攜出之文件) 企業面臨的資訊安全挑戰 – 風險管理課題 內外部的威脅與風險管控 外部駭客入侵 員工竊密 同業管控水平 新興科技應用 企業的營運順暢與獲利壓力 應用系統可用 法令法規改變 (如:個人資料保護 法、營業秘密法) 病毒威脅 股東權益 業務成長 企業營運獲利 業務創新 提高競爭優 勢 作業流程效率 資訊安全管控實務設計(管理面 & 技術面) 資訊安全治理 如何在風險管控與業務發展中取得良好的平衡點? © 2014 勤業眾信版權所有 保留一切權利 9 企業環境中潛在的資安風險 資訊安全的風險議題 企業IT風險議題 Architecture Asset Management Business Continuity Management Change Management Contracting and Outsourcing Information Security Operations and New Tech (i.e. Cloud) Physical and Environmental Privacy and Data Protection Problem Management 共計13類,55項與企業IT相關之風險議題 Project Management Records Management Technology Licensing © 2014 勤業眾信版權所有 保留一切權利 11 面對資訊安全風險的管控難題 1. 資訊等級的界定問題 公司機密資訊的樣態眾 多,無法確認聲明的項 目是否足以稱為機密或 營業秘密資訊。 2.權利範圍界定問題 該機密資訊或營業秘密 歸屬於員工、公司、客 戶或第三方,與對應責 任,常有疑義。 5.被視為單一部門議題 資訊安全或資訊外洩議 題被視為一個IT或法律的 議題,僅由資訊單位或 法務單位負責 7.新科技增加效率或問題? 8.難以提出訴訟所需證據 6.委外管理 我國企業與政府, 因應成 雲端與行動技術, BYOD 進入外洩訴訟或爭議時, 本結構與能量考量, 多將 的使用區是沛然莫之能 如何提供訴訟所需證據? 禦, 在使用之前, 技術可 資訊作業做某種程度委 數位鑑識是不可或缺能 能的評估與衝擊是否足 外, 導致風險提升 量.. 夠…. © 2014 勤業眾信版權所有 保留一切權利 3.角色與存取權限不明 無法確認儲存機密資訊 或營業秘密的角色權責 與存取權限是否合適。 4.無法察覺祕密外洩 缺乏管理過程,無法確 認機密資訊(營業秘密, 個 人資料)已經外洩,事後 亦無法舉證。 12 完整的資訊安全應涵蓋日常維運與事故因應 事後處置 事前預防 資訊安全管理 制度 • 訂定資訊安全管理策 略 • 設置管理角色與權責 • 評估資料保護風險及 訂定避免損害擴大之 程序 • 訂定資料分級管理制 度及相關管理規範 • 定期員工教育訓練 資料與系統 安全控管 • 建置層級化之資料 保護管理措施 • 依作業特性拆分存 取許可權 • 考慮資料生命週期 佈署控制措施 © 2014 勤業眾信版權所有 保留一切權利 軌跡留存與 證據保全 • 建立管理軌跡留存 機制 • 規劃數位證據封存 與保全程序 • 隨時分析稽核軌跡 並通報異常事件 資訊外洩事件 應變與管理 • 規劃資訊外洩事件 發生之應變機制 • 建立組織之事件鑑 識能量 • 加強與司法機關之 協調聯繫 事件調查與 數位鑑識 • 規劃數位鑑識與搜 證程序 • 建立組織之事件鑑 識能量 13 資訊安全實作架構 管理層面 政 策、程 序、步 驟 治理層面 資訊安全管理指引 資訊安全組織 資訊安全政策 遵循性 營運持續管理 資產管理 人力資源 安全 實體與 環境安全 指 引 技術解決方案 作業層面 調查層面 P. 14 通訊與 作業管理 系統發展 與維護 存取控制 資訊安全 事故管理 回 饋 資訊安全控管方案 資料蒐集(針對外部輸 資料儲存(針對儲存標 資料處理利用(針對人 資料傳輸(針對傳輸行 入) 的) 為操作) 為) 資料庫 備份媒 共享主 應用程 可攜式 資料存 入侵防 保護及 體保護 機/磁 式安全 設備保 取權限 護機制 內容監 與加密 碟存取 防護 護 控制 控 控管 控管 資 訊 安 全 管 理 之 稽 核 資料銷毀 端點 電子郵 資料傳 網路安 安全性 安全 件安全 輸保護 全防護 銷毀 控管 防護 稽核軌跡與日誌管理 (Security Information and Event Management / Security Event Management ) 數位鑑識蒐證及分析 數位證據蒐集 及映像檔製作 揮發性資料 鑑識分析 檔案鑑識分析 稽核日誌 鑑識分析 ©2014勤業眾信版權所有 保留一切權利 以積極之行動展現對於資訊安全保護之決心才是稽 核重點 強化保護機制 R&R Design 建置各種制度 善用工具 鑑別管理權責 找出含有需保護之業 務活動 DLP Encryption DAM Data Redaction Archive DR Branch Offices 建立相關控 管機制 執行所需調 查並進行證 據留存 WAN Business Analytics Back up tape Data warehouse Customers Partners WWW Customer Portal Outsourced Development WAN Production Data Disk storage Staging Remote Employees Enterprise e-mail VPN 蒐集 備份 Back up disk File Server 分析鑑定 報告 Forensics & Fraud Investigation Service © 2014 勤業眾信版權所有 保留一切權利 15 資訊安全是常態性工作, 所以要健康檢查 資安健檢/稽核三大服務趨勢 滲透測試 、 弱點掃描和 程式碼檢測 • 模擬駭客手法,找出 各伺服器/主機作業 系統、應用軟體、網 路服務等系統設備之 安全弱點與漏洞 P. 16 資訊架構 網路活動 以及主機 安全檢測 • 檢視網路架構配置 以及安全管理規則 妥適性 • 針對網路活動進行 封包檢測,偵測惡 意活動 • 檢測主機是否被安 裝惡意程式 電子郵件社 交工程演練 • 於安全監控範圍內, 寄發安全演練郵件, 加強資通安全教育, 以期防範惡意程式透 過社交方式入侵 ©2014勤業眾信版權所有 保留一切權利 資安風險防護和處理方式 資訊安全事件處理流程 事件偵測與分析 應變調查與數位鑑識 非科技指標 惡意人員 預防 偵測 回應 事件發生 時間 科技指標 事前準備及防控/偵測 偵測 資訊事件管理平台 (SIEM) 矯正 稽核軌跡分析 預防 教育訓練 警訊及案件管理 P. 18 事後調查 事中防控 警訊及案件管理 異常事件判讀 異常事件應急處置 事件升級 第一時間數位證據保 全及封存 (內部或外 部) 損害評估 應變整合機制整合 數位證據辨識 數位證據蒐集、運送 數位證據管理 數位鑑識分析 鑑識報告出具 訟訴支援作業 ©2014勤業眾信版權所有 保留一切權利 事前準備-建立事件預防、偵測及矯正機制 管理和組織營運層面 預防活動 預防活動包含: 針對事件發生前的準備作業,組織應同時考量 預防、偵測和矯正三方面活動。 弱點掃描 更新檔管理 攻擊測試 威脅資料庫建立 偵測活動 偵測活動包含: 執行網路、個人電腦、 伺服器和應用程式等 安全監控。 偵測 預防 檢測臨時無線網路 矯正 矯正活動 矯正活動包含: 建立事件活應小組 制定危機管理機制 架設鑑識工具 P. 19 ©2014勤業眾信版權所有 保留一切權利 事前準備-資訊安全事件管理平台(SIEM) Risk Analytic的基礎 資訊安全事件管理平台(SIEM) 將事件、威脅和風險資料結合在一 起,提供強式安全情報、迅速的事件回應及順暢的記錄管理,能夠 讓企業組織即時掌握 IT 活動的全貌,以降低安全威脅、改善安全 作業,並在實體、虛擬和雲端環境中,自動實施規則控管。 蒐集資料 自動化地蒐集所有記 錄類型的資料,包括 Windows 事件記錄 檔、資料庫記錄檔、 應用程式記錄檔和 Syslog。 資訊事件管理平台(SIEM) 關聯分析 監控即時資料,使用 規則型和較少規則的 關聯引擎,早在風險 和威脅發生前就偵測 出來。 P. 20 整理 從底層通訊協定和工 作階段完整性一直到 最上層實際應用程式 內容 (如電子郵件的 文字或其附件) 的完 整分析。 ©2014勤業眾信版權所有 保留一切權利 事中防控-事件通報和應變處理 資安事件通報診斷/應變處理階段 執行階段 事 件 事件通報診斷階段 事件通報 鑑定和定義事 與應變 件處理順序 階段目的 • 通報事件發生 • 進行初期應變 以降低損害 事件應變處理階段 事件評估 事件緊急 應變 事件調查 • 定義事件範圍 和影響程度 • 評估事件嚴重 性 • 停用相關應用程式 • 啟動事件應變 暨持續營運管 理小組 • 評估事件緊急 程度 • 備份資料/系統/應用程 式等 • 停止特權帳號存取活動 事件回應 • 調查系統/資料庫稽核 軌跡 • 準備數位鑑識相關作業 • 調整系統/防火牆/資安 設備等相關設定 • 進行事件宣導教育訓練 權責人員 P. 21 • 資訊事故發生時: 事件應變小組 • 事件應變小 組 • 事件應變小組 • 事件調查小組 ©2014勤業眾信版權所有 保留一切權利 P. 22 ©2014勤業眾信版權所有 保留一切權利 事後調查-數位鑑識(含軌跡留存、第一線證據保全 程序、鑑識分析、媒體因應及訴訟支援) • 指派權責人員進行機制之 實施與監督 • 進行稽核軌跡留存完備性確認 • 透過情境演練方式進行鑑識演練 長期風險改善 • 協助與律師進行討論與訴 訟策略擬定 • 依據不同民、刑事責任, 律師訴訟策略 確認所提供證據之內容 8 7 6 • 與主管機關之討論與協 商 • 依據媒體提供相關策略 協助 與外部互動 機制 • 執行事後檢視與審核 • 辨識受損害之系統或流程 之弱點 P. 23 鑑識環境確認 1 數位鑑識 整體架構 5 系統處理策略 2 • 提供內外部利害關係團體 之回應策略 事件緊急應變 • 第一線人員保全機制建議 3 4 鑑識報告產製 鑑識分析 • 評估所有可能造成的衝擊 • 辨識攻擊的途徑或造成錯 誤的原由 • 追查犯罪者之身分 • 蒐集相關證據以支援訴訟 • 製作相關鑑識分析報告 ©2014勤業眾信版權所有 保留一切權利 結語 資訊安全產品多以防範外部駭客為主,但內部安全防護 仍需要建置足夠的管控機制,防止潛在的弊端發生。 買了產品,仍需要配套的規劃、使用規範和使用者訓練 沒有百分之百可靠的系統 ,需定期執行資安檢測 任何系統都要靠人來設計、操作、維護,而『人性』永 遠是最難評估及規範的一環,組織應清楚地明訂人員職 責、制定權限控管和施行教育訓練,並透過稽核及監控 機制,落實整體資訊安全防護。 P. 24 ©2014勤業眾信版權所有 保留一切權利