企業防洩密，雲端控管不可少 - apistekk1-4.pdf · • 雲端儲存 • 雲端列印...

企業防洩密，雲端控管不可少

精品科技資安顧問兼資安部經理

陳伯榆

1

簡報大綱

1

2

3

4

電子資料防護機制

新興的趨勢與問題

行動裝置管控

雲端管控

5 結論

1 電子資料防護機制

一、電子資料防護機制

FineArt Technology Co., Ltd.

(一) IT介面裝置管控

外接裝置管控

光碟裝置與燒錄管控

列印裝置

檔案操作管理

其他裝置控管…

(二) 軟體安控

軟體禁用

時段的軟體開放

軟體執行行為記錄

主管審核

延伸檔名管理…

軟體(特殊)執行管控

FineArt Technology Co., Ltd. 5


[實例1] 軟體安控/軟體禁用


一、電子資料防護機制 [實例2] 檔案管控/隨身碟寫出



(三) 網路服務管控

1

企業內部網

路芳鄰管理

2

個人防火牆

3

郵件管控

Webmail記錄

4

員工網頁

瀏覽管控

5

傳輸管控

6

網頁文字記錄

(四) 檔案管控

1

檔案產生

與刪除

2

檔案更名

與複製

3

檔案寄送

4

檔案列印

(浮水印)



[實例3] 檔案管控/檔案列印(浮水印)

浮水印

浮水印查詢稽核

4

檔案列印

(浮水印)



[實例3] 檔案管控/檔案列印(浮水印) 4

檔案列印

(浮水印)



軌跡與警示：協助企業考核追蹤與建立管理制度

統計中心

各類統計圖表

分析中心

警示燈號寄送報表記錄分析使用者記錄查詢

趨勢中心

各類異動分析軟體執行分析軟體操作分析上網分析

© All-PPT-Templates.com | All Rights Reserved

2 新興的趨勢與問題


那些新興的趨勢，正衝擊著IT的治理，例舉：

Win 8 Metro

值得關注Window10

多桌面…等

1

Chrome Metro

必須要有新的準備與設計，符合企業管控需求

2

二、新興的趨勢與問題

Virtualization 4

虛擬電腦平台安全管控遠端桌面管理

SSL

以SSL 為基礎的應用軟體，以及雲端應用程式，已在加密通道下運行，企業無法了解，SSL狀態下資料內容，也讓企業管控機制失去效果。

3


透過企業IT疆界演變，IT 須建立有效管理模式，確保企業機敏資訊資產獲得安全保護

• 平板

• 智慧手機

• 虛擬工作桌面

• 虛擬主機

• VDI

• 軌跡記錄

• 警示訊息

• 操作畫面

• 統計資訊

• 智能眼鏡

• 智能載具

• 智能手表

• 持續發展中

• 3G/4G/WiFi

• 網路芳鄰

• 電子郵件

• 網際網路

• 通訊服務

• 電腦系統

• 雲端備份

• 雲端應用程式

• 雲端儲存

• 雲端列印

• 桌上電腦

• 伺服器

• 輸出裝置

• 手提電腦

網路服務

雲端與Web

IT裝置管控

穿戴裝置&IOT

虛擬化應用

軌跡與警示

行動可攜裝置應用

宏觀分析：IT治理與資產保護要素



• 企業員工使用新興科技與技巧，讓IT活動快速滲透到公司

• 利用雲端所搭建的竊取方式企業難以防守

• 不論APP應用或是一般Browser Plugin

• 讓DLP管控更複雜

• 針對性入侵行為讓企業防不勝防

• 網路詐騙、資料竊取和網路罪犯會呈現更多樣性

• 雲端或多樣Web服務，讓企業IT治理更為複雜

可預見的資安現象


2014年的調查發現，企業關注的趨勢

0.00 20.00 40.00 60.00 80.00

傳統DLP需求

DRM需求

上網行為管控

雲端管控

手持裝置管控

資安制度導入

0 20 40 60 80



雲端與行動裝置的結合，將是個更為複雜的環境


行動裝置雲端服務

密碼混用

裝置未加密敏感資料在行動裝置上

存在許多

未加密資料

法律與政府

的介入

缺乏安

全意識

公私領域

的混用

APP漏洞

快速成長

敏感資料

上雲端

聚焦在行動裝置與雲端應用的新趨勢


3 行動裝置管控


從企業的PC & Server端點保護延伸至行動裝置治理，大幅降低風險與員工隱私疑慮。

行動裝置在企業內部使用的安全對策

兩個來源：

1. BYOD

2. JOD (Job Oriented

Device)

五個協定：

MTP Mode

USB Mode

Bluetooth

IrDA

WLAN

三、行動裝置管控

一個裝置：

照相裝置


從企業的PC & Server端點保護延伸至行動裝置治理設計

透過DLP端點管控，攔阻行動裝置連結企業電腦與網路系統

只安裝管控照相裝置程式(時區關控)，降低員工隱私疑慮

郵件系統，可以透過公司既有的管控措施達成。



事件分享：日本洩密事件新聞


因缺乏 MTP (Media Transfer Protocol) 協定的保護措施，發生資訊外洩事件

1. 有2895萬筆資料外洩，影響4000萬人(含家庭成員)

2. 公司賠償每人500日圓，近200億日圓

手機連結公司電腦


缺乏MTP管控機制，可將公司資料外洩，也無法管控


公司電腦

公司內公司外

檔案寫出

公司資料

攜出公司

資料外洩

MTP

公司電腦啟用MTP管控


企業MTP防護方式1：開放MTP使用，有軌跡記錄與檔案備份備查



公司內公司外

檔案寫出

相關檔案有備份備查

檔案寫出操作記錄

公司資料

攜出公司

公司電腦 MTP禁用管控


企業MTP防護方式2：禁止MTP使用



公司內公司外

檔案寫出

公司資料

攜出公司

公司電腦 MTP唯讀管控


企業MTP防護方式3：MTP唯讀政策，有軌跡記錄備查



公司內公司外

檔案寫出操作記錄

檔案寫出

公司資料

攜出公司


MTP 行動裝置治理：影片Demo


4 雲端管控設計

四、雲端管控設計


誰有機會接觸到雲端資料?

Private Cloud

私有雲

Public Cloud

公有雲

cloud provider

Hybrid Cloud

混合雲

Enterprise

Owner

DBA

System Admin

Law or. GOV Hackers

hacking

Cloud

Outsourcing

Cloud DBA

Outsourcing

Cloud

Application

Developer

Application

Developer

Accompanied

Authors or.

Be shared


FineArt Technology Co., Ltd. 28 FineArt Technology Co., Ltd. 28

確認只有公司可使用雲端的資料?

確保雲端資料完整性一致性?

公司不再使用雲端時，資料如何確保刪除乾淨?

是否主動告知被入侵訊息?

如何確保資料的私密性與機敏性?

企業要問雲端服務公司?


FineArt Technology Co., Ltd. 29 FineArt Technology Co., Ltd. 29 Ref: http://zeroknowledgeprivacy.org

雲端服務公司，應秉持零知(Zero-knowledge) 價值雲端服務公司，不應該知道企業存放雲端的資料內容. 雲端服務公司，未經授權認證就無法存取雲端資料.

零知(Zero-knowledge) 價值


FineArt Technology Co., Ltd. 30 FineArt Technology Co., Ltd. 30

雲端服務在企業必須的思維

你信任(Trust)?

或者…

雲端服務公司的網路安全設計與資料存儲安全設計

企業要採取攔阻管制模式，如果必須開放，有沒有好的保護機制，來降低風險



「Management & Control」

1.限制雲端服務的使用 2.雲端資料需要加密保護 3.雲端活動有記錄可查

攔阻

禁用

Or.

部分開放

全部開放

企業必須遵守以下原則：

企業雲端使用政策：



C:\> 查詢 Google IPv4 Range

C:\>nslookup -q=TXT _netblocks.google.com 8.8.8.8

ip4 : 216.239.32.0/19

ip4 : 64.233.160.0/19

ip4 : 66.249.80.0/20

ip4 : 72.14.192.0/18

ip4 : 209.85.128.0/17

ip4 : 66.102.0.0/20

ip4 : 74.125.0.0/16

ip4 : 64.18.0.0/20

ip4 : 207.126.144.0/20

ip4 : 173.194.0.0/16

……

企業在IT雲端治理面臨挑戰1




173.194.72.189 0.docs.google.com



173.194.72.189 0.drive.google.com









…




C:\Users\PoYu>nslookup

預設伺服器: google-public-dns-

a.google.com

Address: 8.8.8.8

> onedrive.live.com

伺服器: google-public-dns-

a.google.com

Address: 8.8.8.8

未經授權的回答:

名稱: skyweb.skyprod.akadns.net

Address: 134.170.108.26

Aliases: onedrive.live.com



企業IT 人員正面臨新雲端防護困擾：

1. 無法透過IP 過濾禁止處理雲端服務。

2. 雲端服務都已SSL通道加密處理，無法分析其內容行為

3. IPv6, IPv4, 字元編碼的干擾



36

需要網際網路

例：www to Google

SSL為安全通道

例：SSL 安全協定

多數具備 APP

例：Google APP 下載

兼具Plugin 運作

可透過Plugin 連接雲端

跨平台的使用

與分散式架構

跨平板手機與其他平台

從這六個要素建立可行的管控技術

例：Login Google Drive

瀏覽器為介面

瀏覽器管控應用程式管控

管控原理



雲端硬碟管控原理示意圖

應用程式

Google Drive

OneDrive

Dropbox

Y/N Googledrivesync.exe

Y/N …

Y/N …

… Y/N …

Chrome Y/N Chrome.exe

IE Y/N iexplore.exe

同意SSL 連線

應用程式

瀏覽器

Y/N 例：

drive.google.com

Y/N …

Y/N …

Y/N …

禁止連線關鍵字過濾

缺乏管控，可以透過瀏覽器、應用程式…將資料外洩


公司內公司外

資料外洩

瀏覽器

應用程式

資料外洩

企業雲端防護管控1：網站白名單放行，其他禁止


支援三大瀏覽器S

SL &

HT

TP

禁用其他瀏覽器

網址關鍵字

比對分析

白名單使用公司允許

的雲端服務

操作的軌跡記錄

其他

禁止

重導到

禁止網頁

企業雲端防護管控2：網站禁止，其他放行


支援三大瀏覽器S

SL &

HT

TP

禁用其他瀏覽器


黑名單

網址關鍵字

比對分析

使用公司允許

的網路服務其他

放行

重導到

禁止網頁

黑名單

被禁止雲端服務

企業雲端防護管控3：禁止雲端同步程式，禁止上傳檔案

四、企業在雲端安全解決方案

同步程式

同步程式

同步程式

同步目錄

同步目錄

同步目錄操作的軌跡記錄

警示訊息

四、企業在雲端安全解決方案

同步程式

同步程式

同步程式

同步目錄


企業雲端防護管控4：開放雲端同步程式，上傳檔案加密

加密

加密

加密



43

正式提出企業雲端服務的解決方案：警示訊息


警示訊息

https://www.dropbox.com


44

正式提出企業雲端服務的解決方案：稽核軌跡記錄

相關使用者端行為，會寫入到稽核軌跡記錄，依據企業管理政策，以相關警訊通知IT管理人員。

1. 日期 2. 網域 3. 部門 4. 使用者

5. 帳號 6. 電腦名稱 7. IP 8. SSL 網址

9. 瀏覽器 10. 套用規則 11. 類型 12. 伺服器時間



持續增加與分析全球雲端服務，建立防護對策資料庫，可以節省企業逐一建構的困擾。

企業IT管理也可以依據需求，自訂相關管控清單與項目

5 結論

風險值

80

風險值

60

風險值

40 風險值20

基礎資安雲端防護檔案加密考核與制度 Result

既有資

安防護

電子資

料防護

電子資料控管

軌跡記錄與警示

企業資產損失大幅降低

資訊外漏風險

大幅減少

六、結論

簡報結束，感謝您的與會


在精品攤位05有實機系統功能展示

Name: Victor Chen

Email : [email protected]

企業防洩密，雲端控管不可少 - apistekk1-4.pdf · • 雲端儲存 • 雲端列印...

Documents