Transcript 檔案下載
資訊安全宣導講習
大綱
• 前言 • 常見的資安問題 • 認識APT攻擊 • 網路釣魚 & 社交工程 • 個人資料保護 • 電腦病毒與電腦安全防護 • 宣導 : GCB政府組態基準
前言
• 不論單位內部採用多強大的防火牆系統、防毒軟 體、或其他資安技術軟硬體設施,仍無法確保單 位內網路使用與電腦使用是百分之百的安全。 • 國內外許多的研究調查機構均提到,資訊網路安 全中最薄弱的一環,往往是電腦及網路系統的使 用者。 • 確保使用者具備基礎的資訊安全概念,不但能夠 有效地提升企業資訊安全落實成果,其效果更勝 於高價採購最新技術與設備。
常見的資安問題
• 利用網路下載未經授權之程式、音樂、影片 • 網路上的芳鄰資料分享 • 可攜式儲存媒體(隨身碟)被病毒感染或被植入 後門程式 • 網路購物(網路釣魚) • E- mail 使用的安全性問題
利用網路下載未經授權之程式、音樂、影片
• 不要用P2P(點對點)續傳軟體 。 • 即時通(IM)程式。 • 安裝免費軟體?小心感染木馬程式使密碼遭竊。 • 點選搜尋引擎所提供的連結,注意網址是否正確。 • 盡量勿用「不具有惡意連結提醒」之搜尋引擎。 • 網站停看聽:色情網站、中國網站、駭客網站 。 • 定期清理網頁暫存檔 。
網路上的芳鄰資料分享
• 網路上的芳鄰很方便,但是不安全 。 • 不要隨意設定設定,要留意設定的權限! • 唯讀?或是全部開放? • 善用單位網路所提供的共用儲存空間 。 • 發現電腦有異狀,請儘速報修。
可攜式儲存媒體被病毒感染或被植入後門程式
• 隨身碟正確使用方法 : ※. 開啟隱藏檔選項 (顯示所有檔案) ※. 關閉自動執行(AutoRun)的功能 • 開啟隨身碟時,先把彈跳的視窗關閉 。 • 不急著開啟,建議養成先掃毒的好習慣 。
網路購物(網路釣魚)
• 帳號、密碼定期更新並不隨意供人使用 。 • 留意網站公告與新聞,並確認該網站是正確的。 • 線上交易前,確認電腦環境是乾淨無毒的狀態。 • 網路釣魚指利用電子郵件的管道發送仿效知名網站的 電子郵件,引誘無知的使用者進入偽裝的知名網站, 藉此騙取使用者帳號、密碼或姓名、地址、電話及信 用卡資料,然後再利用這些資料獲取不當利益。 • 利用「關鍵字廣告」網路搜尋以連結惡意網頁。
E- mail 使用的安全性問題
• 勿開啟及預覽任何人所寄來之匿名、垃圾郵件。 • 以下的副檔名不要任意開啟: (.vbs .bat .lnk .pif .shs .scr .exe .com .eml) • 開啟任何郵件之附件檔前,須記得「另存新檔」掃毒 後再開啟。 • 可疑郵件的特徵:突然收到一大串有固定標題的郵件、 寄件者,收件者等欄位都是空白、來路不明的郵件、 標題或本文中有奇怪的訊息、預覽或開啟郵件時,問 你要不要開啟附檔 。 • 個人電腦可能感染病毒廣發e-mail 。
認識 APT 攻擊
進階持續性滲透攻擊
A
dvanced
P
ersistent
T
hreat
什麼是 APT?
簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。
• 認識 APT : 以往駭客發動的APT攻擊雖然以政府為主,但從2010 年開始企業成為駭客鎖定竊取情資的受駭者越來越多, 2011年幾個世界性的組織在目標攻擊下淪陷,付出 了昂貴的成本。RSA和Sony是 2011年最大的兩個 APT攻擊 (Advanced Persistent Threat)的目標。幾 個世界性的組織在目標攻擊下淪陷,付出了昂貴的成 本。他們失去了數百萬客戶的資料,光是完成修復就 花費了鉅資。
APT 攻擊特色 :
• 【鎖定特定目標】 針對目標計劃性、組織性的進行竊取情資, 可能持續幾週,幾個月,甚至更長的時間。 • 【假冒信件】 鎖定對象寄送幾可亂真的社交工程郵件,如冒充長官的來信,取得植入惡意程式的機會。 • 【低調且緩慢】 為了長期潛伏,惡意程式入侵後具有自我隱藏能力避免被偵測, 伺機竊取帳號、密碼。 • 【客製化惡意元件】 攻擊者除了使用現成的惡意程式外亦使用客制化的惡意元件。 • 【安裝遠端控制工具】 建立類似殭屍/傀儡網路的遠端控制架構,定期傳送有潛在價值文件副本給控制伺服器。 • 【傳送情資】 將過濾後的敏感機密資料,利用加密方式外傳 。
APT 的要素
從基本面來看,有三項特點可判定為APT攻擊 : ※.出於經濟利益或競爭優勢 ※.一個長期持續的攻擊 ※.針對一個特定的公司,組織或平台 • 企業和政府是APT的目標原因很明顯。企業擁有高度價值 的金融資產和知識產權。而從有政府組織以來,政府組織 就是會面臨外來的攻擊。因此,APT的概念在許多方面都 沒有什麼新意。唯一新的是執行這種威脅的方法,已經進 入網路和應用程式的領域了。
APT 攻擊案例 ( 一 ) : Google (2010)
在一起名為「極光行動」的事件中, Google 遭受 APT 攻擊。 當時一位 Google 員工點了即時通訊訊息中的一個連結, 接著就連上了一個惡意網站,不知不覺下載了惡意程式, 開啟了接下來的一連串APT 事件。 在此事件中,攻擊者成功滲透 Google 伺服器,竊取部分 智慧財產以及重要人士帳戶資料。
APT 攻擊案例 ( 二 ) : 西門子 (2010)
Stuxnet 是世界上第一隻攻 擊西門子 SIMATIC WinCC 與 PCS 7 系統的蠕蟲病毒, 主要攻擊目標為發電廠或煉 油廠等等的自動化生產與控 制系統( SCADA )。 Stuxnet 藉由微軟 MS10-046 Windows 系統漏洞散佈,其目 的在於取得 WinCC SQL Server 登入 SQL 資料庫的權限。
APT 攻擊案例 ( 三 ) : Sony (2011)
Sony PSN 資料庫遭侵入,部分用戶資料未經加密遭竊,另 有信用卡資料、購買歷程明細、帳單地址等等。 官方說法為商未修補的已知系統漏洞遭攻擊。到了 10 月又 遭攻擊者冒名登入,並取得 9 萬多筆用戶資料。 遭竊的信用卡資料在地下網站上拍賣。
APT 攻擊實例樣本
加密的惡意附件
防毒軟體無法偵測
還原加密字串
惡意程式連結到 Blog
如何避免 APT 進階性持續威脅攻擊 ?
對一般民眾的建議:
• · 養成良好的電腦使用習慣,避免開啟來路不明的郵件附件檔 • · 安裝具有信譽的資訊安全軟體,並定期進行系統更新與掃毒
對企業與組織的建議:
• · 建立早期預警系統,監控可疑連線及電腦 • · 佈建多層次的資安防禦機制,以達到縱深防禦效果 • · 對企業內部敏感資料建立監控與存取政策 • · 企業內部應定期執行社交工程攻擊演練
網路釣魚 & 社交工程
社交工程
• 社交工程就是一種利用人性弱點的詐騙技術,藉 由與人之間的互動而形成的犯罪行為。它避開了 嚴密的資通安全技術防護,是非常難以防範的攻 擊模式。
• • • •
郵件社交工程類型
假冒寄件者 使用與業務相關或令人感興趣的郵件內容 含有惡意程式的附件或連結 利用應用程式之弱點(包括零時差攻擊)
釣魚郵件攻擊模式
冒牌網站範例
可疑電子郵件之自我保護措施
• 關閉預覽窗格。 • 非必要閱讀之郵件逕行刪除。 • 設定為純文字讀取模式再開啟郵件閱讀。 • 開啟郵件內含之超連結時先確認連線網址之網域 名稱(DomainName)是否足以識別? • 若為數字IP之網址勿輕易開啟。不隨意輸入資料 送出,傳送私密資料時確認是否有啟動加密機制。 • 分辨電子郵件的真偽。
使用者在收取電子郵件時應有的習慣
• 檢查寄件者的真偽。 • 確認信件內容的真實度。 • 不輕易開啟郵件中的超連結以及附件。 • 開啟超連結或檔案前,確認對應軟體都保持在最 新的修補狀態。 • 提高警覺,加強危機意識。
網路釣魚 - Facebook
網路釣魚 - Yahoo
提高警覺 別上鉤了 ...
個人資料保護
個人資料的重要性
• 種種的個人資料集合起來,例如姓名加上電話,或是 地址加上家庭狀況,就可以知道某個人的大概狀況, 甚至可以直接聯絡上某個特定的人 • 這些資料落到有心人士的手上,被他們用來進行騷擾 和詐騙,對我們的生活和安全都可能造成很大的威脅。 • 使用網路時,常會遇到信箱服務、網路購物、會員資 格申請、網路抽獎等等需要填寫詳細個人資料的機會, 這個時候就要特別謹慎小心;或是電腦內及個人信箱 中常有一些私密的資料或是照片,我們也必須小心這 些資料被盜取或被窺視。
如何做 ?
• 電腦基本設定保護個資 • 設定開機密碼 • 清除公共電腦資訊 • 電腦送修時資料刪除 • 網路互動確保個人資料勿外洩 • 隱私權聲明 • 避免在網路上透露個人資料
設定電腦開機密碼
• 設定密碼 。 • 使用「大小寫英文字母+數字+特殊符號」組合而 成的密碼,且至少八個字元以上。 • 定期更換密碼。 • 不要把密碼貼在桌上或螢幕上 。
個資保護七大妙招
• 電腦開機設密碼 每三個月要更新 • 英文數字混符號 密碼強度才足夠 • 公用電腦請小心 帳號密碼不留存 • 電腦送修先備份 原始資料清乾淨 • 填寫個資請留意 隱私條款詳細讀 • 個資換獎危險多 小心辨識不貪心 • 網路互動高警覺 個人資料勿亂留
電腦病毒與電腦安全防護
電腦病毒
• 最早出現的「電腦病毒」是某位軟體作者為了保 護自己撰寫的程式而設計,這隻病毒的使用會在 有人盜拷磁片時發作,作為給盜版者的一點小小 懲罰。接著就不斷地有人撰寫各種不同類型的 「電腦病毒」,而「電腦病毒」也不斷出現各種 不同的類型及破壞方式。 • 「電腦病毒」會對特定的目標,造成不同層度的 損害,輕則刪除特定檔案、癱瘓網 路,嚴重時還 可能會對整個硬碟進行格式化(Format)的動作, 導致所有的資料全數損毀,其造成的損害實在是 不可忽視。
電腦病毒傳染途徑
• 早期電腦的硬體週邊還不像現在這 麼發達,網路的環境也尚未成型, 人與人之間只能透過進行小容量的 檔案交換,例如1.2 MB或1.44 MB 的軟式磁碟片,後來硬體技術不斷 發展,各種大容量的磁碟裝置不斷 推出,再加上網際網路跟USB隨身 碟也逐漸普及,因此這些都成為病 毒進行傳播及感染其他電腦的途徑 而只要我們使用上述的各種磁碟或 網路,我們的電腦就可能受到病毒 的感染。
如何防毒防駭?
• 面對著危機四伏的環境,你是否也對無孔不入的 病毒、駭客感到寢食難安呢?其實只要有正確的 觀念,防毒、防駭也不是一件困難的事情,接著 我們就來看看該如何建立應有的觀念,保障電腦 系統的安全吧! • 無論是電腦病毒或是駭客,都要透過資料的交換, 或者電腦與電腦的連接,才能夠侵入電腦或對電 腦造成破壞,其實只要把握以下的幾個原則,我 們也可以向病毒及駭客說「不」喔!
安裝防毒軟體
• 可偵測惡意程式,避免被一些心懷不軌的人設計 用來干擾電腦使用的惡意工具。 • 經常當機、平常可以運作的系統和文件突然無法 開啟、存檔時系統會一直提醒你空間不夠,以及 系統運行速度莫名變慢,就有可能是電腦受到病 毒攻擊的結果 。 • 定期掃毒,移除高危險的檔案並且定期更新病毒 碼。 • 謹慎使用隨身碟且定期掃瞄 。
安裝防火牆
• 「防火牆」就像是我們家中的門窗可以為我們阻 擋陌生人和壞人的入侵,因為在網路上,駭客會 利用病毒或是惡意程式試圖闖進沒有受到保護的 電腦中,如果加裝防火牆,就能阻隔大部分的惡 意入侵
防範病毒的 5 大原則
• 不要用盜版軟體 • 小心使用隨身碟 • 安裝一套防毒軟體並隨時進行更新 • 不隨意開啟電子郵件的夾帶檔案 • 經常進行病毒及木馬程式的掃瞄
其它注意事項
• 拒點不明連結或檔案 • 定期更新系統程式
GCB 政府組態基準
前言
• 政府組態基準(GCB)目的在於規範資通訊終端設 備(如:個人電腦)的一致性安全設定(如:密 碼長度、更新期限等),以降低成為駭客入侵管 道,進而引發資安事件之疑慮。 • Intel IT中心於2012年,針對美國與英國各200個 政府機關與企業,調查最關心的個人電腦安全議 題,端點設備安全位居第3名(前2名分別為雲端 運算與行動裝置)。
防護案例
• 情境: 使用者不小心將含有惡意程式的隨身碟插入公務電腦中。 • 防護: ※. 由於組態設定禁止可攜式媒體的自動播放功能,因此 可降低電腦遭受惡意程式感染的機率。 ※. 組態設定強制Windows之安全性更新保持在最新的狀 態,因此可大幅減少惡意程式所能利用的漏洞。 ※. 萬一不幸網域內其他電腦遭受惡意程式感染,組態設 定禁止電腦回應廣播的封包,可避免惡意程式的感染 範圍擴大。
GCB 相關政策說明
102年5月30日行政院國家資通安全會報第24次委 員會會議,報告案二、政府組態基準設定推動情形, 決議事各機關儘早導入政府組態基準(GCB)設定。 請各部會務必完成Windows7或IE8環境導入政府 組態基準(GCB)設定及現行系統取得ActiveX簽章等 作業;對於新建置之客製化軟體,則應將ActiveX 安全性檢測(至少含弱點掃描、源碼檢測及滲透測 試等必要項目)納為專案需求。
控管內容簡介
• 密碼長度與複雜度要求 • 密碼使用期限與更改期限 • 電源管理原則 • 網路存取限制 • 本機權限控管 ......
• 共計115個項次 註. 原則上所內已全數套用,12月上旬前將全面佈署