檔案下載

Report
資訊安全宣導講習
大綱
• 前言
• 常見的資安問題
• 認識APT攻擊
• 網路釣魚 & 社交工程
• 個人資料保護
• 電腦病毒與電腦安全防護
• 宣導 : GCB政府組態基準
前言
• 不論單位內部採用多強大的防火牆系統、防毒軟
體、或其他資安技術軟硬體設施,仍無法確保單
位內網路使用與電腦使用是百分之百的安全。
• 國內外許多的研究調查機構均提到,資訊網路安
全中最薄弱的一環,往往是電腦及網路系統的使
用者。
• 確保使用者具備基礎的資訊安全概念,不但能夠
有效地提升企業資訊安全落實成果,其效果更勝
於高價採購最新技術與設備。
常見的資安問題
• 利用網路下載未經授權之程式、音樂、影片
• 網路上的芳鄰資料分享
• 可攜式儲存媒體(隨身碟)被病毒感染或被植入
後門程式
• 網路購物(網路釣魚)
• E- mail 使用的安全性問題
利用網路下載未經授權之程式、音樂、影片
• 不要用P2P(點對點)續傳軟體。
• 即時通(IM)程式。
• 安裝免費軟體?小心感染木馬程式使密碼遭竊。
• 點選搜尋引擎所提供的連結,注意網址是否正確。
• 盡量勿用「不具有惡意連結提醒」之搜尋引擎。
• 網站停看聽:色情網站、中國網站、駭客網站。
• 定期清理網頁暫存檔。
網路上的芳鄰資料分享
• 網路上的芳鄰很方便,但是不安全。
• 不要隨意設定設定,要留意設定的權限!
• 唯讀?或是全部開放?
• 善用單位網路所提供的共用儲存空間。
• 發現電腦有異狀,請儘速報修。
可攜式儲存媒體被病毒感染或被植入後門程式
• 隨身碟正確使用方法 :
※. 開啟隱藏檔選項 (顯示所有檔案)
※. 關閉自動執行(AutoRun)的功能
• 開啟隨身碟時,先把彈跳的視窗關閉。
• 不急著開啟,建議養成先掃毒的好習慣。
網路購物(網路釣魚)
• 帳號、密碼定期更新並不隨意供人使用。
• 留意網站公告與新聞,並確認該網站是正確的。
• 線上交易前,確認電腦環境是乾淨無毒的狀態。
• 網路釣魚指利用電子郵件的管道發送仿效知名網站的
電子郵件,引誘無知的使用者進入偽裝的知名網站,
藉此騙取使用者帳號、密碼或姓名、地址、電話及信
用卡資料,然後再利用這些資料獲取不當利益。
• 利用「關鍵字廣告」網路搜尋以連結惡意網頁。
E- mail 使用的安全性問題
• 勿開啟及預覽任何人所寄來之匿名、垃圾郵件。
• 以下的副檔名不要任意開啟:
(.vbs .bat .lnk .pif .shs .scr .exe .com .eml)
• 開啟任何郵件之附件檔前,須記得「另存新檔」掃毒
後再開啟。
• 可疑郵件的特徵:突然收到一大串有固定標題的郵件、
寄件者,收件者等欄位都是空白、來路不明的郵件、
標題或本文中有奇怪的訊息、預覽或開啟郵件時,問
你要不要開啟附檔。
• 個人電腦可能感染病毒廣發e-mail 。
認識APT攻擊
進階持續性滲透攻擊
Advanced
Persistent
Threat
什麼是 APT?
簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。
• 認識 APT :
以往駭客發動的APT攻擊雖然以政府為主,但從2010
年開始企業成為駭客鎖定竊取情資的受駭者越來越多,
2011年幾個世界性的組織在目標攻擊下淪陷,付出
了昂貴的成本。RSA和Sony是 2011年最大的兩個
APT攻擊 (Advanced Persistent Threat)的目標。幾
個世界性的組織在目標攻擊下淪陷,付出了昂貴的成
本。他們失去了數百萬客戶的資料,光是完成修復就
花費了鉅資。
APT 攻擊特色:
• 【鎖定特定目標】
針對目標計劃性、組織性的進行竊取情資, 可能持續幾週,幾個月,甚至更長的時間。
• 【假冒信件】
鎖定對象寄送幾可亂真的社交工程郵件,如冒充長官的來信,取得植入惡意程式的機會。
• 【低調且緩慢】
為了長期潛伏,惡意程式入侵後具有自我隱藏能力避免被偵測, 伺機竊取帳號、密碼。
• 【客製化惡意元件】
攻擊者除了使用現成的惡意程式外亦使用客制化的惡意元件。
• 【安裝遠端控制工具】
建立類似殭屍/傀儡網路的遠端控制架構,定期傳送有潛在價值文件副本給控制伺服器。
• 【傳送情資】
將過濾後的敏感機密資料,利用加密方式外傳。
APT的要素
從基本面來看,有三項特點可判定為APT攻擊 :
※.出於經濟利益或競爭優勢
※.一個長期持續的攻擊
※.針對一個特定的公司,組織或平台
• 企業和政府是APT的目標原因很明顯。企業擁有高度價值
的金融資產和知識產權。而從有政府組織以來,政府組織
就是會面臨外來的攻擊。因此,APT的概念在許多方面都
沒有什麼新意。唯一新的是執行這種威脅的方法,已經進
入網路和應用程式的領域了。
APT攻擊案例(一) : Google (2010)
在一起名為「極光行動」的事件中, Google 遭受 APT
攻擊。
當時一位 Google 員工點了即時通訊訊息中的一個連結,
接著就連上了一個惡意網站,不知不覺下載了惡意程式,
開啟了接下來的一連串APT 事件。
在此事件中,攻擊者成功滲透 Google 伺服器,竊取部分
智慧財產以及重要人士帳戶資料。
APT攻擊案例(二) : 西門子 (2010)
Stuxnet 是世界上第一隻攻
擊西門子 SIMATIC WinCC
與 PCS 7 系統的蠕蟲病毒,
主要攻擊目標為發電廠或煉
油廠等等的自動化生產與控
制系統( SCADA )。
Stuxnet 藉由微軟 MS10-046 Windows 系統漏洞散佈,其目
的在於取得 WinCC SQL Server 登入 SQL 資料庫的權限。
APT攻擊案例(三) : Sony (2011)
Sony PSN 資料庫遭侵入,部分用戶資料未經加密遭竊,另
有信用卡資料、購買歷程明細、帳單地址等等。
官方說法為商未修補的已知系統漏洞遭攻擊。到了 10 月又
遭攻擊者冒名登入,並取得 9 萬多筆用戶資料。
遭竊的信用卡資料在地下網站上拍賣。
APT攻擊實例樣本
加密的惡意附件
防毒軟體無法偵測
還原加密字串
惡意程式連結到 Blog
如何避免APT 進階性持續威脅攻擊?
對一般民眾的建議:
• · 養成良好的電腦使用習慣,避免開啟來路不明的郵件附件檔
• · 安裝具有信譽的資訊安全軟體,並定期進行系統更新與掃毒
對企業與組織的建議:
• · 建立早期預警系統,監控可疑連線及電腦
• · 佈建多層次的資安防禦機制,以達到縱深防禦效果
• · 對企業內部敏感資料建立監控與存取政策
• · 企業內部應定期執行社交工程攻擊演練
網路釣魚 & 社交工程
社交工程
• 社交工程就是一種利用人性弱點的詐騙技術,藉
由與人之間的互動而形成的犯罪行為。它避開了
嚴密的資通安全技術防護,是非常難以防範的攻
擊模式。
郵件社交工程類型
•
假冒寄件者
•
使用與業務相關或令人感興趣的郵件內容
•
含有惡意程式的附件或連結
•
利用應用程式之弱點(包括零時差攻擊)
釣魚郵件攻擊模式
冒牌網站範例
可疑電子郵件之自我保護措施
• 關閉預覽窗格。
• 非必要閱讀之郵件逕行刪除。
• 設定為純文字讀取模式再開啟郵件閱讀。
• 開啟郵件內含之超連結時先確認連線網址之網域
名稱(DomainName)是否足以識別?
• 若為數字IP之網址勿輕易開啟。不隨意輸入資料
送出,傳送私密資料時確認是否有啟動加密機制。
• 分辨電子郵件的真偽。
使用者在收取電子郵件時應有的習慣
• 檢查寄件者的真偽。
• 確認信件內容的真實度。
• 不輕易開啟郵件中的超連結以及附件。
• 開啟超連結或檔案前,確認對應軟體都保持在最
新的修補狀態。
• 提高警覺,加強危機意識。
網路釣魚 - Facebook
網路釣魚 - Yahoo
提高警覺 - 別上鉤了...
個人資料保護
個人資料的重要性
• 種種的個人資料集合起來,例如姓名加上電話,或是
地址加上家庭狀況,就可以知道某個人的大概狀況,
甚至可以直接聯絡上某個特定的人
• 這些資料落到有心人士的手上,被他們用來進行騷擾
和詐騙,對我們的生活和安全都可能造成很大的威脅。
• 使用網路時,常會遇到信箱服務、網路購物、會員資
格申請、網路抽獎等等需要填寫詳細個人資料的機會,
這個時候就要特別謹慎小心;或是電腦內及個人信箱
中常有一些私密的資料或是照片,我們也必須小心這
些資料被盜取或被窺視。
如何做?
• 電腦基本設定保護個資
• 設定開機密碼
• 清除公共電腦資訊
• 電腦送修時資料刪除
• 網路互動確保個人資料勿外洩
• 隱私權聲明
• 避免在網路上透露個人資料
設定電腦開機密碼
• 設定密碼。
• 使用「大小寫英文字母+數字+特殊符號」組合而
成的密碼,且至少八個字元以上。
• 定期更換密碼。
• 不要把密碼貼在桌上或螢幕上。
個資保護七大妙招
• 電腦開機設密碼 每三個月要更新
• 英文數字混符號 密碼強度才足夠
• 公用電腦請小心 帳號密碼不留存
• 電腦送修先備份 原始資料清乾淨
• 填寫個資請留意 隱私條款詳細讀
• 個資換獎危險多 小心辨識不貪心
• 網路互動高警覺 個人資料勿亂留
電腦病毒與電腦安全防護
電腦病毒
• 最早出現的「電腦病毒」是某位軟體作者為了保
護自己撰寫的程式而設計,這隻病毒的使用會在
有人盜拷磁片時發作,作為給盜版者的一點小小
懲罰。接著就不斷地有人撰寫各種不同類型的
「電腦病毒」,而「電腦病毒」也不斷出現各種
不同的類型及破壞方式。
• 「電腦病毒」會對特定的目標,造成不同層度的
損害,輕則刪除特定檔案、癱瘓網 路,嚴重時還
可能會對整個硬碟進行格式化(Format)的動作,
導致所有的資料全數損毀,其造成的損害實在是
不可忽視。
電腦病毒傳染途徑
• 早期電腦的硬體週邊還不像現在這
麼發達,網路的環境也尚未成型,
人與人之間只能透過進行小容量的
檔案交換,例如1.2 MB或1.44 MB
的軟式磁碟片,後來硬體技術不斷
發展,各種大容量的磁碟裝置不斷
推出,再加上網際網路跟USB隨身
碟也逐漸普及,因此這些都成為病
毒進行傳播及感染其他電腦的途徑
而只要我們使用上述的各種磁碟或
網路,我們的電腦就可能受到病毒
的感染。
如何防毒防駭?
• 面對著危機四伏的環境,你是否也對無孔不入的
病毒、駭客感到寢食難安呢?其實只要有正確的
觀念,防毒、防駭也不是一件困難的事情,接著
我們就來看看該如何建立應有的觀念,保障電腦
系統的安全吧!
• 無論是電腦病毒或是駭客,都要透過資料的交換,
或者電腦與電腦的連接,才能夠侵入電腦或對電
腦造成破壞,其實只要把握以下的幾個原則,我
們也可以向病毒及駭客說「不」喔!
安裝防毒軟體
• 可偵測惡意程式,避免被一些心懷不軌的人設計
用來干擾電腦使用的惡意工具。
• 經常當機、平常可以運作的系統和文件突然無法
開啟、存檔時系統會一直提醒你空間不夠,以及
系統運行速度莫名變慢,就有可能是電腦受到病
毒攻擊的結果。
• 定期掃毒,移除高危險的檔案並且定期更新病毒
碼。
• 謹慎使用隨身碟且定期掃瞄。
安裝防火牆
• 「防火牆」就像是我們家中的門窗可以為我們阻
擋陌生人和壞人的入侵,因為在網路上,駭客會
利用病毒或是惡意程式試圖闖進沒有受到保護的
電腦中,如果加裝防火牆,就能阻隔大部分的惡
意入侵
防範病毒的5大原則
• 不要用盜版軟體
• 小心使用隨身碟
• 安裝一套防毒軟體並隨時進行更新
• 不隨意開啟電子郵件的夾帶檔案
• 經常進行病毒及木馬程式的掃瞄
其它注意事項
• 拒點不明連結或檔案
• 定期更新系統程式
GCB政府組態基準
前言
• 政府組態基準(GCB)目的在於規範資通訊終端設
備(如:個人電腦)的一致性安全設定(如:密
碼長度、更新期限等),以降低成為駭客入侵管
道,進而引發資安事件之疑慮。
• Intel IT中心於2012年,針對美國與英國各200個
政府機關與企業,調查最關心的個人電腦安全議
題,端點設備安全位居第3名(前2名分別為雲端
運算與行動裝置)。
防護案例
• 情境:
使用者不小心將含有惡意程式的隨身碟插入公務電腦中。
• 防護:
※. 由於組態設定禁止可攜式媒體的自動播放功能,因此
可降低電腦遭受惡意程式感染的機率。
※. 組態設定強制Windows之安全性更新保持在最新的狀
態,因此可大幅減少惡意程式所能利用的漏洞。
※. 萬一不幸網域內其他電腦遭受惡意程式感染,組態設
定禁止電腦回應廣播的封包,可避免惡意程式的感染
範圍擴大。
GCB相關政策說明
102年5月30日行政院國家資通安全會報第24次委
員會會議,報告案二、政府組態基準設定推動情形,
決議事各機關儘早導入政府組態基準(GCB)設定。
請各部會務必完成Windows7或IE8環境導入政府
組態基準(GCB)設定及現行系統取得ActiveX簽章等
作業;對於新建置之客製化軟體,則應將ActiveX
安全性檢測(至少含弱點掃描、源碼檢測及滲透測
試等必要項目)納為專案需求。
控管內容簡介
• 密碼長度與複雜度要求
• 密碼使用期限與更改期限
• 電源管理原則
• 網路存取限制
• 本機權限控管
......
• 共計115個項次
註. 原則上所內已全數套用,12月上旬前將全面佈署
報告完畢
Q&A

similar documents